نماد آخرین خبر

بدافزار جدید Dexphot هزاران کامپیوتر را آلوده کرده است

منبع
زوميت
بروزرسانی
زوميت/ بدافزار جديدي به‌نام Dexphot با کاربرد معدن‌کاوي رمزارز کشف شده که به‌گفته‌ي مايکروسافت،‌ تاکنون بيش از ۸۰ هزار کامپيوتر را آلوده کرده است. محققان امنيتي مايکروسافت جزئيات عملکردي بدافزار جديدي به‌نام Dexphot را منتشر کردند. اين بدافزار از اکتبر ۲۰۱۸ فعاليت خود را شروع و تعداد زياد کامپيوترهاي مجهز به ويندوز را آلوده کرده است. بدافزار Dexphot از منابع پردازشي کامپيوتر قرباني براي معدن‌کاوي رمزارز استفاده مي‌کند. اوج فعاليت Dexphot در ژوئن سال جاري بود که آمار کامپيوترهاي آلوده به آن، به ۸۰ هزار سيستم رسيد. از آن زمان تعداد حمله‌ها وارد روند کاهشي شد. مايکروسافت مي‌گويد پياده‌سازي رويکردهاي امنيتي براي تشخيص بهتر و جلوگيري از حمله‌ها، در کاهش آن‌ها مؤثر بوده‌اند. بدافزاري با نژاد پيچيده و اهداف ساده هدف نهايي Dexphot، يعني معدن‌کاوي رمزارز با سوءاستفاده از منابع پردازشي قرباني، ساده به‌نظر مي‌رسد. تکنيک‌هاي استفاده‌شده‌ي در اين بدافزار، به‌‌دليل پيچيدگي فراوان توجه زيادي را به‌خود جلب کرد. مايکروسافت در خبر خود به پيچيدگي ذاتي بدافزار مذکور اشاره کرد. هيزل کيم، تحليلگر بدافزار گروه Microsoft Denender ATP Research، با اشاره به هدف ساده‌ي Dexphot براي معدن‌کافي رمزارز و نه دزديدن داده، درباره‌ي آن مي‌گويد: Dexphot از آن دسته حمله‌هايي نيست که توجه رسانه‌هاي عمومي را به‌خود جلب کند. اين بدافزار يکي از کمپين‌هاي بي‌شماري محسوب مي‌شود که هميشه فعال هستند. هدف او در گروه‌هاي مجرمان سايبري مرسوم و متداول محسوب مي‌شود: نصب معدن‌کاو سکه که منابع پردازشي را مي‌دزدد و براي مجرمان درآمدزايي مي‌کند. بدافزار Dexphot با وجود هدف ساده، پيچيدگي و تکامل بسياري دارد که فراتر از تهديدهاي روزمره‌ي اينترنتي است. گذر از محدوديت‌ها و حفاظ‌هاي امنيتي متعدد و توانايي فعاليت بدون شناسايي در ابزارهاي امنيت سايبري آن را به پديده‌اي پيچيده تبديل مي‌کند. کيم درادامه‌ي گزارش مفصل خود درباره‌ي Dexphot، به‌ روش‌هاي حرفه‌اي آن در دورزدن محدوديت‌هاي امنيتي اشاره مي‌کند. روش‌هايي همچون اجرا بدون نياز فايل،‌ تکنيک‌هاي چندشکلي و مکانيزمي هوشمند و پايدار که دربرابر بارگذاري مجدد سيستم هم مقاوم باشد، از خصوصيت‌هاي پيچيده‌ي Dexphot هستند. فرايند آلوده‌سازي مايکروسافت مي‌گويد محققان امنيتي از اصطلاح Second stage payload براي تعريف Dexphot استفاده مي‌کنند. چنين اصطلاحي براي بدافزارهايي به‌کار مي‌رود که روي سيستم‌هاي آلوده به بدافزارهاي ديگر نصب و اجرا مي‌شوند. بدافزار مذکور روي سيستم‌هايي نصب مي‌شد که قبلا به بدافزار ICLoader آلوده شده بودند. بدافزار ICLoader عموما به‌صورت افزونه‌اي درکنار بسته‌هاي نرم‌افزاري به سيستم قرباني تزريق و روي آن نصب مي‌شود. احتمال نصب بدافزار مذکور زماني افزايش مي‌يابد که کاربر از