روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ مجرمان سایبری مدت‌هاست از برنامه‌ها و اجزای سیستم‌عاملی قانونی برای حمله به کاربران مایکروسافت ویندوز استفاده می‌کنند؛ این تاکتیک در حقیقت به Living off the Land معروف است. با این تاکتیک آن‌ها سعی دارند با یک تیر چند نشان بزنند: کاهش هزینه‌های ساخت کیت‌ابزار بدافزار، به حداقل رساندن رد و نشان سیستم‌عاملشان و پنهان کردن فعلیت‌شان پشت پوشش اقدامات قانونیِ آی‌تی. به بیانی دیگر هدف اصلی آن‌ها سخت‌تر کردن فعالیت مخرب‌شان است. متخصصین امنیتی به همین دلیل از پیش فعالیت‌های بالقوه ناامنِ فایل‌های قابل اجرا، اسکریپت‌ها و آرشیوها را تحت نظر قرار داده‌اند. آن‌ها در این رویه تا حدی پیش رفته‌اند که پروژه‌ای تحت عنوان LOLBAS در GitHub ثبت کردند. همکاران ما در سرویس MDR[1] که از چندین شرکت با طیف وسیعی از حوزه‌های کسب و کار محافظت می‌کند اغلب این رویکرد را در حملاتی که در دنیای واقعی رخ می‌دهند می‌بینند. آن‌ها در گزارش شناسایی مدیریت‌شده و تحلیلگر واکنش به رخداد سایبری اجزای سیستمی را مورد بررسی قرار دادند که معمولاً برای حمله به کسب و کارهای مدرن استفاده می‌شد. در ادامه با ما همراه باشید تا کشفیات آن‌ها را تحلیل کنیم.

طلایی: پاورشل

پاورشل –موتور نرم‌افزار و زبان اسکریپت به رابط خط فرمان- رایج‌ترین ابزار قانونی است که این روزها مجرمان سایبری از آن استفاده می‌کنند؛ هرچند مایکروسافت خیلی تلاش کرده آن را امن و قابل‌کنترل نماید. 3.3 درصد رخدادهایی که سرویس MDR شناسایی کرده است به اکسپلویت پاورشل مربوط می‌شود. افزون بر این اگر بخواهیم این بررسی را به چند رخداد واحد محدود کنیم باید بگوییم پاورشل در هر 5 رخداد یک بار خودنمایی کرد (دقیق‌تر باشیم: 20.3%).

نقره‌ای: rundll32.exe

جایگاه دوم متعلق است به پروسه میزبانی  rundll32 که برای اجرای کد از DLL‌ها[2] استفاده می‌شود. rundll32.exe  در 2 درصد کل رخدادها دیده شده و 5.1 درصد مهم‌ترین‌ها را شکل می‌دهد.

برنز: چندین ابزار دیگر

5 ابزار دیگر هم پیدا کردیم که 1.9 درصد همه رخدادها را شکل می‌دهند:

•         te.exe، بخشی از فریم‌ورک Test Authoring and Execution
•         PsExec.exe، ابزاری برای اجرای پروسه‌هایی روی سیستم‌های ریموت
•         CertUtil.exe، ابزاری برای مدیریت اطلاعات از مقامات صدور گواهی
•         Reg.exe یک ابزار کنسول رجیستری مایکروسافت که می‌شود از آن برای تغییر کلیدهای اضافی در رجیستری سیستم از خط فرمان استفاده کرد
•         wscript.exe، میزبان Windows Script است که برای اجرای اسکریپت‌ها در زبان‌های اسکریپت طراحی شده است

این 5 فایل قابل‌اجرا در 7.2 درصد رخدادهای مهم دیده شدند.

متخصصین Kaspersky MDR علاوه بر این مشاهده کردند که از msiexec.exe، remote.exe، atbrocker.exe، cscript.exe، netsh.exe، schtasks.exe، excel.exe، print.exe، print.exe، msbuild.exe، powerpnt.exe، dllhost.exe، regsvr32.exe، winword.exe و shell32.exe نیز استفاده شده است.

[1] Kaspersky Managed Detection and Response

[2] dynamic-link libraries

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.