آلودگی‌های نامعمول و روش‌های انتشار بدافزار

23 آبان 1401 آلودگی‌های نامعمول و روش‌های انتشار بدافزار

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ اغلب از ما می‌پرسند چگونه تارگت‌ها به بدافزار آلوده می‌شوند. پاسخ ما تقریباً همیشه یکسان است: فیشینگ (هدف‌دار) طبیعتاً استثناهایی وجود خواهد داشت، زیرا هر از چند گاهی با آسیب‌پذیری‌های RCE مواجه می‌شویم، یا اگر مهاجم از قبل در شبکه باشد، از ابزارهایی مانند PsExec استفاده می‌کند. اما به غیر از موارد استثنا تقریباً همیشه روال همین بوده. ماه گذشته، روی روش‌های آلوده‌سازی مورد استفاده در کمپین‌های مختلف بدافزار متمرکز شدیم: روش‌هایی که اغلب شاهدشان نیستیم. در این مطلب قرار است به نمونه‌هایی از آن‌ها بپردازیم. با ما همراه بمانید.

BlackBasta: روش انتشار جدید

بلک‌باستا، باج‌افزار بدنامی که قبلاً درباره آن نوشته‌ایم، اخیراً به‌روزرسانی شده. اکنون دارای دومین پارامتر خط فرمان اختیاری است: "-bomb".

  1.      اتصال به AD  با استفاده از آرشیو LDAP و بدست آوردن فهرستی از دستگاه‌های شبکه
  2.      استفاده از فهرستی از ماشین‌ها. کپی کردن خودش در هر ماشین
  3.      استفاده از Component Object Model  (کام) و اجرای ریموت شدن روی هر دستگاه

مزیت استفاده از روش انتشار داخلی این است که آثار کمتری در سیستم باقی می‌گذارد و نسبت به استفاده از ابزارهای عمومی مخفی‌تر است. به عنوان مثال، یکی از ابزارهای مورد علاقه مهاجمان، PsExec، براحتی در شبکه شناسایی می‌شود. روش جدید به مدافعان شبکه امکان کمتری برای شناسایی فعالیت‌های مخرب می‌دهد.

CLoader: آلودگی از طریق تورنت‌های مخرب

مجرمان سایبری به ندرت از تورنت‌های مخرب برای آلوده کردن اهداف خود استفاده می‌کنند. با این وجود، این یک روش عفونتی است که نباید از آن سرسری گذشت. CLoader در آوریل 2022 کشف شد. سی‌لودر از بازی‌ها و نرم‌افزارهای کرک شده به عنوان طعمه برای فریب کاربران برای نصب بدافزار استفاده می‌کرد. فایل‌های دانلود شده نصب‌کننده NSIS بودند (حاوی کد مخرب در اسکریپت نصب).

به طور کلی، ما شاهد شش پی‌لود مختلف بودیم که دانلود شدند:

پروکسی مخرب Microleaves  به عنوان پروکسی که در دستگاه آلوده کار می‌کند،

پروکسی مخرب Paybiz  که به عنوان یک پروکسی در دستگاه آلوده کار می‌کند،

دانلودر MediaCapital  که ممکن است بدافزار بیشتری را در سیستم نصب کند،

دانلودر CSDI  که ممکن است بدافزار بیشتری را در سیستم نصب کند،

دانلودر Hostwin64 که ممکن است بدافزار بیشتری را در سیستم نصب کند،

Inlog backdoor  : برنامه قانونی NetSupport را برای دسترسی ریموت به دستگاه نصب می‌کند.

وقتی ماجرا را از منظر قربانی‌شناسی نگاه می‌کنیم، می‌بینیم که کاربران در سراسر جهان آلوده هستند، اما این آلودگی در آمریکا، برزیل و هند بیشتر دیده می‌شود.

OnionPoison: آلودگی‌ها از طریق مرورگر جعلی Tor

آگوست 2022، کمپینی را کشف کردیم که حداقل از ژانویه در حال اجرا بود و بر کاربران چینی‌زبان تمرکز داشت. یک کانال محبوب چینی‌زبان یوتیوب ویدیویی را با دستورالعمل نصب مرورگر Tor منتشر کرد. این به خودی خود عجیب نیست، زیرا مرورگر Tor در چین مسدود شده است. با این حال، اگر کاربر بر روی لینک در توضیحات کلیک می‌کرد، نسخه آلوده‌ای از مرورگر Tor دانلود می‌شد. نسخه آلوده تقریباً مشابه نسخه اصلی است، به طوری که کاربر هیچ تفاوتی را متوجه نمی‌شود. تفاوت با نسخه بی‌خطر به شرح زیر است:

  •         نصب‌گر امضای دیجیتال ندارد
  •         یکی از DLL هایی که با نسخه اصلی ارائه می‌شود freebl3.dll) )کاملاً متفاوت است، زیرا حاوی کدهای بک‌در است
  •         یک فایل جدید اضافه شده است freebl.dll)) که همان freebl3.dll اصلی است.
  •         باینری فایرفاکس که با TOR همراه است یک بایت با نسخه اصلی متفاوت است، یعنی یک کاراکتر در URL مورد استفاده برای بروزرسانی. به این ترتیب مهاجمین از بروزرسانی مرورگر جلوگیری می‌کنند.
  •         فایل پیکربندی مرورگر برای ارائه حالت ناشناسیِ کمتر، تغییر یافته است. به عنوان مثال، تاریخچه مرور اکنون روی دیسک ذخیره می‌شود.

