ما قبلا به این واقعیت پی بردهایم که حملههای پیچیده سایبری از آسیبپذیریهای روز صفر، امضاهای دیجیتال، سیستم فایلهای مجازی، الگوریتم های رمزنگاری غیر استاندارد و سایر ترفندها استفاده میکنند اما گاهی اوقات آن ها با وجود تمام این راه های سخت و پر دردسر، از حملات ساده تری همانند حمله ای که ما آن را چندی پیش شناسایی کردیم و آن را Microcin نامیدیم، استفاده میکنند.
به گزارش ایتنا از کسپرسکی آنلاین، در این حمله ما یک فایل1RTF مشکوک را کشف کردیم. این اسناد شامل اکسپلویتی شناخته شده بود و در آسیب پذیری CVE-2015-1641 پچ شده بود. به طور قابل توجهی اسناد مخرب از طریق وب سایت هایی که مخاطبان بسیار محدودی دارند، به آلودگی کاربران پرداخته بودند. به همین دلیل است که ما در ابتدا تصور میکردیم با یک حمله هدفمند مواجه شدهایم.
در این حمله مجرمان کاربرانی را مورد هدف قرار میدادند که در فرومهای مسکن روسیه به بحث و گفتگو میپرداختند و از این راه به انتخاب میپردازند. اینطور که بنظر می رسد این رویکرد کاملا موثر بنظر میرسید، زیرا احتمال بازکردن اسناد مخرب از جانب کاربران، دانلود و در نهایت دریافت کدهای مخرب بسیار زیاد است. از آنجایی که مجرمان میزبان چنین فرومهایی بودند و البته کمتر کسی به این موضوع فکر می کند که فرومها محل اسکن مجرمان نیستند، پس همه چیز مشروع بنظر میرسید.
تمام لینکها در پیامهای فرومها به آدرس URLهایی files[.]maintr**plus[.]com، در جایی که اسناد RTF اکسپلویت شده بود، ختم میشد. گاهی اوقات مجرمان از فایلهای PPT که شامل یک فایل PE قابل اجرا بود و البته حاوی اکسپلویت نبود، به عنوان پیلودی که توسط یک اسکریپت در یک فایل PPT جاسازی شده است؛ استفاده میکنند.
اگر یک آسیبپذیری در مایکروسافت به طور موفقیتآمیز مورد اکسپلویت قرار بگیرد، اکسپلویت یک فایل PE اجرایی را روی هارد دیسک ایجاد کرده و آن را برای اجرا راه اندازی می کند. برنامه ی مخرب یک پلتفرم است که برای اعمال ماژولهای مخرب اضافی (افزودنی) مورد استفاده قرار میگیرد و آن ها را به صورت مخفی ذخیره میکند و از همین رو قابلیتهای جدیدی را برای مجرمان و تهدید کاربران بوجود میآورد. این حمله به مراحل زیر قابل اجرا است:
- اکسپلویت فعال میشود و یک نسخه مناسب (32 یا 64 بیتی) از برنامه های مخرب بر روی کامپیوتر نصب می شود. نصب برنامه های مخرب بر روی کامیپوتر به سیستم عامل اجرا شده بر روی سیستم وابسته است. برای انجام این نصب کد مخرب به فرآیند سیستم ‘explorer.exe’ و نه به حافظه ی آن تزریق میشود. برنامه مخرب دارای ساختار کوچکی است: قسمت اصلی آن در رجیستری ذخیره میشود و این در حالی است که ماژولهای افزودنی آن به دنبال دستورالعمل دریافت شده از سرور C&C در حال دانلود هستند. ربودن DLL (استفاده از یک کتابخانه سیستم اصلاح شده) برای اطمینان از اینکه ماژول اصلی در هربار راه اندازی می شود یا خیر مورد استفاده قرار میگیرد.
ماژول اصلی برنامه مخرب، دستورالعملی برای دانلود و راه اندازی ماژولهای اضافه است که قابلیتهای جدیدی را برای مجرمان ایجاد میکند.
ماژولهای افزدونی مخرب فرصتهای بینظیری هستند که کنترل سیستم قربانی، تصاویری از پنجره ها و اطلاعات مربوط به رهگیری از صفحه کلیدی که آز آن استفاده کردهاند را برای مجرمان فراهم می کند.
ما این موارد را در سایر کمپین های جاسوسی دیگر مشاهده کردیم.
مجرمان با استفاده از PowerSploit، یک مجموعه اصلاح شده از اسکریپتهای PowerShell و ابزارهای مختلف به سرقت فایل ها و کلمات عبور موجود در سیستم قربانی میپردازند.
مجرمان سایبری عمدتا به فایل های .doc، ppt، xls، docx، .pptx، .xlsx، .pdf، .txt و .rtf سیستم های قربانیان نفوذ می کنند. فایلهای آرشیو شده به صورت محافظت شده با رمزعبور به سرور مجرمان ارسال میشود.
