- شارژ خودکار به کیف پول اسنپ و آپ اضافه شد
- لری پیج و سرگی برین مدیریت آلفابت را به ساندار پیچای واگذار کردند
- پرچمداران موتورولا، شیائومی و اوپو با تراشه اسنپدراگون 865 معرفی میشوند
- دیزنی در سریال ماندالورین از موتور Epic Unreal برای رندر صحنهها استفاده میکند
- مجیک بوکهای 14 و 15 اینچی آنر با پردازنده رایزن معرفی شدند
- گوشی هوشمند تاشدنی اسکوبار فولد وان با قیمت ۳۵۰ دلار معرفی شد
- آیا میتوان جهان را با ذهنمان کنترل کنیم؟
- چرا افراد فقیر بیشتر در معرض خطر ابتلا به بیماری قلبی قرار دارند؟
- آنفولانزا و سرماخوردگی چه تفاوتهایی با یکدیگر دارند؟
- قسمت اول؛ بررسی برترین اختراعات و اکتشافات تمدن پارسی
آخرین مطالب
امکانات وب
بدافزار, جدیدی به نام Dexphot با کاربرد معدن کاوی رمزارز کشف شده که به گفته ی مایکروسافت,، تاکنون بیش از ۸۰ هزار کامپیوتر, را آلوده, کرده است.
محققان امنیتیمایکروسافت,جزئیات عملکردی بدافزار, جدیدی به نامDexphot را منتشر کردند. این بدافزار, از اکتبر ۲۰۱۸ فعالیت خود را شروع و تعداد زیاد کامپیوتر,های مجهز بهویندوزرا آلوده, کرده است. بدافزار,Dexphot از منابع پردازشی کامپیوتر, قربانی برای معدن کاویرمزارزاستفاده می کند. اوج فعالیتDexphot در ژوئن سال جاری بود که آمار کامپیوتر,های آلوده, به آن، به ۸۰ هزار سیستم رسید. از آن زمان تعداد حمله ها وارد روند کاهشی شد. مایکروسافت, می گوید پیاده سازی رویکردهای امنیتی برای تشخیص بهتر و جلوگیری از حمله ها، در کاهش آن ها مؤثر بوده اند.
مقاله های مرتبط:
بدافزار,ی با نژاد پیچیده و اهداف ساده
هدف نهاییDexphot، یعنی معدن کاوی رمزارز با سوءاستفاده از منابع پردازشی قربانی، ساده به نظر می رسد. تکنیک های استفاده شده ی در این بدافزار,، به دلیل پیچیدگی فراوان توجه زیادی را به خود جلب کرد. مایکروسافت, در خبر خود به پیچیدگی ذاتی بدافزار, مذکور اشاره کرد.هیزل کیم، تحلیلگر بدافزار, گروه Microsoft Denender ATP Research، با اشاره به هدف ساده ی Dexphot برای معدن کافی رمزارز و نه دزدیدن داده، درباره ی آن می گوید:
Dexphot از آن دسته حمله هایی نیست که توجه رسانه های عمومی را به خود جلب کند. این بدافزار یکی از کمپین های بی شماری محسوب می شود که همیشه فعال هستند. هدف او در گروه های مجرمان سایبری مرسوم و متداول محسوب می شود: نصب معدن کاو سکه که منابع پردازشی را می دزدد و برای مجرمان درآمدزایی می کند. بدافزارDexphot با وجود هدف ساده، پیچیدگی و تکامل بسیاری دارد که فراتر از تهدیدهای روزمره ی اینترنتی است. گذر از محدودیت ها و حفاظ های امنیتی متعدد و توانایی فعالیت بدون شناسایی در ابزارهایامنیت سایبریآن را به پدیده ای پیچیده تبدیل می کند.
کیم درادامه ی گزارش مفصل خود درباره ی Dexphot، به روش های حرفه ای آن در دورزدن محدودیت های امنیتی اشاره می کند. روش هایی همچون اجرا بدون نیاز فایل، تکنیک های چندشکلی و مکانیزمی هوشمند و پایدار که دربرابر بارگذاری مجدد سیستم هم مقاوم باشد، از خصوصیت های پیچیده یDexphot هستند.
