خزشِ MysterySnail به یک آسیب‌پذیری روز صفر

27 مهر 1400 خزشِ  MysterySnail به یک آسیب‌پذیری روز صفر

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ فناوری‌های موتور شناسایی رفتار و پیشگیری از اکسپلویت[1] ما اخیراً اکسپلویت از یک آسیب‌پذیری در درایور کرنل Win32k را شناسایی کرده‌اند که به بررسی کل عملیات مجرمان سایبری پشت این اکسپلویت شد. با ما همراه بمانید تا شما را از چند و چون ماجرا باخبر سازیم.

ما این آسیب‌پذیری (CVE-2021-40449) را به ایکروسافت گزارش دادیم و این شرکت هم در تاریخ 12 اکتبر آن را طی آپدیت‌ مقرر خود پچ کرد. بنابراین طبق عادت پچ سه‌شنبه توصیه ما این است که هر چه زودتر مایکروسافت ویندوز خود را آپدیت کنید.

CVE-2021-40449 برای چه استفاده می‌شد؟

CVE-2021-40449 یک آسیب‌پذیری use after free در کارکرد NtGdiResetDC در درایور Win32k است. خلاصه بگوییم که این آسیب‌پذیری می‌تواند به نشت ماژول کرنل مرتبط با مموری کامپیوتر شود. مجرمان سایبری سپس از این نشتی برای افزایش مزیت‌های پروسه مخرب دیگر استفاده می‌کنند. مهاجمین بواسطه‌ی افزایش مزیت توانسته بودند MysterySnail را که یک تروجان دسترسی ریموت است (RAT) دانلود و اجرا کنند. این تروجان به مهاجمین اجازه داده بود تا به سیستم قربانی دسترس پیدا کنند.

نحوه عملکرد MysterySnail

این تروجان با جمع‌آوری اطلاعات در مورد سیستم آلوده و ارسالش به سرور C&C کار خود را شروع می‌کند. سپس مهاجمین با MysterySnail می‌توانند فرمان‌های متعددی را صادر کنند. برای مثال می‌توانند فایل خاصی را بسازند، بخوانند یا پاک کنند یا هم پروسه‌ای را ایجاد و یا حذف نمایند. همچنین می‌توانند یک لیست دایرکتوری دریافت کرده یا کانال پروکسی باز کرده و از طریق به ارسال داده بپردازند. سایر قابلیت‌های MysterySnail عبارتند از توانایی در مشاهده لیست درایوهای کانکتد و نظارت ارتباط درایوهای خارجی در پس‌زمینه و غیره. این تروجان همچنین می‌تواند پوسته تعاملی cmd.exe را نیز با کپی کردن این فایل در یک فولدر موقتی تحت نامی متفاوت اجرا نماید.

حملاتی که از طریق CVE-2021-40449 انجام شده است

اکسپلویت این آسیب‌پذیری رشته‌ای از سیستم عامل‌ها را در خانواده مایکروسافت ویندوز پوشش می‌دهد:

Vista, 7, 8, 8.1, Server 2008, Server 2008 R2, Server 2012, Server 2012 R2, Windows 10 (build 14393), Server 2016 (build 14393), 10 (build 17763), و Server 2019 (build 17763). به نقل از متخصصین ما، این اکسپلویت مشخصاً برای افزایش مزایا روی نسخه‌های سرور آی‌اواس وجود دارد. بعد از شناسایی این تهدید، متخصصین ما متوجه شدند این اکسپلویت و بدافزار MysterySnail که در سیستم لود می‌کند به طور گسترده‌ای در عملیات‌های جاسوسی علیه شرکت‌های آی‌تی، سازمان‌های سیاسی و شرکت‌هایی که برای صنایع دفاع کار می‌کنند مورد استفاده قرار گرفته‌اند. به لطف Kaspersky Threat Attribution Engine متخصصین ما توانستند شباهت‌هایی در این کد و کارکرد MysterySnail و نیز بدافزاری که توسط گروه IronHusky استفاده شده بود پیدا کنند. افزون بر این، یک گروه APT چینی زبان نیز از برخی از آدرس سرورهای C&CMysterySnail در سال 2012 استفاده کرده بود.

راهکارهای امنیتی

ابتدا با نصب جدیدترین پچ از مایکروسافت خود را ایمن سازید و سعی کنید با نصب راهکارهای امنتی قوی که قادرند اکسپلویت از آسیب‌پذیری‌ها را روی هر کامپیوتری که دسترسی به نت دارد شناسایی کنند خود را در برابر آسیب‌پذیری‌های روز صفر احتمالی مصون سازید. فناور‌ی‌های Behavioral Detection Engine و Exploit Prevention مانند آن‌هایی که در Kaspersky Endpoint Security for Business هستند توانستند CVE-2021-40449 را شناسایی کنند.

 

[1] Behavioral Detection Engine and Exploit Prevention technologies

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security

    ایمن بمانید- هرآنچه در محل کار و خانه انجام می‌دهید هرآنچه در محیط آنلاین انجام می‌دهید- روی دستگاه‌های پی‌سی، مک و اندروید- بسته‌ی امنیتی پیشرفته و تک‌لایسنسیِ ما به شما کمک ...

    9,447,000 ریال
    خرید
  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    3,147,000 ریال
    خرید
  • Kaspersky Total Security

    قوی‌ترین و پرفروش‌ترین مجموعه‌‌ امنیتی ما امنیت خانواده چنددستگاهه مجهز به آنتی‌ویروس، ضدباج‌افزار، امنیت وبکم، مدیر کلمه‌عبور و 87 فناوری دیگر، همگی با یک لایسنس. ...

    12,597,000 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    4,722,000 ریال
    خرید
  • Kaspersky Safe Kids

    شما می توانید بر ارتباطات اینترنتی کودکان از قبیل فعالیتهای عمومی در فیسبوک، کنترل تماسها و پیامها از طریق دستگاههای اندرویدی نظارت داشته باشید. کمک شما به کودکان بهترین راهنمایی برای آنها ...

    4,722,000 ریال
    خرید
  • Kaspersky Antivirus

    بهترین آنتی‌ویروس ما برای ویندوز پی‌سی شما جدیدترین ویروس‌ها، باج افزارها، جاسوس‌افزارها، رمزگرها و غیره را بلاک کرده و کمک می‌کند جلوی بدافزار ماینینگِ رمزارز -که به ...

    6,297,000 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 25 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    11,340,000 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد