ايتنا - مجرمان چگونه با ابزارهایی ساده به حملات پیچیده می‌پردازند؟

ما قبلا به این واقعیت پی برده‌ایم که حمله‌های پیچیده سایبری از آسیب‌پذیری‌های روز صفر، امضاهای دیجیتال، سیستم فایل‌های مجازی، الگوریتم های رمزنگاری غیر استاندارد و سایر ترفندها استفاده می‌کنند‌ اما گاهی اوقات آن ها با وجود تمام این راه های سخت و پر دردسر، از حملات ساده تری همانند حمله ای که ما آن را چندی پیش شناسایی کردیم و آن را Microcin نامیدیم، استفاده می‌کنند.

به گزارش ایتنا از کسپرسکی آنلاین، در این حمله ما یک فایل1RTF مشکوک را کشف کردیم. این اسناد شامل اکسپلویتی شناخته شده بود و در آسیب پذیری CVE-2015-1641 پچ شده بود. به طور قابل توجهی اسناد مخرب از طریق وب سایت هایی که مخاطبان بسیار محدودی دارند، به آلودگی کاربران پرداخته بودند. به همین دلیل است که ما در ابتدا تصور می‌کردیم با یک حمله هدفمند مواجه شده‌ایم.

در این حمله مجرمان کاربرانی را مورد هدف قرار می‌دادند که در فروم‌های مسکن روسیه به بحث و گفتگو می‌پرداختند و از این راه به انتخاب می‌پردازند. اینطور که بنظر می رسد این رویکرد کاملا موثر بنظر می‌رسید، زیرا احتمال بازکردن اسناد مخرب از جانب کاربران، دانلود و در نهایت دریافت کدهای مخرب بسیار زیاد است. از آنجایی که مجرمان میزبان چنین فروم‌هایی بودند و البته کمتر کسی به این موضوع فکر می کند که فروم‌ها محل اسکن مجرمان نیستند، پس همه چیز مشروع بنظر می‌رسید.

تمام لینک‌ها در پیام‌های فروم‌ها به آدرس URLهایی files[.]maintr**plus[.]com، در جایی که اسناد RTF اکسپلویت شده بود، ختم می‌شد. گاهی اوقات مجرمان از فایل‌های PPT که شامل یک فایل PE قابل اجرا بود و البته حاوی اکسپلویت نبود، به عنوان پیلودی که توسط یک اسکریپت در یک فایل PPT جاسازی شده است؛ استفاده می‌کنند.

اگر یک آسیب‌پذیری در مایکروسافت به طور موفقیت‌آمیز مورد اکسپلویت قرار بگیرد، اکسپلویت یک فایل PE اجرایی را روی هارد دیسک ایجاد کرده و آن را برای اجرا راه اندازی می کند. برنامه ی مخرب یک پلتفرم است که برای اعمال ماژول‌های مخرب اضافی (افزودنی) مورد استفاده قرار می‌گیرد و آن ها را به صورت مخفی ذخیره می‌کند و از همین رو قابلیت‌های جدیدی را برای مجرمان و تهدید کاربران بوجود می‌آورد. این حمله به مراحل زیر قابل اجرا است:

اکسپلویت فعال می‌شود و یک نسخه مناسب (32 یا 64 بیتی) از برنامه های مخرب بر روی کامپیوتر نصب می شود. نصب برنامه های مخرب بر روی کامیپوتر به سیستم عامل اجرا شده بر روی سیستم وابسته است. برای انجام این نصب کد مخرب به فرآیند سیستم ‘explorer.exe’ و نه به حافظه ی آن تزریق می‌شود. برنامه مخرب دارای ساختار کوچکی است: قسمت اصلی آن در رجیستری ذخیره می‌شود و این در حالی است که ماژول‌های افزودنی آن به دنبال دستورالعمل دریافت شده از سرور C&C در حال دانلود هستند. ربودن DLL (استفاده از یک کتابخانه سیستم اصلاح شده) برای اطمینان از اینکه ماژول اصلی در هربار راه اندازی می شود یا خیر مورد استفاده قرار می‌گیرد.

ماژول اصلی برنامه مخرب، دستورالعملی برای دانلود و راه اندازی ماژول‌های اضافه است که قابلیت‌های جدیدی را برای مجرمان ایجاد می‌کند.

ماژول‌های افزدونی مخرب فرصت‌های بی‌نظیری هستند که کنترل سیستم قربانی، تصاویری از پنجره ها و اطلاعات مربوط به رهگیری از صفحه کلیدی که آز آن استفاده کرده‌اند را برای مجرمان فراهم می کند.

ما این موارد را در سایر کمپین های جاسوسی دیگر مشاهده کردیم.
مجرمان با استفاده از PowerSploit، یک مجموعه اصلاح شده از اسکریپت‌های PowerShell و ابزارهای مختلف به سرقت فایل ها و کلمات عبور موجود در سیستم قربانی می‌پردازند.

مجرمان سایبری عمدتا به فایل های .doc، ppt، xls، docx، .pptx، .xlsx، .pdf، .txt و .rtf سیستم های قربانیان نفوذ می کنند. فایل‌های آرشیو شده به صورت محافظت شده با رمزعبور به سرور مجرمان ارسال می‌شود.