فرایند آلوده, سازی
مایکروسافت, می گوید محققان امنیتی از اصطلاح Second stage payload برای تعریفDexphot استفاده می کنند. چنین اصطلاحی برای بدافزارهایی به کار می رود که روی سیستم های آلوده, به بدافزارهای دیگر نصب و اجرا می شوند. بدافزار مذکور روی سیستم هایی نصب می شد که قبلا به بدافزار ICLoader آلوده, شده بودند. بدافزار ICLoader عموما به صورت افزونه ای درکنار بسته های نرم افزاری به سیستم قربانی تزریق و روی آن نصب می شود. احتمال نصب بدافزار مذکور زمانی افزایش می یابد که کاربر از سرویس های کرک شده و از منابع نامعتبر برای دریافت نرم افزار استفاده کند.
برخی از مجرمان توسعه دهنده ی بدافزار پس از نصب ICLoader، از آن برای دانلود و اجرای نصب کننده ی Dexphot استفاده می کنند. مایکروسافت, می گوید نصب کننده یDexphot، تنها بخشی است که روی دیسک حافظه ی سیستم قربانی نوشته و آن هم پس از مدت کوتاهی پاک می شود. تمامی بخش های دیگرDexphot از روشی به نام <<اجرای بدون فایل>> (fileless execution) استفاده می کنند و تنها در مموری سیستم اجرا می شوند. چنین رویکردی باعث می شود راهکارهای کلاسیک آنتی ویروس ها، یعنی بررسی سیگنجر فایل ها در حافظه ی دائمی، توانایی شناساییDexphot را نداشته باشند.
Dexphot کمترین ردپا را در حافظه ی دائمی سیستم قربانی برجا می گذارد
Dexphot علاوه بر روش اجرایی بدون نیاز به فایل، از روشی به نام living off the land یا LOLbins نیز استفاده می کند. در روش مذکور، از فرایندهای صحیح و معتبر ویندوز برای اجرای کدهای مخبر استفاده می شود. درواقع بدافزار، با استفاده از روش مذکور، به فرایندها و اجراکننده های اختصاصی نیازی ندارد و از منابع ویندوز بهره می برد.
مایکروسافت, می گویدDexphot معمولا از فرایندهای msiexec.exe ، unzip.exe ، rundll32.exe ، schtasks.exe و powershell.exe سوءاستفاده می کند. همه ی فرایندهای مذکور اپلیکیشن های معتبری هستند که در سیستم های ویندوزی از ابتدا نصب شده اند.Dexphot با استفاده از فرایندهای مذکور برای اجرای کد مخرب، از دیگر اپلیکیشن های محلی تمایزناپذیر می شود که از فرایندها بهره می برند.
مجرمان توسعه دهنده یDexphot در پیچیده سازی بدافزار خود بازهم فراتر رفته اند. در سال های اخیر، آنتی ویروس ها از سیستم های مبتنی بر خدمات ابری استفاده می کنند تا الگوی اجراهای بدون نیاز به فایل و LOLbins را ذخیره و بررسی کنند؛ درنتیجه، بدافزار پیچیده ی جدید از روش دیگری به نام polymorphism هم بهره می برد. این تکنیک در بدافزارها به معنای تغییر متناوب ساختار آن ها است. مایکروسافت, می گوید توسعه دهندگان Dexphot هر ۲۰ تا ۳۰ دقیقه نام فایل ها و آدرس های وب فعالیت های مخرب خود را تغییر می دهند. به محض اینکه آنتی ویروس بتواند الگوی آلوده, سازی را در زنجیره یDexphot کشف کند، الگو تغییر می کند؛ درنتیجه، گروه مجرمان پشت صحنه یDexphot همیشه یک قدم جلوتر از محافظان امنیتی هستند.
مکانیزم های ماندگاری چندلایه
هیج بدافزاری تا ابد ناشناس نمی ماند. مجرمان سایبری توسعه دهنده یDexphot برای این موقعیت نیز راهکاری در نظر گرفته اند. مایکروسافت, می گوید بدافزار مذکور با مکانیزم پایداری پیچیده ای عمل می کند و سیستم های قربانی که تمامی انواعDexphot را شناسایی و پاک نکنند، مجددا آلوده, می شوند.
