ايتنا - CrossRAT؛ بدافزاری پیچیده و غیرقابل تشخیص

در صورتی که از کاربران لینوکس یا سیستم عامل اپل هستید و همیشه تصور می کنید که احتمال آلودگی سیستم شما وجود ندارد بی‌شک نظر شما پس از مطالعه این مقاله تغییر خواهد کرد.

به گزارش ایتنا از کسپرسکی آنلاین، حدود یک هفته گذشته، محققان امنیتی فناوری اطلاعات در OutLook به همراه گروه حقوق مدنی EFF مقاله ای منتشر ساختند که در این مقاله یک تهدید پیشرفته توسط هکرهایی با نام ِDark Caracal از لبنان در یک کمپین جاسوسی جهانی موبایل دست داشته اند و علیه روزنامه نگاران و مقامات دولتی در 21 کشور جهان دست به حمله شده اند، گزارش شده است.

محققان همچنین در یافته های خود، یک بدافزار خطرناک دیگر را که CrossRAT نامیده و به زبان جاوا نوشته شده است یافتند. طبق بررسی محققان و شواهد بدست آمده این بدافزار توسط Dark Caracal و برای مورد حمله قرار دادن دستگاه‌های OSX، Linux و دستگاه‌های مبتنی بر ویندوز طراحی شده است.

نکته قابل توجه در این بدافزار این است که می‌تواند عملکرد آنتی‌ویروس‌ها و نرم‌افزارهای امنیتی را غیر فعال کند و از این رو برای آنها غیر قابل شناسایی شود. CrossRAT همچنین می‌تواند DLLهای دلخواه را برای آلودگی در ویندوزها و ماندگاری خود در سیستم آلوده اجرا کند.

با این حال Patrick Wardle یک محقق امنیتی و هکر سابق NSA گزارش دقیقی در مورد CrossRAT منتشر کرده است که در آن گفته شده که بدافزار پس از آلودگی، اسکن کاملی را بر روی دستگاه انجام می‌دهد. این بدافزار قادر است کرنل را که اساسی ترین لایه است و سیستم را با سخت‌افزار ادغام می کند، شناسایی کند. هدف از این کار نصب برنامه ای خاص با توجه به نوع نرم افزار است.

CrossRAT بدافزاری پیچیده است که می تواند از طریق لینوکس برای شناسایی توزیع سیستم هایی همانند Arch Linux، Centos، Debian، Kali، Linux، Fedora و غیره مورد استفاده قرار بگیرد.
علاوه بر این CrossRAT دارای یک کی لاگر داخلی، نرم‌افزاری که تمام موارد تایپ شده را ضبط و به مرکز فرمان و کنترل (C&C) ارسال می‌کند، است.

همچنین طبق گفته‌ Wardle سیستم های ویندوز و لینوکس بیش تر مستعد آلودگی هستند. علت آن هم این است که این بدافزار به زبان جاوا نوشته شده است و نیاز است که کاربر این زبان را بر روی سیستم خود داشته باشد. هنگامی که Wardle نمونه فایل hmar6.jar را که بدافزار CrossRAT آن را بر روی سیستم نصب کرده است اجرا می کند، متوجه می‌شود که تنها یکی از 58 برنامه‌های آنتی ویروس قادر است بدافزار را شناسایی کند. البته در زمان انتشار مقاله اوضاع کمی تغییر می کند و 28 نرم‌افزار امنیتی از بین 58 نرم‌افزار قادر به شناسایی فایل مخرب می‌شوند.

چگونه متوجه شویم سیستم دچار آلودگی شده است؟
ازآنجاکه CrossRAT در سیستم‌ عامل‎های مختلفی قابل ‌اجرا است، تشخیص دادن این بدافزار به نوع سیستم‌عامل شما بستگی دارد. پس با توجه به دستورات پایین سیستم خود را بررسی نمایید:

برای سیستم عامل ویندوز، آدرس رجیستری روبرو را بررسی نمایید:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
در صورتی که سیستم شما دچار آلودگی شده باشد، شما دستوری را با نوشته‌های java، -jar و jar مشاهده خواهید کرد.

برای سیستم عامل مک خود، در آدرس ~/Library به دنبال فایل‌ jar باشید. علاوه بر این می توانید به دنبال یک launch agent در آدرس /Library/LaunchAgents یا ~/Library/LaunchAgents باشید که نامش plist است، باشید.
برای سیستم عامل لینوکس در آدرس /usr/var به دنبال فایل‌ jar باشید. همچنین می توانید در آدرس ~/.config/autostart به دنبال یک فایل autostart به نامdesktop باشید.

چگونه می‌توان در برابر بدافزار CrossRAT محافظت شد؟
همانطور که در بالا به آن اشاره کردیم تنها تعداد کمی از 58 محصول آنتی‌ویروس مورد آزمایش قرار گرفته شده قابلیت شناسایی CrossRAT را داشته‌اند که این نتیجه نشان می‌دهد که به احتمال زیاد آنتی ویروس شما محافظ سیستم شما نخواهد بود.

همچنین گفتیم که سیستم عامل مک به علت اینکه نسخه‌های جدید جاوا را ارائه نمی‌دهد می‌تواند بیشتر از دو نسخه‌های ویندوز و لینوکس باشد اما در صورتی که کاربر مک برنامه ی جاوا را بر روی سیستم به صورت اضافی نصب کرده باشد یا که مجرم بتواند به صورت مخفیانه این نرم افزار را بر روی سیستم نصب کند، CrossRAT به راحتی قابل اجرا خواهد بود.

به کاربران توصیه می‌شود که از آنتی‌ویروس‌های قوی جهت تشخیص تهدید مبتنی بر رفتار استفاده کنند. کاربران مک نیز می‌توانند از ابزار BlockBlock که توسط Wardle به تازگی توسعه یافته است استفاده کنند. این ابزار به گونه‌ای است که اگر چیزی به صورت مداوم بر روی سیستم نصب شود حتما به کاربر هشدار لازم را می دهد.