روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ متخصصین ما گروه جاسوسی سایبری را شناسایی کردهاند که متخصص سرقت اسرار تجاریست. این گروه –که تا اینجای کار تنها بواسطهی تارگتهایش مورد قضاوت قرار گرفته- عمدتاً علاقه دارد به شرکتهای فینتک (یا فناوری مالی)، شرکتهای حقوقی و مشاورین مالی حمله کند؛ هرچند دستکم در یک مورد همچنین به یک نهاد دیپلماتیک نیز حمله شده است. چنین انتخاب تارگتی ممکن است حاکی از این باشد که گروه مذکور با اسم رمز DeathStalker یا به دنبال اطلاعات خاصی برای فروش است یا سرویس «حمله به محض تقاضا[1]» را ارائه میدهد. به بیانی دیگر، این گروه، گروهی مزدور است. DeathStalker از سال 2018 (شاید هم زودتر) فعال است (اصلاً احتمال این وجود دارد که از سال 2012 فعال بوده باشد). استفاده از ایمپلنت Powersing آن همان چیزیست که ابتدا توجه متخصصین ما را به خود جلب کرد. در عملیاتهای جدیدتر این گروه نیز متودهای مشابهی به کار گرفته میشود.
حمله
اول اینکه، مجرمان با استفاده از فیشینگ هدفدار[2] به شبکه قربانی نفوذ میکنند و بعد فایل LNK آلودهای را در پوشش یک داکیومنت به کارمند سازمان میفرستند. فایل، میانبریست که مفسر خط فرمان سیستم –یعنی cmd.exe- را لانچ نموده و از آن برای اجرای اسکریپت مخرب استفاده میکند. به قربانی داکیومنتی بیمعنی در قالبهای PDF، DOC یا DOCX نشان داده میشود که این توهم را ایجاد میکند که انگار فایل طبیعیای را باز کردند. جالب اینجاست که این کد مخرب حاوی آدرس سرور C&C نیست. در عوض، این برنامه به پستی دسترسی دارد که روی یک پلتفرم عمومی نشر داده شده است؛ جایی که رشته کاراکترهایی که در نگاه اول بیمعنی جلوه میکردند خوانده میشود. در واقع، این اطلاعات رمزگذاریشدهایست طراحیشده برای فعال کردن مرحله بعدی حمله. این نوع تاکتیک به dead drop resolver معروف است.
مهاجمین در طول مرحلهی بعدی، کنترل کامپیوتر را به دست گرفته، میانبر آلودهای را در فولدر اتوران قرار داده (تا اجرا روی سیستم ادامه پیدا کند) و با سرور C&C واقعی کانکشن ایجاد میکند. در اصل ایمپلنت Powersing دو کار انجام میدهد: به صورت دورهای روی دستگاه قربانی اسکرینشات میگیرد، آنها را به سرور C&C میفرستد و همچنین اسکریپتهای اضافی Powershell را –دانلودشده از سرور C&C- اجرا میکند. به بیانی دیگر، هدفش دسترسی پیدا کردن به دستگاه قربانی برای اجرای ابزارهای اضافی است.
روشهای فریب مکانیزمهای امنیتی
این بدافزار در تمامی مراحل از متودهای مختلفی برای دور زدن فناوریهای امنیتی استفاده میکند و انتخاب متودش نیز به هدف مورد نظرش بستگی دارد. علاوه بر اینها، اگر این بدافزار راهکار آنتیویروسی روی دستگاه تارگت شناسایی کند میتواند تاکتیکهای خود را عوض کرده یا حتی خود را غیرفعال کند. متخصصین ما معتقدند مجرمان سایبری هدفشان را بررسی میکنند و اسکریپتهایشان را به طور خاص برای هر حمله تنظیم مینمایند. اما جالبترین تکنیک DeathStalker استفاده از سرویسهای عمومی به عنوان مکانیزم dead-drop-resolver است. در اصل، این سرویسها اجازه میدهند تا اطلاعات رمزگذاریشده در آدرسی ثابت ذخیره شوند (در قالب پستها، فرمانها، پروفایلهای کاربری و توضیحهای محتوایی که به طور عمومی قابلدسترسیاند). این پستها میتوانند ظاهری چنین داشته باشند که در زیر مشاهده میکنید:
به طور کلی، این تنها یک ترفند است: مهاجمین به همین طریق سعی میکنند آغاز ارتباط با سرور C&C را پنهان نموده و کاری کنند تا از سوی مکانیزمهای محافظتی اینطور نتیجهگیری شود که فردی دارد به وبسایتهای عمومی دسترسی پیدا میکند. متخصصین ما مواردی را شناسایی کردند که در آنها مهاجمین از Google+، Imgur، Reddit، ShockChan، Tumblr، Twitter، YouTube و WordPress برای این منظور استفاده کرده بودند. تازه موارد ذکر شده در فوق فهرست کاملی را از وبسایتهای استفادهشده توسط این مهاجمین تشکیل نمیدهد. با این حال، شرکتها بعید است دسترسی به همهی این سرویسها را مسدود کند.
محافظت از شرکت در مقابل DeathStalker
شرح متودها و ابزارهای این گروه تصویر روشنی نشان میدهد از اینکه حتی کوچکترین شرکت در چنین دنیای مدرنی میتواند با چه تهدیدهایی روبرو شود. البته که این گروه بعید است عامل APT باشد و از هیچ ترفند پیچیده خاصی نیز استفاده نمیکند. با این حال استفاده از ابزارهایش در ادامه، دور زدن بسیاری از راهکارهای امنیتی را در پی خواهد داشت. متخصصین ما اقدامات محافظتی زیر را پیشنهاد میکنند:
- توجه ویژه به فرآیندهایی که مفسرین زبان اسکریپت آنها را لانچ میکنند (شامل powershell.exe و cscript.exe.). اگر برای انجام امور تجاری خود بدانها نیاز ندارید توصیه میکنیم آنها را غیرفعال کنید.
- حواستان به حملاتی باشد که فایلهای LNK انجام میدهند (با توزیع میان پیامهای ایمیل).
- از فناوریهای محافظتی پیشرفته شامل راهکارهای کلاس EDR استفاده کنید.
به طور خاص، ما راهکاری یکپارچه به مهمات جنگی خود اضافه کردهایم که میتواند کل کارکردهای EPP و EDR تحت پوشش خود قرار دهد.
[1] attack on demand
[2] spear phishing
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.