روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ فناوریهای شناسایی تهدید رفتاری و پیشگیری از اکسپلویت در راهکار امنیتی Kaspersky Endpoint Security for Business موجی از حملات به شدت هدفدار را روی چندین شرکت شناسایی کرده است. این حملات از زنجیرهای از اکسپلویتهای روز صفرِ مرورگر گوگل کروم و آسیبپذیریهای مایکروسافت ویندوز استفاده کرده است. تا کنون، پچهایی برای این آسیبپذیریها عرضه شده است (درست با انتشار آپدیت مایکروسافت در تاریخ 8 ژوئن)؛ از این رو توصیه ما به شما این است که هم مرورگر و هم سیستمعامل را بروزرسانی کنید. ما نام عامل تهدید پشت این حملات را PuzzleMaker گذاشتهایم. با ما همراه بمانید.
حملات PuzzleMaker از چه جهاتی بسیار خطرناک به حساب میآیند؟
مهاجمین برای اجرای کد مخرب روی دستگاه مورد هدف از آسیبپذیری گوگل کروم و در ادامه نیز از دو آسیبپذیری ویندوز 10 برای فرار از سندباکس و دسترسی به مزایای سیستم استفاده میکنند. آنها سپس اولین ماژول بدافزار–یا همان اصطلاحاً استیجر- را به همراه یک بلوک تنظیمبندی سفارشیسازیشده (آدرس سرور فرمان، آیدی سشن، کلیدهای رمزگشایی برای ماژول بعدی و غیره) در دستگاه قربانی آپلود میکند. استیجر به مهاجمین در مورد این الودگی موفق خبر میدهد و ماژول دراپر –که در عوض دو فایل قابلاجرا را که خود را قانونی جلوه میدهند نصب میکند- را دانلود و سپس رمزگشایی میکند. اولی –که نامش WmiPrvMon.exе است- به عنوان یک سروی ثبتنام میکند و دومی را –موسوم به wmimon.dll. - اجرا مینماید. این فایل دوم قابلاجرا پیلود اصلی حمله به حساب میآید؛ یکجور پوستهی ریموتِ در لباس مبدل. مهاجمین از این پوسته برای بهرهمند شدن از تمام جنبههای نظارتی روی دستگاه مورد هدف استفاده میکنند. آنها میتوانند فایلها را آپلود و دانلود کرده، فرآیندهایی را سازند، برای مدت زمانی به خواب زمستانی بروند، حتی کای کنند تا هیچ رد و نشانی از این حمله ری دستگاه قربانی باقی نمایند. این اجزای بدافزار از طریق کانکشنی رمزگذاریشده با سرور فرمان ارتباط برقرار میکند.
کدام اکسپلویتها و کدام آسیبپذیریها؟
متأسفانه متخصصین ما نتوانستند اکسپلویت اجرای کد ریموت PuzzleMaker را که برای حمله به گوگل کروم استفاده شده بود آنالیز کنند؛ اما بررسی کاملی روی آن انجام دادند و در نهایت به این نتیجه رسیدند که مهاجمین احتمالاً به آسیبپذیری CVE-2021-21224 وابسته بودهاند. به هر روی، گوگل در تاریخ 20 آوریل 2021 پچی برای این آسیبپذیری ارائه کرد- درست کمتر از یک هفته بعد از کشف این موج از حملات. طی این اکسپلویت از دو آسیبپذیری ویندوز 10 در آن واحد استفاده کرده بود. اولی موسوم به CVE-2021-31955 در حقیقت یک آسیبپذیری افشای اطلاعات در فایل ntoskrnl.exe است. این اکسپلویت از آن برای تعیین آدرسهای هسته ساختار EPROCESS برای فرآیندهای اجراشده استفاده کرده است. آسیبپذیری دوم به نام EPROCESS در درایور ntfs.sys قرار دارد و به طبقهبندی آسیبپذیریهای سرریز هیپ[1] متعلق است. مهاجمین از آن به همراه Windows Notification Facility برای خواندن و نوشتن داده در مموری استفاده کردند. این اکسپلویت روی رایجترین سازههای ویندوز 10 کار میکند: 17763 (Redstone 5), 18362 (19H1), 18363 (19H2), 19041 (20H1), and 19042 (20H2). این را هم بگوییم که Build 19043 (21H1) خود نیز آسیبپذیر است؛ هرچند فناوریهای ما هنوز روی این نسخه –که بعد از شناسایی PuzzleMaker منتشر شد- حملاتی را شناسایی نکردهاند.
راهکارهای امنیتی
به منظور محافظت از امنیت سازمانی در برابر اکسپلویتهای بکار رفته در حمله PuzzleMaker، ابتدا توصیه میکنیم کروم را آپدیت کنید و پچهای سیستمعامل را که به آسیبپذیریهای CVE-2021-31955 و CVE-2021-31956 میپردازند نصب نمایید (از وبسایت رسمی مایکروسافت). برای جلوگیری از تهدید سایر آسیبپذیریهای روز صفر، هر نوع شرکتی میبایست از محصولات امنیت سایبری استفاده کند که با آنالیز رفتار مشکوک قادر به شناسایی چنین اقدامات اکسپلویت هستند. برای مثال محصولات ما با استفاده از فناوری Behavioral Detection Engine و سیستم زیرمجموعه Exploit Prevention در Kaspersky Endpoint Security for business این حمله را شناسایی کردند.
[1]یک نوع سرریز بافر میباشد که در ناحیهٔ دادههای هیپ (heap) رخ میدهد. سرریز هیپ به شیوههای متفاوت بنابر سرریزهای مبتنی بر استک بهرهبرداری (استخراج) میشود.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.