اخبار امنیت

رهیابی ترافیک رمز شده وب توسط مهاجمین تنها با بروزرسانی مرورگرها
شما اجازه رای دادن ندارید!

رهیابی ترافیک رمز شده وب توسط مهاجمین تنها با بروزرسانی مرورگرها

در ارتباط با مرورگرها همواره شاهد این بوده‌ایم که مهاجمان از آسیب پذیری‌های موجود در آن‌ها برای مقاصد خود استفاده کرده‌اند. اما در آوریل ۲۰۱۹، آزمایشگاه کسپرسکی موفق به کشف بدافزاری شد که برای اولین بار به گونه متفاوتی از مرورگرهای کروم و فایرفاکس در جهت مقاصدش استفاده کرده بود. با تحقیقات کسپرسکی مشخص شد این کار خلاقانه مرتبط با یک گروه روسی با نام Turla می‌باشد. این تیم روسی با ایجاد تغییرات در مرورگرهای کروم و فایرفاکس عملیات انگشت نگاری را بر روی ترافیک رمز شده وب انجام می‌دهند. برای چنین کاری ابتدا آن‌ها با استفاده از RAT اقدام به ایجاد تغییرات در مرورگر کرده و گواهی مد نظر خود را بر روی آن نصب می‌نمایند. سپس تولید کننده شماره pseudo-random را وصله می‌کند این کار به آن‌ها این امکان را می‌دهد تا به هر عملیات TLS یک اثر انگشت اضافه کنند و از این طریق ترافیک رمز شده را ردیابی کنند.

این گروه روسی به دولت روسیه نسبت داده شده است و حدس زده می‌شود که این روش به کار گرفته شده توسط Turla برای مقاصد سیاسی و بر ضد مخالفان دولت روسیه استفاده شود. وقتی سیستمی به این تروجان آلوده می‌گردد و تغییرات مورد نظرش را بر روی مرورگر سیستم قربانی می‌دهد اگر کاربر متوجه شود و اقدام به پاک کردن این تروجان کند فایده‌ای ندارد مگر آنکه مرورگرش را دوباره نصب نماید.

بدافزار Reductor

حال کمی تخصصی در ارتباط با بدافزار مورد استفاده گروه Turla صحبت کنیم. آزمایشگاه کسپرسکی با بررسی دقیقی که بر روی این بدافزار انجام داده است به این نتیجه رسیده است که بدافزار Reductor علاوه بر وظایف معمول یک تروجان یعنی بارگذاری و اجرای فایل‌ها اقدام به تغییر در گواهی‌های دیجیتال می‌نماید و ترافیک خروجی TLS را نشانه‌گذاری می‌نماید.

نکته قابل توجه در ارتباط با بدافزار Reductor این است که این بدافزار دستی به ترافیک شبکه نزده و هیچ تغییر محسوسی در آن ایجاد نمی‌کند. بلکه گواهی دیجیتال مورد نظرش را به مرورگر قربانی اضافه کرده و همچنین از طریق named pipe به مهاجم اجازه می‌دهد تا گواهی مورد نظرش را بر روی مرورگر نصب کند. توسعه دهندگان این بدافزار با تحلیل کدهای فایرفاکس و کروم اقدام به وصله کردن PRNG می‌نماید که همانطور که در بخش قبلی اشاره کردیم با این کار می‌توانند به هر عملیات TLS یک اثر انگشت اضافه کنند و از این طریق ترافیک رمز شده را ردیابی کنند. پس در کل عملیات این بدافزار را می‌توان به دو دسته تقسیم کرد. نصب گواهی دیجیتال مهاجم بر روی مرورگر قربانی در نتیجه مهاجم موفق به رهگیری ترافیک خواهد شد. مرحله دوم هم ایجاد تغییرات در مرورگرهای فارفاکس و کروم است که منجر به وصله کردن PRNG می‌گردد. هدف از وصله PRNG نیز دستکاری در روند تولید اعداد تصادفی مورد نیاز برای روند دست دهی و شروع عملیات دست دهی TLS برای ارتباطات HTTPS می‌باشد.

نتیجه گیری

گروه Turla قبلا نیز اثبات کرده بود که در روش‌های خود خلاقیت خوبی دارد، مثلا قبل تر این گروه با ربودن زیرساخت ماهواره‌ها به اهداف خود دست یافته بود. این بار نیز بدون دست زدن به ترافیک شبکه با استفاده از دستکاری بر روی مرورگرهای کروم و فایرفاکس اقدام به ردیابی و نشانه گذاری ترافیک‌های رمز شده وب نموده است. در روشی که گروه روسی Turla استفاده کرده است حمله مرد میانی دیده نمی‌شود بلکه با نصب گواهی دیجیتال مهاجم ترافیک TLS را نشانه گذاری و رهیابی می‌کند. در ارتباط با آلوده شدن سیستم‌ها به بدافزار Reductor هم از طریق بارگذاری نرم افزار از سایت‌های Warez اتفاق می‌افتد.

آرمان داده پویان نمایندگی رسمی کسپرسکی در ایران

برای اطلاعات بیشتر تماس بگیرید

تعداد بازدید: 703


تازه ترین ها