آموزش هوش مصنوعی

WinDealer: جاسوس‌افزاری با مکانیزم ارسالی خاص

جاسوس‌افزاری با مکانیزم ارسالی خاص
اخبار ایران تکنولوژی

متخصصین کسپرسکی طی بررسی‌شان روی بدافزار  WinDealer توسط گروه APT به نام LuoYu دریافتند که مهاجمین ظاهراً از روش حمله «شخص کناری[1]» استفاده کرده و از قضا موفق شده‌اند هم آن را برای ارسال بدافزار استفاده کنند و هم برای کنترل کامپیوترهای از قبل آلوده‌شده. با ما همراه بمانید.

حمله شخص کناری چیست و چطور عاملین WinDealer از آن استفاده می‌کنند؟

حمله شخص کناری بدان معناست که مهاجم یک‌جورهایی کنترل کانال ارتباطی را که به او اجازه می‌دهد ترافیک را خوانده و پیام‌های دلخواه را به تبادل عادی داده تزریق کند. بگذارید مثالی بزنیم: مهاجمین ممکن است از نرم‌افزاری کاملاً قانونی درخواست آپدیت را رهگیری کنند و فایل آپدیت را با نرم‌افزار مسلح جایگزین. ظاهراً  WinDealer اینگونه توزیع شده است. ترفند مشابه توسط عاملین شرور برای صدور فرمان‌ها به بدافزار روی کامپیوتر آلوده نیز به کار گرفته می‌شود. برای اینکه محققین سخت‌تر بتوانند سرور C&C را پیدا کنند، بدافزار آدرس دقیق خود را نمی‌گذارد. در عوض سعی دارد از دامنه‌ای مشخص به آدرس آی‌پی رندومی دسترسی پیدا کند.مهاجمین سپس درخواست را رهگیری کرده و بدان پاسخ می‌دهند. در برخی موارد دیده شده است که WinDealer تلاش داشته به آدرسی دست پیدا کند که اصلاً نمی‌توانسته وجود داشته باشد اما به لطف متود شخص کناری هنوز پاسخ دریافت می‌کند. به نقل از متخصصین ما، مهاجمین برای استفاده موفقیت‌آمیزِ این ترفند باید دسترسی دائم به روترهای کل زیرمجموعه داشته باشند؛ یا به یک سری ابزارهای پیشرفته در سطح ارائه‌دهنده سرویس.

هدف‌های WinDealer کدامند؟

اکثریت قریب به اتفاق آن‌ها در چین هستند: سازمان‌های سیاسی خارجی، اعضای جامعه دانشگاهی یا شرکت‌هایی فعال در حوزه مخابرات، امور دفاعی یا لاجیستیک. با این حال برخی‌اوقات گروه  LuoYu APT نیز تارگت‌های سایر کشورها را نیز آلوده می‌کند: آلمان، ارتیش، آمریکا، جمهوری چک و هند. در همین ماه‌های اخیر همچنین به سایر کشورهای آسیای شرقی و شاخه‌های چینی آن‌ها نیز علاقه نشان داده‌اند

 WinDealer قادر به انجام چه کارهایی است؟

تحلیل فنی مشروحِ هم خود بدافزار و هم مکانیزم ارسال آن در بلاگ سکیورلیست موجود است. اما در اینجا بسنده می‌کنیم به قابلیت‌های اجمالی این جاسوس‌افزار مدرن. WinDealer قادر است:

  • فایل‌ها و فایل سیستم را دستکاری کند (فایل‌ها را باز کرده، نوشته یا حذف کند، در مورد دایرکتوری‌ها و دیسک داده جمع کند)
  • در مورد سخت‌افزار ، تنظیمات شبکه، فرآیندها، طراحی کیبورد، اپ‌های نصب‌شده اطلاعات جمع‌آوری کند.
  • فایل‌های دلخواه را دانلود و آپلود کند.
  • فرمان‌های دلخواه اجرا کند.
  • فایل‌های متنی و داکیومنت‌های مایکروسافت آفیس را بگردد.
  • اسکرین‌شات بگیرد.
  • شبکه لوکال را اسکن کند.
  • عملکرد بک‌در را پشتیبانی دهد.
  • داده‌های مربوط به شبکه‌های وای‌فای قابل‌دسترس را (دست کم در یکی از انواع متغیر بدافزار یافت‌شده توسط متخصصین ما) جمع‌آوری کند.

راهکارهای امنیتی

متأسفانه مقابله با حمله شخص کناری در سطح شبکه‌ای کار بسیار سختی است. به لحاظ تئوری یک کانکشن وی‌پی‌ان دائم شاید کارساز باشد اما همیشه هم چنین کانکشنی موجود نیست. بنابراین برای جلوگیری از آلودگی جاسوس‌افزار لازم است هر دستگاه متصل به اینترنت به یک راهکار امنیتی مطمئن نیز تجهیز شود. افزون بر این راهکارهای کلاس EDR نیز می‌توانند در شناسایی ناهنجاری‌ها کمک‌کننده باشند و حمله را در مرحله اول متوقف سازند.

 

 

 

[1] man-on-the-side، حمله شخص کناری گونه‌ای حمله سایبری فعالانه، همانند حمله مرد میانی است. در حمله مرد میانی، گره (شبکه) به طور کامل کنترل می‌شود. اما در حمله شخص کناری، حمله‌کننده، تنها به طور منظم به کانال مخابراتی، دسترسی دارد که به او اجازه می‌دهد ترافیک شبکه را بخواند و پیام‌های تازه‌ای وارد شبکه کند اما نمی‌تواند پیام‌های دیگران را تغییر دهد یا پاک کند.

بدون دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

بیوانفورماتیک
عمومی خبری
بیوانفورماتیک چیست؟

نرم افزارهای بیوانفورماتیک از ابزارهای پیرو خط فرمان کوتاه، تا برنامه‌های گرافیکی پیچیده‌تر متفاوت هستند. این نرم‌افزارها شامل انواع رایگان و نیازمند پرداخت هزینه و همچنین نرم افزارهای تحت وب هستند که هر کدام کاربردهای مختلفی بر عهده دارند. در ادامه به همه آن‌ها پرداخته‌ایم.

پروتوکلهای امن
عمومی خبری
انواع پروتکل های امنیت شبکه + نحوه کارکرد

ایمنی شبکه یکی از شاخه‌های اساسی امنیت سایبری است و پروتکل های امنیت شبکه نقش مهمی در آن دارند. شبکه رایانه‌ای به دلیل نیازهای سطح بالایی که دارد و به دلیل اینکه اینترنت با سرعت بالایی در حال پیشرفت است

یادگیری مبتنی بر بازی دیجیتال
عمومی خبری
What is Digital-Game Based Learning (DGBL)

من معتقدم که باید پیام خود را تغییر دهیم. اگر فقط به موعظه کردن این موضوع ادامه دهیم که بازی‌ها می‌توانند مؤثر باشند، خطر ایجاد این تصور را داریم که همه بازی‌ها برای همه یادگیرندگان و برای همه نتایج یادگیری خوب هستند، که به طور قطعی اینطور نیست