روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ منطق می‌گوید مطمئن‌ترین راه جلوگیری از یک رخداد سایبری این است که نگذاریم بدافزار به زیرساخت سازمانی نفوذ کند. پس موقع توسعه یک استراتژی امنیت اطلاعات، متخصصین اغلب تمرکز خود را روی واضح‌ترین بردارهای حمله می‌گذارند- مانند روش ایمیل. بیشتر حملات به طور حتم با ایمیل شروع می‌شوند اما فراموش نکنید مجرمان سایبری کلی متودهای دیگر برای تحویل بدافزار در چنته دارند.متخصصین تیم تحلیل و پژوهش جانی کسپرسکی از متودهای غیرمعمولی صحبت می‌کنند که موقع تحلیل تهدیدهای اخیر متوجه شدند از آن‌ها برای آلوده‌ کردن و توزیع بدافزار‌هایی استفاده شده است. با ما همراه بمانید.

تصرف تایپی[1] برای جعل ابزار

سازندگان بدافزاری به نام AdvancedIPSpyware تصمیم گرفتند کد خود را در ابزار Advanced IP Scanner برای ادمین سیست‌ها جاگذاری کنند. آن‌ها دو وبسایت با طراحی یکسان درست کردند؛ همینطور نام‌های دامنه‌ای که تنها یک حرف با هم تفاوت داشتند. این یعنی همه امید آن‌ها به این بود که قربانی به دنبال ابزار نظارت شبکه لوکال بگردد و برنامه را با بک‌دری از سایتی جعلی دانلود کند. جالب است بدانید که نسخه آلوده‌ی Advanced IP Scanner توسط گواهی دیجیتالی قانونی نیز امضا شده (گمان می‌رود گواهی سرقت شده باشد).

لینک‌های زیر ویدیوهای یوتیوب

اپراتورهای  OnionPoison سعی کردند کاری مشابه انجام دهند: آن‌ها نسخه آلوده‌ی مخصوص به خود را برای مرورگر TOR ساختند (تنها فرق این بود که خبری از امضای دیجیتال نبود). اما برای توزیع مرورگر تقلبی خود لینکی را روی کانال محبوب یوتیوب گذاشتند که در مورد ناشناس بودن آنلاین بود. این لینک زیر ویدیو قرار گرفت و دستورالعملی هم برای نصب TOR داشت. نسخه آلوده قابلیت آپدیت شدن نداشت و بک‌دری هم داشت برای دانلود آرشیو اضافی مخرب. این در عوض باعث شد مهاجمین بتوانند فرمان‌های دلخواه را در سیستم اجرا کنند و نیز کنترل تاریخچه مرورگر و آی‌دی‌های اکانت وی‌چت و  کیو‌کیو را در دست بگیرند.

توزیع بدافزار از طریق تورنت‌ها

سازندگان CLoader بدافزار خود را تحت پوشش گیم‌های اصطلاحاً پایرت‌شده و همچنین نرم‌افزارهای مفید قرار دادند. این متود بیشتر کاربران خانگی را هدف قرار می‌دهد اما این روزها –که اغلب دورکار هستند و مرز بین کار خانه و شرکت از بین رفته است- تورنت‌های آلوده نیز ممکن است برای کامپیوترهای اداری تهدید محسوب شوند. قربانیانی که تلاش داشتند از طریق تورنت‌ها نرم‌افزار پایرت کنند در عوض بدافزاری را انتخاب کردند که قادر بود بعنوان یک سرور پروکسی روی ماشین آلوده اجرا شود، بدافزار اضافی نصب کند یا دسترسی ریموت غیرقانونی به سیستم بدهد.

حرکت جانبی از طریق ابزارهای قانونی

جدیدترین نسخه‌های باج‌افزار  BlackBasta می‌تواند با استفاده از برخی فناوری‌های مایکروسافت از طریق شبکه لوکال توزیع شود. بعد از آلوده کردن یک کامپیوتر سپس می‌تواند بواسطه آرشیو LDAP به داریکتوری فعال متصل شده، فهرستی از کامپیوترها را در شبکه لوکال تهیه کرده، بدافزار را روی آن‌ها کپی نموده و آن را از راه دور با استفاده از COM (مدل شیء مؤلفه[2]) اجرا کند. این متود در سیستم از خود آثار کمی به جای می‌گذارد و همین شناسایی‌اش را سخت‌تر می‌کند.

راهکارهای امنیتی

 این نمونه‌ها نشان می‌دهند زیرساخت سازمانی نیازمند محافظتی جامع است. مطمئناً که یک راهکار با قابلیت اسکن همه ایمیل‌های برای شناسایی فیشینگ، لینک‌های آلوده و پیوست‌ها احتمالاً می‌تواند زیرساخت را از گزند بیشتر حملات مصون بدارد. اما در نظر داشته باشید که هر کامپیوتری که دسترسی به اینترنت داشته باشد می‌تواند یک لایه اضافی محافظت ضدبدافزار نیز داشته باشد. همینطو بهتر است بدانید در شبکه سازمانی‌تان چه اتفاقاتی دارد می‌افتد. افزون بر این توصیه می‌کنیم از راهکارهای کلاس EDR نیز استفاده کنید.

[1] Typosquatting

[2]با کوته‌نوشت COM یک استاندارد واسط دودویی برای مولفه‌های نرم‌افزاری است که توسط شرکت مایکروسافت در سال ۱۹۹۳ (سال ۱۳۷۲ شمسی) معرفی شد. 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.