سرويس‌هاي کرک‌شده و از منابع نامعتبر براي دريافت نرم‌افزار استفاده کند. برخي از مجرمان توسعه‌دهنده‌ي بدافزار پس از نصب ICLoader، از آن براي دانلود و اجراي نصب‌کننده‌ي Dexphot استفاده مي‌کنند. مايکروسافت مي‌گويد نصب‌کننده‌ي Dexphot، تنها بخشي است که روي ديسک حافظه‌ي سيستم قرباني نوشته و آن هم پس از مدت کوتاهي پاک مي‌شود. تمامي بخش‌هاي ديگر Dexphot از روشي به‌نام «اجراي بدون فايل» (fileless execution) استفاده مي‌کنند و تنها در مموري سيستم اجرا مي‌شوند. چنين رويکردي باعث مي‌شود راهکارهاي کلاسيک آنتي‌ويروس‌ها، يعني بررسي سيگنجر فايل‌ها در حافظه‌ي دائمي، توانايي شناسايي Dexphot را نداشته باشند. Dexphot کمترين ردپا را در حافظه‌ي دائمي سيستم قرباني برجا مي‌گذارد Dexphot علاوه‌بر روش اجرايي بدون نياز به فايل، از روشي به‌نام living off the land يا LOLbins نيز استفاده مي‌کند. در روش مذکور، از فرايندهاي صحيح و معتبر ويندوز براي اجراي کدهاي مخبر استفاده مي‌شود. درواقع بدافزار، با استفاده از روش مذکور، به فرايندها و اجراکننده‌هاي اختصاصي نيازي ندارد و از منابع ويندوز بهره مي‌برد. مايکروسافت مي‌گويد Dexphot معمولا از فرايندهاي msiexec.exe ،‌unzip.exe ،‌rundll32.exe ،‌schtasks.exe و powershell.exe سوءاستفاده مي‌کند. همه‌ي فرايندهاي مذکور اپليکيشن‌هاي معتبري هستند که در سيستم‌هاي ويندوزي از ابتدا نصب شده‌اند. Dexphot با استفاده از فرايندهاي مذکور براي اجراي کد مخرب، از ديگر اپليکيشن‌هاي محلي تمايزناپذير مي‌شود که از فرايندها بهره مي‌برند. مجرمان توسعه‌دهنده‌ي Dexphot در پيچيده‌سازي بدافزار خود بازهم فراتر رفته‌اند. در سال‌هاي اخير، آنتي‌ويروس‌ها از سيستم‌هاي مبتني‌بر خدمات ابري استفاده مي‌کنند تا الگوي اجراهاي بدون نياز به فايل و LOLbins را ذخيره و بررسي کنند؛ درنتيجه، بدافزار پيچيده‌ي جديد از روش ديگري به‌نام polymorphism هم بهره مي‌برد. اين تکنيک در بدافزارها به‌معناي تغيير متناوب ساختار آن‌ها است. مايکروسافت مي‌گويد توسعه‌دهندگان Dexphot هر ۲۰ تا ۳۰ دقيقه نام فايل‌ها و آدرس‌هاي وب فعاليت‌هاي مخرب خود را تغيير مي‌دهند. به‌محض اينکه آنتي‌ويروس بتواند الگوي آلوده‌سازي را در زنجيره‌ي Dexphot کشف کند، الگو تغيير مي‌کند؛ درنتيجه، گروه مجرمان پشت صحنه‌ي Dexphot هميشه يک قدم جلوتر از محافظان امنيتي هستند. مکانيزم‌هاي ماندگاري چندلايه هيج بدافزاري تا ابد ناشناس نمي‌ماند. مجرمان سايبري توسعه‌دهنده‌ي Dexphot براي اين موقعيت نيز راهکاري در نظر گرفته‌اند. مايکروسافت مي‌گويد بدافزار مذکور با مکانيزم پايداري پيچيده‌اي عمل مي‌کند و سيستم‌هاي قرباني که تمامي انواع Dexphot را شناسايي و پاک نکنند، مجددا آلوده مي‌شوند. Dexphot در ابتدا از روشي به‌نام خالي‌کردن فرايندها استفاده کرد. دو فرايند مجاز ويندوزي به‌ نام‌هاي svchost.exe و nslookup.exe را بدافزار اجرا و محتواي آن‌ها را خالي مي‌کند. سپس، کدهاي