عملکرد Freebl3.dll در بک‌در ساده است. تمام عملکردها را به DLL اصلی پراکسی و همچنین یک DLL اضافی را از C2 دانلود می‌کند. DLL دانلود شده حاوی اکثر عملکردهای مخرب است. از جمله قابلیت‌های زیر را دارد:

  •         اجرای فرمان‌ها در سیستم
  •         ارسال تاریخچه وبگردی تور در c2
  •         ارسال آی‌دی‌های وی‌چت و کیوکیو قربانی‌ها در c2

AdvancedIPSpyware: ابزار بی‌خطر بک‌در شده و امضاشده

افزودن کدهای مخرب به نرم‌افزارهای بی‌خطر به منظور پنهان کردن فعالیت غیرقانونی و فریب دادن کاربر، تکنیکی است که اغلب شاهدش هستیم. چیزی که ما اغلب نمی‌بینیم این است که باینری بک‌در امضا شده است. این دقیقا سناریویی است که برای AdvancedIPSpyware صادق است: نسخه‌ای است بک‌درشده از ابزار قانونی Advanced IP Scanner که توسط مدیران شبکه برای کنترل شبکه‌های محلی استفاده می‌شود. گواهی استفاده شده برای امضای بدافزار به احتمال زیاد سرقتی است. این بدافزار در دو سایت میزبانی می‌شد که دامنه آنها تقریباً مشابه وب سایت قانونی Advanced IP Scanner بود و فقط یک کاراکتر در URL تفاوت داشت. علاوه بر این، وبسایت‌ها یکسان به نظر می‌رسند. تنها تفاوت دکمه "دانلود رایگان" در وبسایت های مخرب است.

یکی دیگر از ویژگی‌های غیر معمول AdvancedIPSpyware معماری آن است که ماژولار است. به طور معمول، یک معماری ماژولار از سوی دولت حمایت می‌شود نه از سوی یک بدافزار جنایی. ما سه ماژول زیر را مشاهده کردیم که از طریق IPC با یکدیگر در ارتباط هستند:

  •         ماژول اصلی: یا خود را آپدیت می‌کند یا حذف. یا هم نمونه دیگری را ایجاد می‌کند!
  •         ماژول اجرای فرمان: کارایی معمول جاسوس‌افزار از جمله جمع‌آوری اطلاعات، اجرای فرمان و غیره
  •         ماژول ارتباط شبکه: مدیریت همه کارایی‌های مربوط به شبکه (پیام‌های مربوط به ضربان قلب و غیره)

کمپین AdvancedIPSpyware دارای قربانی‌شناسی گسترده‌ای است. ما چندین قربانی را در آمریکای لاتین، آفریقا، اروپای غربی، آسیای جنوبی، استرالیا و کشورهای مستقل مشترک المنافع شناسایی کرده‌ایم. تعداد کل قربانیان آلوده در طول این کمپین حدود 80 نفر است.

جمع‌بندی

حتی اگر بازیگران مخرب تکیه‌شان بر ایمیل بعنوان ناقل عفونت اولیه باشد باز هم روش‌های دیگر را نباید نادیده گرفت. تایپیک دامنه و نرم‌افزارهای کرک شده قابل دانلود از طریق تورنت تنها دو ترفند جایگزینی هستند که مجرمان برای فریب قربانیان برای نصب بدافزار بر روی سیستم‌های خود استفاده می‌کنند. توسعه‌دهندگان باج‌افزار بدافزار خود را به روز می‌کنند. این بار، BlackBasta عملکردی را اضافه کرده که تحقیقات قانونی و تشخیص را دشوارتر می‌کند، زیرا بدافزار اکنون می‌تواند از طریق خود شبکه منتشر شود.

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    7,500,350 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    11,254,100 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    1,125,410 ریال11,254,100 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    75,067,850 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    10,617,750 ریال21,235,500 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    15,225,925 ریال30,451,850 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    16,287,700 ریال32,575,400 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    67,563,925 ریال135,127,850 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    216,208,850 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    81,077,425 ریال162,154,850 ریال
    خرید
  • Kaspersky Small Office Security

    259,752,350 ریال
    خرید
  • Kaspersky Small Office Security

    94,590,925 ریال189,181,850 ریال
    خرید
  • Kaspersky Small Office Security

    302,545,100 ریال
    خرید
  • Kaspersky Small Office Security

    108,104,425 ریال216,208,850 ریال
    خرید
  • Kaspersky Small Office Security

    346,088,600 ریال
    خرید
  • Kaspersky Small Office Security

    121,617,925 ریال243,235,850 ریال
    خرید
  • Kaspersky Small Office Security

    388,881,350 ریال
    خرید
  • Kaspersky Small Office Security

    123,870,175 ریال247,740,350 ریال
    خرید
  • Kaspersky Small Office Security

    396,388,850 ریال
    خرید
  • Kaspersky Small Office Security

    174,545,800 ریال349,091,600 ریال
    خرید
  • Kaspersky Small Office Security

    558,550,850 ریال
    خرید
  • Kaspersky Small Office Security

    225,221,425 ریال450,442,850 ریال
    خرید
  • Kaspersky Small Office Security

    720,712,850 ریال
    خرید
  • Kaspersky Small Office Security

    272,143,300 ریال544,286,600 ریال
    خرید
  • Kaspersky Small Office Security

    870,862,850 ریال
    خرید
  • Kaspersky Small Office Security

    516,137,050 ریال1,032,274,100 ریال
    خرید
  • Kaspersky Small Office Security

    1,651,642,850 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد