روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ چندی پیش، در وبلاگ فنی خود (سکیورلیست) حمله به سازمانهای صنعتی را شرح دادیم که در آن از بکدری به نام PhantomPyramid که متخصصینمان آن را با اطمینان بالایی به گروه Head Mare نسبت دادند استفاده شده بود. این حمله نسبتاً استاندارد بود- ایمیلی ادعا کرده بود حاوی اطلاعات محرمانه است و یک فایل آرشیو محافظتشده با پسورد هم داشت که در واقع حاوی بدافزار بود و همچنین پسورد آنپک کردن نیز درست در بدنه ایمیل قرار داشت. اما متودی که مهاجمین با آن کد مخرب را (در فایلی ظاهراً بیضرر) پنهان کرده بودند بسیار جالب است: تکنیک فایل چند زبانه[1].
تکنیک فایل چند زبانه چیست؟
فایلهای Mitre ATT&CK matrix فایلهایی هستند مربوط به چندین نوع فایل به طور یکجا که بسته به اپی که در آنها لانچ میشوند عملکرد متفاوتی دارند. آنها برای پوشش دادن بدافزارها استفاده میشوند: برای کاربر و نیز برای برخی مکانیزمهای محافظتی پایه این فایلها کاملاً بیضرر به نظر میرسند؛ برای مثال یک تصویرند و یا یک داکیومنت. اما در حقیقت داخلشان یک کد مخرب است. افزون بر این، کد را میشود در آن واحد به چند زبان نوشت! مهاجمان از انواع ترکیب فرمتها استفاده می کنند. Unit42 یک بار با استفاده از فایل کمکی در فرمت Microsoft Compiled HTML Help (افزونه .chm) که همچنین اپ html (فایل .hta) بود حمله را بررسی کرد. محققین همچنین کارکرد تصویر .jpeg را که در واقع داخلش یک آرشیو .phar PHP بود شرح میدهند. در مورد حمله که توسط کارشناسان ما بررسی شد، کد قابل اجرا در یک فایل بایگانی .zip پنهان شده بود.
فایل چند زبانه در پرونده فانتومپیرامید[2]
فایل ارسالی توسط مهاجمین (حدس زده میشود منتسب به گروه Head Mare باشد) پسوند .zip داشت و میتوانست با اپ استاندارد آرشیور باز شود. اما در حقیقت آن، یک فایل قابل اجرای باینری بود که به آخرش یک آرشیو زیپ کوچک اضافه شده بود. داخل آرشیو، فایل میانبری بود با پسوند دوگانه pdf.lnk. اگر قربانی که مطمئن بود با یک فایل پیدیاف معمولی سروکار دارد، روی آن کلیک میکرد، میانبر یک اسکریپت powershell را اجرا میکرد که اجازه میداد فایل .zip مخرب بهعنوان یک فایل اجرایی راهاندازی شود، و همچنین یک فایل پیدیاف فریبنده در فهرست موقت ایجاد میکرد تا آن را به کاربر نشان دهد.
چطور ایمن بمانیم؟
برای جلوگیری از راهاندازی کدهای مخرب، توصیه میکنیم تمام رایانههای دارای دسترسی به اینترنت را به راهکارهای امنیتی قابل اعتماد مجهز کنید. علاوه بر این، از آنجایی که بیشتر حملات سایبری با ایمیلهای مخرب یا مهندسی اجتماعی آغاز میشوند، نصب یک راهکار امنیتی در سطح دروازه ایمیل شرکتی ایده بدی نیست. و برای داشتن بهروزترین دادهها در مورد تکنیکها، تاکتیکها و رویههای مهاجمان، پیشنهاد میکنیم از دادههای تهدید ارائهشده توسط سرویسهای Threat Intelligence استفاده کنید.
[1] polyglot technique
[2] PhantomPyramid
کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
