روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛  چندی پیش، در وبلاگ فنی خود (سکیورلیست) حمله‌ به سازمان‌های صنعتی را شرح دادیم که در آن از بک‌دری به نام PhantomPyramid که متخصصین‌مان آن را با اطمینان بالایی به گروه  Head Mare نسبت دادند استفاده شده بود. این حمله نسبتاً استاندارد بود- ایمیلی ادعا کرده بود حاوی اطلاعات محرمانه است و یک فایل آرشیو محافظت‌شده با پسورد هم داشت که در واقع حاوی بدافزار بود و همچنین پسورد آن‌پک کردن نیز درست در بدنه ایمیل قرار داشت. اما متودی که مهاجمین با آن کد مخرب را (در فایلی ظاهراً بی‌ضرر) پنهان کرده بودند بسیار جالب است: تکنیک فایل چند زبانه[1].

تکنیک فایل چند زبانه چیست؟

فایل‌های  Mitre ATT&CK matrix فایل‌هایی هستند مربوط به چندین نوع فایل به طور یکجا که بسته به اپی که در آن‌ها لانچ می‌شوند عملکرد متفاوتی دارند. آن‌ها برای پوشش دادن بدافزارها استفاده می‌شوند: برای کاربر و نیز برای برخی مکانیزم‌های محافظتی پایه این فایل‌ها کاملاً بی‌ضرر به نظر می‌رسند؛ برای مثال یک تصویرند و یا یک داکیومنت. اما در حقیقت داخلشان یک کد مخرب است. افزون بر این، کد را می‌شود در آن واحد به چند زبان نوشت! مهاجمان از انواع ترکیب فرمت‌ها استفاده می کنند. Unit42 یک بار با استفاده از فایل کمکی در فرمت Microsoft Compiled HTML Help (افزونه .chm) که همچنین اپ html (فایل .hta) بود حمله را بررسی کرد. محققین همچنین کارکرد تصویر .jpeg را که در واقع داخلش یک آرشیو .phar PHP بود شرح می‌دهند. در مورد حمله که توسط کارشناسان ما بررسی شد، کد قابل اجرا در یک فایل بایگانی .zip پنهان شده بود.

فایل چند زبانه در پرونده فانتوم‌پیرامید[2]

فایل ارسالی توسط مهاجمین (حدس زده می‌شود منتسب به گروه Head Mare باشد) پسوند .zip داشت و می‌توانست با اپ استاندارد آرشیور باز شود. اما در حقیقت آن، یک فایل قابل اجرای باینری بود که به آخرش یک آرشیو زیپ کوچک اضافه شده بود. داخل آرشیو، فایل میانبری بود با پسوند دوگانه pdf.lnk. اگر قربانی که مطمئن بود با یک فایل پی‌دی‌اف معمولی سروکار دارد، روی آن کلیک می‌کرد، میانبر یک اسکریپت powershell را اجرا می‌کرد که اجازه می‌داد فایل .zip مخرب به‌عنوان یک فایل اجرایی راه‌اندازی شود، و همچنین یک فایل پی‌دی‌اف فریبنده در فهرست موقت ایجاد می‌کرد تا آن را به کاربر نشان دهد.

چطور ایمن بمانیم؟

برای جلوگیری از راه‌اندازی کدهای مخرب، توصیه می‌کنیم تمام رایانه‌های دارای دسترسی به اینترنت را به راهکارهای امنیتی قابل اعتماد مجهز کنید. علاوه بر این، از آنجایی که بیشتر حملات سایبری با ایمیل‌های مخرب یا مهندسی اجتماعی آغاز می‌شوند، نصب یک راهکار امنیتی در سطح دروازه ایمیل شرکتی ایده بدی نیست. و برای داشتن به‌روزترین داده‌ها در مورد تکنیک‌ها، تاکتیک‌ها و رویه‌های مهاجمان، پیشنهاد می‌کنیم از داده‌های تهدید ارائه‌شده توسط سرویس‌های Threat Intelligence استفاده کنید.

[1] polyglot technique

[2] PhantomPyramid

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.