روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ مجرمان سایبری مدت‌های مدید است از حملات نوع Land[1]  -که از برنامه‌های قانونی یا قابلیت‌های سیستم‌ عامل برای آسیب رساندن استفاده می‌کنند- تغذیه می‌کنند و این خبر تازه‌ای نیست؛ اما از آنجایی که متخصصین به پیگیری و ردیابی نرم‌افزار‌های مدرن حساس به LotL پرداختند آن‌ها مجبور شدند کلیشه‌ها را کنار گذاشته و دست به نوآوری بزنند. محققین ژان یان بوتان و زوزانا هرومکوا در کنفرانس RSA 2021 پیرامون یکی از همین نوآوری‌ها سخنرانی کردند: استفاده از اجزا و برنامه‌های قانونی ویندوز XP.

تغذیه از Land و اجزای آسیب‌پذیر ویندوز XP

بوتان و هرومکوا با بررسی فعالیت گروهی موسوم به InvisiMole اشاره کردند که استفاده ابزارهای InvisiMole از فایل‌ها برای سیستم‌عاملی منسوخ به آن کمک می‌کند تا مخفیانه به حضور خود ادامه دهند. محققین به این فایل‌ها اسم VULNBins دادند؛ چیزی شبیه به اسم  LOLBins که جامعه‌ی امنیتی آن را روی فایل‌های استفاده‌شده در حملات Land پیاده‌سازی می‌کند. البته که دانلود یک فایل از رده خارج‌شده در کامپیوتر قربانی مستلزم دسترسی به آن دستگاه است. اما VULNBinsها معمولاٌ به منظور ایجاد نوعی پایداری و حضور دائم در سیستم مورد هدف استفاده می‌شوند؛ حضوری پنهانی طوری که هیچ کس باخبر نشود. 

مصداق‌هایی از کاربرد برنامه‌های منسوخ و اجزای از رده خارج سیستم‌ها

اگر مهاجم نتواند به حقوق ادمین دسترسی پیدا کند، یکی از تاکتیک‌هایی که ممکن است برای ایجاد پایداری خود پیاده‌سازی کند، استفاده از ویدیو پلیر قدیمی است با یک آسیب‌پذیری «سرریز بافر[2]». مجرمان سایبری با  Task Scheduler یک تسک که مرتباً زمانبندی می‌شود را ایجاد می‌کنند. این تسک مدام از پلیر –که تنظیماتش طوری دستکاری شده که آسیب‌پذیری را اکسپلویت کند- می‌خواهد تا کد لازم برای مرحله بعد حمله را لود کند. با این وجود اگر مهاجمین InvisiMole تصمیم بگیرند به حقوق ادمین دست یابند می‌توانند متود دیگری را نیز به کار گیرند. این متود از اجزای سیستم قانونی setupSNK.exe، Windows XP library wdigest.dll و Rundll32.exe استفاده می‌کند. سپس آن‌ها داده‌هایی را که آرشیو (یا همان library) در مموری لود می‌کند دستکاری می‌کنند. آرشیو پیش از بکارگیری فناوری ASLR ساخته شده است؛ از این رو مجرمان سایبری آدرس دقیقی را که قرار است در مموری لود شود می‌دانند. آن‌ها اکثر پی‌لود آلوده را در رجیستری (در قالب رمزگذاری‌شده) ذخیره می‌کنند و همه آرشیوها و فایل‌های قابل‌اجرایی که استفاده می‌کنند دیگر قانونی به نظر می‌رسد. در نتیجه همه اینها حضور نفوذی در فایل (با تنظیمات پلیر) و همینطور اکسپلویت کوچکی را که آرشیوهای منسوخ را هدف قرار گرفته رد می‌کند. توصیه‌ی ما به شما این است که:

برای جلوگیری از استفاده مجرمان سایبری از فایل‌های قدیمی و اجزاهای منسوخ سیستم‌ها (خصوصاً آن‌هایی که زمانی یک ناشر قانونی امضایشان کرده) از چنین فایل‌هایی پایگاه اطلاعاتی درست کنید. این اولین قدم در راستای حفظ امنیت سایبری است. با این کار لایه‌های دفاعی موجود را فعال کرده و دست‌کمی موارد مشکوک را ردیابی کرده‌اید.

راهکارهای امنیتی

توصیه‌ی دیگر ما به شما استفاده از راهکار سطح EDR کسپرسکی است که:

• اجرای اجزای ویندوز که خارج از فولدر سیستم قرار دارند را شناسایی و بلاک کرده،
• سیستم‌فایل‌های امضانشده را شناسایی می‌کند (برخی سیستم فایل‌ها به جای امضای منحصر به فرد دیجیتال با فایل کاتالوگ امضا می‌شوند اما سیستم‌فایلی که به سیستمی منتقل می‌شود که فایل  .cat لازم را ندارد امضانشده تلقی می‌شود).
• برای شناسایی فرق بین نسخه سیستم عامل و نسخه هر فایل قابل‌اجرا قانونی را درست می‌کند.
• همان قانون را برای سایر کاربردها نیز می‌سازد- برای مثال برای بلاک کردن اجرای فایل‌های کامپایل‌شده مربوط به بیش از ده سال پیش.

همانطور که اشاره کردیم، برای دانلود چیزی در کامپیوتر قربانی، مجرمان سایبری ابتدا باید بدان کامپیوتر دسترسی داشته باشند. برای جلوگیری از ورود VULNBinها به ایستگاه‌های کارتان راهکارهای امنیتی را روی همه دستگاه‌هایتان –که با اینترنت فعال می‌شوند- نصب کنید. همچنین به کارمندان خود در خصوص تهدیدهای سایبری آموزش دهید و سطح آگاهی را بالا ببرید. در نهایت نیز با دقت بالایی ابزارهای دسترسی ریموت را تحت نظر قرار دهید.

[1]حملات لند در امنیت شبکه یک حمله لند (LAND Local Area Network Denial)نوعی از حملات جلوگیری از سرویس(Deny Of Service) است. این حمله شامل یک بسته تقلبی به یک کامپیوتر به جهت از کار انداختن ان است. این سوراخ امنیتی برای اولین بار در سال ۱۹۹۷توسط کسانی که از نام مستعار M3it استفاده می‌کردند استفاده شد.

[2] buffer overflowدر امنیت کامپیوتر و برنامه نویسی، سرریز بافر، یا تاخت و تاز کردن بافر، یک استثنا است که در آن برنامه، هنگامی که در حال نوشتن داده‌ها به بافر است، از مرز بافر تخطی می‌کند و باعث رونویسی حافظه مجاور می‌شود. این یک مورد خاص از نقض ایمنی حافظه‌است.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.