روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ فناوری‌های موتور شناسایی رفتار و پیشگیری از اکسپلویت[1] ما اخیراً اکسپلویت از یک آسیب‌پذیری در درایور کرنل Win32k را شناسایی کرده‌اند که به بررسی کل عملیات مجرمان سایبری پشت این اکسپلویت شد. با ما همراه بمانید تا شما را از چند و چون ماجرا باخبر سازیم.

ما این آسیب‌پذیری (CVE-2021-40449) را به ایکروسافت گزارش دادیم و این شرکت هم در تاریخ 12 اکتبر آن را طی آپدیت‌ مقرر خود پچ کرد. بنابراین طبق عادت پچ سه‌شنبه توصیه ما این است که هر چه زودتر مایکروسافت ویندوز خود را آپدیت کنید.

CVE-2021-40449 برای چه استفاده می‌شد؟

CVE-2021-40449 یک آسیب‌پذیری use after free در کارکرد NtGdiResetDC در درایور Win32k است. خلاصه بگوییم که این آسیب‌پذیری می‌تواند به نشت ماژول کرنل مرتبط با مموری کامپیوتر شود. مجرمان سایبری سپس از این نشتی برای افزایش مزیت‌های پروسه مخرب دیگر استفاده می‌کنند. مهاجمین بواسطه‌ی افزایش مزیت توانسته بودند MysterySnail را که یک تروجان دسترسی ریموت است (RAT) دانلود و اجرا کنند. این تروجان به مهاجمین اجازه داده بود تا به سیستم قربانی دسترس پیدا کنند.

نحوه عملکرد MysterySnail

این تروجان با جمع‌آوری اطلاعات در مورد سیستم آلوده و ارسالش به سرور C&C کار خود را شروع می‌کند. سپس مهاجمین با MysterySnail می‌توانند فرمان‌های متعددی را صادر کنند. برای مثال می‌توانند فایل خاصی را بسازند، بخوانند یا پاک کنند یا هم پروسه‌ای را ایجاد و یا حذف نمایند. همچنین می‌توانند یک لیست دایرکتوری دریافت کرده یا کانال پروکسی باز کرده و از طریق به ارسال داده بپردازند. سایر قابلیت‌های MysterySnail عبارتند از توانایی در مشاهده لیست درایوهای کانکتد و نظارت ارتباط درایوهای خارجی در پس‌زمینه و غیره. این تروجان همچنین می‌تواند پوسته تعاملی cmd.exe را نیز با کپی کردن این فایل در یک فولدر موقتی تحت نامی متفاوت اجرا نماید.

حملاتی که از طریق CVE-2021-40449 انجام شده است

اکسپلویت این آسیب‌پذیری رشته‌ای از سیستم عامل‌ها را در خانواده مایکروسافت ویندوز پوشش می‌دهد:

Vista, 7, 8, 8.1, Server 2008, Server 2008 R2, Server 2012, Server 2012 R2, Windows 10 (build 14393), Server 2016 (build 14393), 10 (build 17763), و Server 2019 (build 17763). به نقل از متخصصین ما، این اکسپلویت مشخصاً برای افزایش مزایا روی نسخه‌های سرور آی‌اواس وجود دارد. بعد از شناسایی این تهدید، متخصصین ما متوجه شدند این اکسپلویت و بدافزار MysterySnail که در سیستم لود می‌کند به طور گسترده‌ای در عملیات‌های جاسوسی علیه شرکت‌های آی‌تی، سازمان‌های سیاسی و شرکت‌هایی که برای صنایع دفاع کار می‌کنند مورد استفاده قرار گرفته‌اند. به لطف Kaspersky Threat Attribution Engine متخصصین ما توانستند شباهت‌هایی در این کد و کارکرد MysterySnail و نیز بدافزاری که توسط گروه IronHusky استفاده شده بود پیدا کنند. افزون بر این، یک گروه APT چینی زبان نیز از برخی از آدرس سرورهای C&CMysterySnail در سال 2012 استفاده کرده بود.

راهکارهای امنیتی

ابتدا با نصب جدیدترین پچ از مایکروسافت خود را ایمن سازید و سعی کنید با نصب راهکارهای امنتی قوی که قادرند اکسپلویت از آسیب‌پذیری‌ها را روی هر کامپیوتری که دسترسی به نت دارد شناسایی کنند خود را در برابر آسیب‌پذیری‌های روز صفر احتمالی مصون سازید. فناور‌ی‌های Behavioral Detection Engine و Exploit Prevention مانند آن‌هایی که در Kaspersky Endpoint Security for Business هستند توانستند CVE-2021-40449 را شناسایی کنند.

[1] Behavioral Detection Engine and Exploit Prevention technologies

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.