پلیس فتا خبر داد
حملات بدافزار مخفیسازی شده در قالب فایلهای PNG
گروه هکری به نام Worok با پنهان کردن بدافزار در فایلهای تصاویر PNG با کمک تکنیک استگانوگرافی Steganography، (مخفینگاری) رایانه قربانیان را آلوده میکنند و اطلاعات را به سرقت میبرند. تشخیص این فایلهای آلوده توسط آنتی بدافزار بسیار دشوار است.
کدهای مخفینگاری شده چگونه عمل میکنند؟
به گزارش قدس و به نقل از پلیس فتا،
بر اساس ادعای کارشناسان Avast، این یافته یکی از مهمترین حلقههای زنجیره حمله و آلوده کردن رایانهها توسط مهاجمان را ثابت کرده است. مهاجمان در تصویرهای مخرب PNG یک پیلود(payload در لغت به بار و محمولهای سودآور میگویند و این نام را از این جهت برای آن انتخاب کردهاند که payload شامل کدهای مخرب است)مخفی میکنند که سرقت اطلاعات را به بهانه ارسال یک تصویر تسهیل میکند.
در چند ماه گذشته، شرکت امنیتی ESET جزئیات حملاتی را که گروه هکری Worok علیه چندین شرکت شناخته شده و سازمانهای دولتی محلی در مناطقی نظیر خاورمیانه، جنوب شرقی آسیا و... انجام داده، فاش کرده است.
این گزارش حاکی است: همپوشانیهای تاکتیکی بین مهاجمان Worok و یک گروه هکری چینی به نام TA428 وجود دارد که گمان میرود از تاکتیکهای مشابهی استفاده میکنند.
زنجیره سازشSteganography تکنیکی است که اسکریپتها را در تصویرهای PNG پنهان میکند(استگانوگرافی هنر و علم قرار دادن پیامهای مخفی در یک پیام پوششی است، به طریقی که هیچکس جز فرستنده و گیرنده پیام به وجود پیام مخفی شک نکند)، مانند سری سازش Worok که از یک لودر مبتنی بر C++ که به عنوان “CLR Load” شناخته میشود، استفاده میکند. در حال حاضر، ما نمیدانیم از چه برداری در حمله اولیه استفاده شده؛ ولی در برخی از نفوذها، این بدافزار با سوءاستفاده از آسیبپذیری ProxyShell روی Microsoft Exchange Server دسترسی گرفته است.
سپس یک ابزار مخرب سفارشی توسط مهاجمان با استفاده از ابزارهای اکسپلویت عمومی که به صورت رایگان در دسترس بودند، مستقر شد. بنابراین زنجیره سازش نهایی را میتوان به صورت زیر خلاصه کرد: ابتدا CLRLoader پیادهسازی میشود که در آن یک کد ساده برای بارگذاری PNGLoader، که دومین مرحله در فرایند است، اجرا میشود. به منظور رمزگشایی کد مخرب موجود در تصویر، PNGLoad در دو نوع مختلف ارائه میشود. در حین انجام این کار، آنها پیلودهایی نظیر PowerShell script و... را راهاندازی میکنند.
چگونه در امان بمانیم
پیدا کردن اسکریپت برای PowerShell دشوار بوده و آنها به تازگی بدافزار جدیدی به نام DropboxControl را کشف کردهاند که یک جاسوس افزار است که اطلاعات سیستم را به سرقت میبرد و به مهاجم امکان آپلود، دانلود و اجرای دستورات موجود در فایلهای خاص را میدهد.
بدافزار در فایلهای PNGهنگامی که کاربر یک تصویر را برای مشاهده باز میکند، به نظر میرسد که فایل تصویر عادی است، در حالی که کد استگانوگرافی (مخفینگاری شده)درون آن باز میشود.
یک تصویر به گونهای کدگذاری میشود که به کد مخرب اجازه میدهد با استفاده از تکنیکی به نام رمزگذاری «کمترین بیت مهم» (LSB) در کمترین بیتهای مهم هر پیکسل در تصویر جاسازی شود.
مهم نیست مرحله سوم چگونه مستقر شده و واضح است که هدف مهاجم، جمعآوری اطلاعاتی است. حملات Worok توسط ابزارهایی انجام شده که مورد استفاده کسی نبوده است. بنابراین، این احتمال وجود دارد که این ابزار توسط خود گروه منحصراً برای انجام حملات استفاده شود.
پس بر همین اساس توصیه میشود به هیچ عنوان کاربران در فضای مجازی تصاویری را که از سوی افراد ناشناس و در یک ارتباطگیری ساده برای آنها ارسال میشود، باز نکنند تا درگیر سرقت اطلاعات نشوند.
برچسب ها :
ارسال دیدگاه