به طور کلی تاکتیکها، تکنیکها و روشهایی که مجرمان سایبری در حملات خود استفاده میکنند، میتواند پیچیده یا حتی پرخرج باشد. با این حال چند چیز وجود دارد که توجه ما را به خود جلب کرد:
- پیلود ( حداقل یکی از ماژولها ) با استفاده از برخی اسپیگرافیهای ساده تحویل داده میشود. در این حین همه چیز کاملا معمولی به نظر می رشد و کاربران تصور میکنند که دانلود یک تصویر معمولی JPEG است. اما غافل از اینکه پیلود رمزنگاری شده بلافاصله پس از دادههای تصویر بارگیری میشود.
نتیجهگیری
هیچ فناوری بنیادی جدیدی در چنین برنامههای مخربی، بدون آسیبپذیری صفر روزه یا نوآوری در تهاجم و یا تکنیکهای دستکاری شده برای حمله نمیتواند موفق باشد. ابزار مجرمان سایبری برای حملات گسترده خود شامل موارد زیر میشود:
- یافتن حفرههای امنیتی برای حمله با استفاده از مایکروسافت آفیس؛
ذخیرهسازی بینظیر از مجموعه اصلی توابع مخرب همانند شل کد، پاورشل و ماژولهای افزودنی،
تهاجم به فرآیند سیستم بدون تزریق کد در حافظه آن؛
DLL برای فرآیند یک سیستم به عنوان وسیلهای برای اطمینان از راه اندازی اتوماتیک؛
مجرمان در برخی از حملات خود همچنین از اسکریپتهای پاورشل که به طور گستردهای می تواند کاربردی باشد، استفاده میکنند. در بررسیهای مختلف دیده شده است که حملات درب پشتی در بسیاری از موارد می تواند استفاده قرار می گیرد، این در حالی است که PowerSploit یک پروژه منبع باز است. کاملا واضح است که مجرمان سایبری اهداف مشخصی دارند و با استفاده از فناوری های پیشرفته و البته شناخته شده دست به حمله میزنند و کاربران را مورد هدف قرار میدهند.
جالبترین بخش این مبارزان مخرب از نظر ما بردارهای حملهای است که در آنها مورد استفاده مجرمان قرار میگیرد. سازمان هایی که اغلب در لیست سیاه هدف های مجرمان سایبری قرار می گیرند اغلب به چنین بردارهایی توجه ندارند و آنها را در نظر نمی گیرند.
راه های مقابله در برابر حملات پیچیده مجرمان سایبری
- اگر که زیرساخت کمپانی شما به خوبی محافظت نشده است و امنیت آن نادیده گرفته شده است، پس باید منتظر حملات پیچیده مجرمان باشید. بی شک مجرمان از کارمندان شما برای رخنه یه سیستم های شما شروع خواهند کرد. این مرحله یک منطق بسیار ساده را دنبال می کند: منابع شخصی کارمندان همانند دستگاههای تلفن همراه و کامیپوترهای شخصی میتوانند همانند دروازه ای باشد که راه را برای مجرمان با کمترین هزینه و البته بدون دردسر به اطلاعات شخصی یک شرکت و مجموعه باز میکند. از همین رو آموزش به کاربران در مورد تهدیدات سایبری و نحوه مقابله با آنها از اهمیت بالایی برخوردار است.
- که یکی از کمپینهای بسیار مخرب است و از ابزارها و روشهایی استفاده می کند که شناسایی آن توسط راهکارهای امنیتی استاندارد نیز سخت و دشوار است. بسیاری از بدافزارها وجود دارند که از تکنیکهای پیچیدهای برای شناسایی نشدن استفاده میکنند و میتوانند تا مدتها در سیستم قربانیان به فعالیت و جاسوسی بپردازند.
از همین رو پیشنهاد میشود شرکتهای بزرگ، سازمانهای دولتی حتما از راهکارهای امنیتی قوی و البته مورد اعتماد به منظور محافظت در برابر حملات پیچیده مجرمان استفاده نمایند. محصولات لابراتوار کسپرسکی قادر به تشخیص حملات مداوم هستند. حتی اگر پیچیده ترین حملات رخ دهد، این راهکارها از سیستمها محافظت و فورا تمامی موارد مخرب مسدود خواهند شد.
پیاده سازی یک سیستم امنیتی جامع میتواند به طور قابل ملاحظهای قربانی شدن یک سازمان را به حداقل برساند و تهدیدات پیچیده را کاهش دهد. بدون در نظر گرفتن نرم افزار امنیتی هیچ راهکار دیگری برای مقابله با حملات مخرب سایبری وجود ندارد. حال چند لحظه به این مسئله فکر کنید که اطلاعات ارزشمند و چندساله ی شما تا چه اندازه برای شما اهمیت دارد؟ سرقت آنها برای شما هزینه برتر خواهد بود یا خرید یک راهکار امنیتی که امنیت مجموعه شما را تا حد زیادی تضمین میکند؟
1. RTF يك فايل عمومی است كه میتواند خوانده شده و مورد استفاده طيف وسيعی از برنامههای مختلف قرار گيرد.