کمپین‌ها

حمله FormBook
۱۰ آبان ۱۳۹۶

Operation FormBook

پیش‌تر حملات هدفمند، از بدافزارهای جدید و حملات Zero-Day استفاده می‌کردند. اما محققان امنیتی اعلام کردند شاهد تعداد زیادی از حملات هدفمند هستند که با استفاده از بدافزارهای موجود صورت پذیرفته است. اما چرا بدافزارهایی که قبلا استفاده شده‌اند؟ دلیل عمده‌ی آن می‌تواند جلوگیری از شناسایی شدن باشد، چون بسیاری از این مهاجمین تحت حمایت دولت‌ها این حملات را انجام می‌دهند. در این راستا چندیدن کمپین توسط شرکت‌های امنیتی کشف شد. یکی از این کمپین‌ها از بدافزار FormBook استفاده کرده بود. روش انتشار مانند بسیاری دیگر از بدافزارها هرزنامه است. هرزنامه‌ها عمدتا حاوی یکی از فایل‌های زیر هستند:

  • فایل PDF و یک لینک دانلود
  • فایل DOS یا XSL حاوی یک ماکو آلوده
  • فایلهای فشرده با فرمت‌های(ZIP, RAR, ACE, ISOs)  حاوی فایل EXE

هرزنامه‌های ارسالی برای امریکا بیشتر حاوی فایل‌های PDF و DOC/XLS بود و فایل‌های فشرده هم آمریکا و هم کره جنوبی را مورد تهاجم قرار داد.

کمپین FormBook

بدافزار FormBook

بدافزار FormBook یک بدافزار ارزان قیمت است که از سال ۲۰۱۶ در تالارهای گفت‌و‌گو تبلیغ و معامله می‌شود. FormBook اطلاعات و گذرواژه‌ها را سرقت می‌کند.

نحوه عملکرد FormBook

بدافزار FormBook وقتی روی سیستم قربانی نصب می‌شود، ، خود را به فرآیندهای مختلف تزریق می‌کند و شروع به ذخیره کلیدهای فشرده‌شده،کلمات عبور ذخیره‌شده، Clipboardها، استخراج اطلاعات از جلسات HTTP و غیره می‌نماید.

FormBook این اطلاعات را به سرورC2 خود ارسال می‌نماید. همچنین مهاجمان از راه دور می‌توانند یک سری از دستورات دلخواهشان را اجرا نمایند. این دستورات شامل بارگذاری و اجرای فایل‌ها، آغاز کردن روندها، سرقت کوکی‌ها و گذرواژه‌های محلی می‌باشد.

یکی از ویژگی‌های جالب FormBook استفاده از روشی به نام جزیره لاگوس می‌باشد. FormBook در این روش ntdll.dll را از روی دیسک خوانده، عملکردهای صادر شده‌ی آن را به طور مستقیم فراخوانی کرده و روندهای پایش API را غیرفعال می‌کند.

همچنین محققان اعلام کردند که کمپین FormBook اخیرا از بدافزارهای دیگری همانند NanoCore هم استفاده کرده‌ است.

ویژگی‌های کلیدی FormBook

  • ذخیره‌سازی کلیدهای فشرده
  • پایش Clipboardها
  • سرقت درخواست‌های HTTP/HTTPS/SPDY/HTTP2 و سایر درخواست‌های شبکه
  • سرقت گذرواژه‌ها از طریق ناوشگرها و کاربران رایانامه‌ها
  • گرفتن تصویر از میز کار، کاربر

همچنین دستورات زیر را می‌تواند از سرور C2 دریافت کند:

  • به ‌روز رسانی bot
  • بارگذاری و اجرای فایل‌ها
  • پاک کردن bot از سیستم مهمان
  • اجرای یک دستور از طریق ShellExecute
  • پاک کردن کوکی‌های ناوشگر
  • بارگذاری مجدد سیستم
  • خاموش کردن سیستم
  • جمع‌آوری گذرواژه‌ها و تهیه‌ی عکس از میز کار سیستم کاربر
  • بارگذاری و گشایش فایل‌های ZIP

راه‌کارهای مقابله

  • کاربران شبکه تان را آموزش دهید.
  • از یک ضد ویروس معتبر استفاده نمایید
  • اگر از کسپرسکی استفاده می‌نمایید پیشنهاد میکنیم تا کارهای زیر را انجام دهید:
    System Watcher کسپرسکی را فعال نمایید.
    زیرا در صورت فعال بودن، System Watcher از ایجاد هرگونه تغییر ناخواسته‌ای جلوگیری می‌کند. در نتیجه System Watcher از رمز شدن فایل‌های سیستم هم جلوگیری می‌کند، حتی در زمان‌هایی که بدافزاری که اقدام به رمز نمودن فایل‌ها نموده است در پایگاه داده کسپرسکی وجود نداشته باشد.
  • از پلتفرم‌هایی مانند KATA استفاده نمایید.
  • اخبار آسیب‌پذیری را جدی گرفته و به روز رسانی‌ها را جدی بگیرید.
  • از راهکارهای مدیریت وصله‌ی کارآمد استفاده نمایید.

آرمان داده پویان نمایندگی رسمی محصولات کسپرسکی در ایران


تازه ترین ها