مخرب ازطريق فرايندهاي مجاز اجرا شدند. فرايندهاي مذکور که با ظاهر مجاز به‌عنوان زيرمجموعه‌هايي از Dexphot فعاليت مي‌کنند، به‌نوعي نگهبان اجراي صحيح همه‌ي بخش‌هاي ديگر بدافزار هستند. در زمان متوقف‌شدن هريک از بخش‌ها نيز، همين دو فرايند بارديگر آن‌ها را نصب مي‌کنند. ازآنجاکه دو فرايند به‌عنوان نگهبان عمل مي‌کنند، درصورت متوقف‌شدن يکي از آن‌ها، ديگري به‌عنوان پشتيبان وارد عمل مي‌شود و مجددا فرايند را اجرا مي‌کند. توسعه‌دهندگان بدافزار Dexphot علاوه‌بر رويکرد گفته‌شده، تعدادي وظايف زمان‌بندي‌شده نيز در برنامه‌ي خود لحاظ کرده بودند تا سازوکار اجرا بدون نياز به فايل، پس از هربار بارگذاري مجدد يا در هر ۹۰ تا ۱۱۰ دقيقه، بارديگر اجرا شود. ازآنجاکه دوره‌ي زماني منظمي براي اجراي وظايف در نظر گرفته شده بود، مجرمان توسعه‌دهنده توانايي ارائه‌ي به‌روزرساني براي Dexphot را هم در سيستم‌هاي آلوده داشتند. تغيير دائمي نام و ساختار Dexphot، شناسايي آن را براي آنتي‌ويروس‌ها بسيار دشوار مي‌کند مايکروسافت در گزارش خود مي‌گويد هربار که يکي از وظايف زمان‌بندي‌شده اجرا مي‌شد، فايلي را از سرور مجرمان سايبري دانلود مي‌کرد که شامل دستور‌العمل‌هاي به‌روز از سمت توسعه‌دهندگان بود. با چنين رويکردي، در تمامي ميزبانان قرباني Dexphot روند جديدي براي آلوده‌سازي اجرا مي‌شد؛ درنتيجه، درصورت پياده‌سازي هرگونه راهکار امنيتي از طرف آنتي‌ويروس‌ها، مجددا دستورالعملي براي دورزدن آن‌ها تزريق مي‌شد. راهکار چندشکلي براي وظايف هم اجرا شد و با هربار تزريق، نام وظايف نيز تغيير مي‌کرد. روش ساده‌ي اخير، از هرگونه راهکار امنيتي رد مي‌شد که وظايف را براساس نامشان فيلتر مي‌کرد. همان‌طورکه گروه تحقيقاتي مايکروسافت گفته بود، روش‌هاي پياده‌سازي بدافزار واقعا پيچيده و حرفه‌اي بودند. در نگاه اوليه به پيچيدگي روش‌هاي اجرا، شايد تصور شود گروه‌هاي حرفه‌اي هکري در ابعاد بزرگ و حتي گروه‌هايي با پشتيباني برخي دولت‌ها، توسعه‌ي Dexphot را برعهده داشته باشند. به‌هرحال، روش‌هاي پيچيده‌ي دورزدن حفاظ‌هاي امنيتي در سال‌هاي گذشته بين گروه‌هاي هکري هم رواج پيدا کرده‌اند. درنهايت، شايد همين توسعه باعث شود حتي در بدافزاري با هدف کوچک معدن‌کاوي مانند Dexphot، از روش‌هاي دورزدن حرفه‌اي استفاده شود. از نمونه‌هاي ديگر مي‌توان به تروجان دزدي اطلاعات مانند Astroth و بدافزار سوءاستفاده‌ي کليکي Noderosk اشاره کرد. همان‌طورکه توضيح داديم، Dexphot روي سيستم‌هايي اجرا مي‌شود که به بدافزار ديگري آلوده هستند. بدافزار اول نيز عموما ازطريق دانلود نرم‌افزارهاي کرک‌شده به سيستم قرباني منتقل مي‌شود. بااين‌همه، رويکردهاي امنيتي اوليه براي هر کاربر ويندوزي حياتي به‌نظر مي‌رسند که از آلودگي به بدافزارهاي مخرب اين‌چنيني تا حد زيادي جلوگيري مي‌کنند.
در کانال آي‌تي و ™CanaleIT هم کلي عکس و ويدئوي دسته اول و جذاب داريم
اخبار بیشتر درباره

اخبار بیشتر درباره