Dexphot در ابتدا از روشی به نام خالی کردن فرایندها استفاده کرد. دو فرایند مجاز ویندوزی به نام های svchost.exe و nslookup.exe را بدافزار اجرا و محتوای آن ها را خالی می کند. سپس، کدهای مخرب ازطریق فرایندهای مجاز اجرا شدند. فرایندهای مذکور که با ظاهر مجاز به عنوان زیرمجموعه هایی ازDexphot فعالیت می کنند، به نوعی نگهبان اجرای صحیح همه ی بخش های دیگر بدافزار هستند. در زمان متوقف شدن هریک از بخش ها نیز، همین دو فرایند باردیگر آن ها را نصب می کنند. ازآنجاکه دو فرایند به عنوان نگهبان عمل می کنند، درصورت متوقف شدن یکی از آن ها، دیگری به عنوان پشتیبان وارد عمل می شود و مجددا فرایند را اجرا می کند.
توسعه دهندگان بدافزار Dexphot علاوه بر رویکرد گفته شده، تعدادی وظایف زمان بندی شده نیز در برنامه ی خود لحاظ کرده بودند تا سازوکار اجرا بدون نیاز به فایل، پس از هربار بارگذاری مجدد یا در هر ۹۰ تا ۱۱۰ دقیقه، باردیگر اجرا شود. ازآنجاکه دوره ی زمانی منظمی برای اجرای وظایف در نظر گرفته شده بود، مجرمان توسعه دهنده توانایی ارائه ی به روزرسانی برایDexphot را هم در سیستم های آلوده, داشتند.
تغییر دائمی نام و ساختار Dexphot، شناسایی آن را برای آنتی ویروس ها بسیار دشوار می کند
مایکروسافت در گزارش خود می گوید هربار که یکی از وظایف زمان بندی شده اجرا می شد، فایلی را از سرور مجرمان سایبری دانلود می کرد که شامل دستور العمل های به روز از سمت توسعه دهندگان بود. با چنین رویکردی، در تمامی میزبانان قربانیDexphot روند جدیدی برای آلوده, سازی اجرا می شد؛ درنتیجه، درصورت پیاده سازی هرگونه راهکار امنیتی از طرف آنتی ویروس ها، مجددا دستورالعملی برای دورزدن آن ها تزریق می شد. راهکار چندشکلی برای وظایف هم اجرا شد و با هربار تزریق، نام وظایف نیز تغییر می کرد. روش ساده ی اخیر، از هرگونه راهکار امنیتی رد می شد که وظایف را براساس نامشان فیلتر می کرد.
همان طورکه گروه تحقیقاتی مایکروسافت گفته بود، روش های پیاده سازی بدافزار واقعا پیچیده و حرفه ای بودند. در نگاه اولیه به پیچیدگی روش های اجرا، شاید تصور شود گروه های حرفه ای هکری در ابعاد بزرگ و حتی گروه هایی با پشتیبانی برخی دولت ها، توسعه یDexphot را برعهده داشته باشند. به هرحال، روش های پیچیده ی دورزدن حفاظ های امنیتی در سال های گذشته بین گروه های هکری هم رواج پیدا کرده اند. درنهایت، شاید همین توسعه باعث شود حتی در بدافزاری با هدف کوچک معدن کاوی مانندDexphot، از روش های دورزدن حرفه ای استفاده شود. از نمونه های دیگر می توان به تروجان دزدی اطلاعات مانند Astroth و بدافزار سوءاستفاده ی کلیکی Noderosk اشاره کرد.
همان طورکه توضیح دادیم، Dexphot روی سیستم هایی اجرا می شود که به بدافزار دیگری آلوده هستند. بدافزار اول نیز عموما ازطریق دانلود نرم افزارهای کرک شده به سیستم قربانی منتقل می شود. بااین همه، رویکردهای امنیتی اولیه برای هر کاربر ویندوزی حیاتی به نظر می رسند که ازآلودگیبه بدافزارهای مخرب این چنینی تا حد زیادی جلوگیری می کنند.
ما را در سایت علم وفناوری دنبال می کنید
برچسب : نویسنده : 9elme1404c بازدید : 283