به طور کلی تاکتیک‌ها، تکنیک‌ها و روش‌هایی که مجرمان سایبری در حملات خود استفاده می‌کنند، می‌تواند پیچیده یا حتی پرخرج باشد. با این حال چند چیز وجود دارد که توجه ما را به خود جلب کرد:

پیلود ( حداقل یکی از ماژول‌ها ) با استفاده از برخی اسپیگرافی‌های ساده تحویل داده می‌شود. در این حین همه چیز کاملا معمولی به نظر می رشد و کاربران تصور می‌کنند که دانلود یک تصویر معمولی JPEG است. اما غافل از اینکه پیلود رمزنگاری شده بلافاصله پس از داده‌های تصویر بارگیری می‌شود.

نتیجه‌گیری
هیچ فناوری بنیادی جدیدی در چنین برنامه‌های مخربی، بدون آسیب‌پذیری صفر روزه یا نوآوری در تهاجم و یا تکنیک‌های دستکاری شده برای حمله نمی‌تواند موفق باشد. ابزار مجرمان سایبری برای حملات گسترده خود شامل موارد زیر می‌شود:

یافتن حفره‌های امنیتی برای حمله با استفاده از مایکروسافت آفیس؛
ذخیره‌سازی بی‌نظیر از مجموعه اصلی توابع مخرب همانند شل کد، پاورشل و ماژول‌های افزودنی،
تهاجم به فرآیند سیستم بدون تزریق کد در حافظه آن؛
DLL برای فرآیند یک سیستم به عنوان وسیله‌ای برای اطمینان از راه اندازی اتوماتیک؛

مجرمان در برخی از حملات خود همچنین از اسکریپت‌های پاورشل که به طور گسترده‌ای می تواند کاربردی باشد، استفاده می‌کنند. در بررسی‌های مختلف دیده شده است که حملات درب پشتی در بسیاری از موارد می تواند استفاده قرار می گیرد، این در حالی است که PowerSploit یک پروژه منبع باز است. کاملا واضح است که مجرمان سایبری اهداف مشخصی دارند و با استفاده از فناوری های پیشرفته و البته شناخته شده دست به حمله می‌زنند و کاربران را مورد هدف قرار می‌دهند.

جالبترین بخش این مبارزان مخرب از نظر ما بردارهای حمله‌ای است که در آنها مورد استفاده مجرمان قرار می‌گیرد. سازمان هایی که اغلب در لیست سیاه هدف های مجرمان سایبری قرار می گیرند اغلب به چنین بردارهایی توجه ندارند و آنها را در نظر نمی گیرند.

راه های مقابله در برابر حملات پیچیده مجرمان سایبری

اگر که زیرساخت کمپانی شما به خوبی محافظت نشده است و امنیت آن نادیده گرفته شده است، پس باید منتظر حملات پیچیده مجرمان باشید. بی شک مجرمان از کارمندان شما برای رخنه یه سیستم های شما شروع خواهند کرد. این مرحله یک منطق بسیار ساده را دنبال می کند: منابع شخصی کارمندان همانند دستگاه‌های تلفن همراه و کامیپوترهای شخصی می‌توانند همانند دروازه ای باشد که راه را برای مجرمان با کمترین هزینه و البته بدون دردسر به اطلاعات شخصی یک شرکت و مجموعه باز می‌کند. از همین رو آموزش به کاربران در مورد تهدیدات سایبری و نحوه مقابله با آنها از اهمیت بالایی برخوردار است.

که یکی از کمپین‌های بسیار مخرب است و از ابزارها و روش‌هایی استفاده می کند که شناسایی آن توسط راهکارهای امنیتی استاندارد نیز سخت و دشوار است. بسیاری از بدافزارها وجود دارند که از تکنیک‌های پیچیده‌ای برای شناسایی نشدن استفاده می‌کنند و می‌توانند تا مدت‌ها در سیستم قربانیان به فعالیت و جاسوسی بپردازند.

از همین رو پیشنهاد می‌شود شرکت‌های بزرگ، سازمان‌های دولتی حتما از راهکارهای امنیتی قوی و البته مورد اعتماد به منظور محافظت در برابر حملات پیچیده مجرمان استفاده نمایند. محصولات لابراتوار کسپرسکی قادر به تشخیص حملات مداوم هستند. حتی اگر پیچیده ترین حملات رخ دهد، این راهکارها از سیستم‌ها محافظت و فورا تمامی موارد مخرب مسدود خواهند شد.

پیاده سازی یک سیستم امنیتی جامع می‌تواند به طور قابل ملاحظه‌ای قربانی شدن یک سازمان را به حداقل برساند و تهدیدات پیچیده را کاهش دهد. بدون در نظر گرفتن نرم افزار امنیتی هیچ راهکار دیگری برای مقابله با حملات مخرب سایبری وجود ندارد. حال چند لحظه به این مسئله فکر کنید که اطلاعات ارزشمند و چندساله ی شما تا چه اندازه برای شما اهمیت دارد؟ سرقت آنها برای شما هزینه برتر خواهد بود یا خرید یک راهکار امنیتی که امنیت مجموعه شما را تا حد زیادی تضمین می‌کند؟

1. RTF يك فايل عمومی است كه می‌تواند خوانده شده و مورد استفاده طيف وسيعی از برنامه‌های مختلف قرار گيرد.