WinDealer: جاسوسافزاری با مکانیزم ارسالی خاص
- بهدست: Admingfars
- دستهبندی: اخبار ایران تکنولوژی, برنامه نویسی, شبکه و امنیت, عمومی خبری, لینوکس, موبایل, ویندوز
متخصصین کسپرسکی طی بررسیشان روی بدافزار WinDealer توسط گروه APT به نام LuoYu دریافتند که مهاجمین ظاهراً از روش حمله «شخص کناری[1]» استفاده کرده و از قضا موفق شدهاند هم آن را برای ارسال بدافزار استفاده کنند و هم برای کنترل کامپیوترهای از قبل آلودهشده. با ما همراه بمانید.
حمله شخص کناری چیست و چطور عاملین WinDealer از آن استفاده میکنند؟
حمله شخص کناری بدان معناست که مهاجم یکجورهایی کنترل کانال ارتباطی را که به او اجازه میدهد ترافیک را خوانده و پیامهای دلخواه را به تبادل عادی داده تزریق کند. بگذارید مثالی بزنیم: مهاجمین ممکن است از نرمافزاری کاملاً قانونی درخواست آپدیت را رهگیری کنند و فایل آپدیت را با نرمافزار مسلح جایگزین. ظاهراً WinDealer اینگونه توزیع شده است. ترفند مشابه توسط عاملین شرور برای صدور فرمانها به بدافزار روی کامپیوتر آلوده نیز به کار گرفته میشود. برای اینکه محققین سختتر بتوانند سرور C&C را پیدا کنند، بدافزار آدرس دقیق خود را نمیگذارد. در عوض سعی دارد از دامنهای مشخص به آدرس آیپی رندومی دسترسی پیدا کند.مهاجمین سپس درخواست را رهگیری کرده و بدان پاسخ میدهند. در برخی موارد دیده شده است که WinDealer تلاش داشته به آدرسی دست پیدا کند که اصلاً نمیتوانسته وجود داشته باشد اما به لطف متود شخص کناری هنوز پاسخ دریافت میکند. به نقل از متخصصین ما، مهاجمین برای استفاده موفقیتآمیزِ این ترفند باید دسترسی دائم به روترهای کل زیرمجموعه داشته باشند؛ یا به یک سری ابزارهای پیشرفته در سطح ارائهدهنده سرویس.
هدفهای WinDealer کدامند؟
اکثریت قریب به اتفاق آنها در چین هستند: سازمانهای سیاسی خارجی، اعضای جامعه دانشگاهی یا شرکتهایی فعال در حوزه مخابرات، امور دفاعی یا لاجیستیک. با این حال برخیاوقات گروه LuoYu APT نیز تارگتهای سایر کشورها را نیز آلوده میکند: آلمان، ارتیش، آمریکا، جمهوری چک و هند. در همین ماههای اخیر همچنین به سایر کشورهای آسیای شرقی و شاخههای چینی آنها نیز علاقه نشان دادهاند
WinDealer قادر به انجام چه کارهایی است؟
تحلیل فنی مشروحِ هم خود بدافزار و هم مکانیزم ارسال آن در بلاگ سکیورلیست موجود است. اما در اینجا بسنده میکنیم به قابلیتهای اجمالی این جاسوسافزار مدرن. WinDealer قادر است:
- فایلها و فایل سیستم را دستکاری کند (فایلها را باز کرده، نوشته یا حذف کند، در مورد دایرکتوریها و دیسک داده جمع کند)
- در مورد سختافزار ، تنظیمات شبکه، فرآیندها، طراحی کیبورد، اپهای نصبشده اطلاعات جمعآوری کند.
- فایلهای دلخواه را دانلود و آپلود کند.
- فرمانهای دلخواه اجرا کند.
- فایلهای متنی و داکیومنتهای مایکروسافت آفیس را بگردد.
- اسکرینشات بگیرد.
- شبکه لوکال را اسکن کند.
- عملکرد بکدر را پشتیبانی دهد.
- دادههای مربوط به شبکههای وایفای قابلدسترس را (دست کم در یکی از انواع متغیر بدافزار یافتشده توسط متخصصین ما) جمعآوری کند.
راهکارهای امنیتی
متأسفانه مقابله با حمله شخص کناری در سطح شبکهای کار بسیار سختی است. به لحاظ تئوری یک کانکشن ویپیان دائم شاید کارساز باشد اما همیشه هم چنین کانکشنی موجود نیست. بنابراین برای جلوگیری از آلودگی جاسوسافزار لازم است هر دستگاه متصل به اینترنت به یک راهکار امنیتی مطمئن نیز تجهیز شود. افزون بر این راهکارهای کلاس EDR نیز میتوانند در شناسایی ناهنجاریها کمککننده باشند و حمله را در مرحله اول متوقف سازند.
[1] man-on-the-side، حمله شخص کناری گونهای حمله سایبری فعالانه، همانند حمله مرد میانی است. در حمله مرد میانی، گره (شبکه) به طور کامل کنترل میشود. اما در حمله شخص کناری، حملهکننده، تنها به طور منظم به کانال مخابراتی، دسترسی دارد که به او اجازه میدهد ترافیک شبکه را بخواند و پیامهای تازهای وارد شبکه کند اما نمیتواند پیامهای دیگران را تغییر دهد یا پاک کند.
بدون دیدگاه