اخبار امنیت

بدافزار Win32/StealthFalcon
شما اجازه رای دادن ندارید!

بهره برداری از پروتکل BITS مایکروسافت توسط یک گروه خرابکار اماراتی

محققان امنیتی به تازگی موفق به کشف ویروس جدیدی شده‌اند که از یک سرویس داخلی سیستم عامل ویندوز استفاده می‌کند تا داده‌‌ها را به صورت مخفیانه به سمت سرور مهاجمین ارسال نماید. توسعه این ویروس به تیم Stealth Falcon نسبت داده شده است. اگر بخواهیم در ارتباط با فعالیت‌های این تیم به شما توضیح دهیم بایستی بگوییم Stealth Falcon را می‌توان یک گروه خرابکار دولتی دانست که به دولت امارات مرتبط بوده و بر ضد روزنامه‌نگاران، فعالان و مخالفان سیاسی این دولت فعالیت می‌کنند. در سال ۲۰۱۵ این گروه اقدام به ارسال هرزنامه‌ای به یکی از فعالان اماراتی ساکن لندن نمود و در این هرزنامه یک موقعیت شغلی را برای یک موسسه ساختگی به نام ” حق مبارزه” را پیشنهاد کرد، این گروه در توئیتر نیز فعالیت‌های مخربانه‌ای را بر ضد این فعالین سیاسی انجام داده است. در ادامه با ما باشید تا در اخبار امنیتی آرمان داده پویان ویروس جدید این گروه با نام Win32/StealthFalcon را به شما معرفی کنیم.

Win32StealthFalcon

بدافزار Win32/StealthFalcon

بدافزار win32/StealthFalcon همانطور که از نامش مشخص است توسط تیم خرابکار Falcon توسعه داده شده است. این بدافزار با استفاده از سرویس انتقال هوشمند ویندوز یعنی BITS (Background Intelligent Transfer Service)  با سرورهای C&C گروه StealthFalcon ارتباط برقرار کرده و اقدام به ارسال اطلاعات جمع آوری شده قربانی به صورت رمزنگاری شده می‌نماید. از دیگر قابلیت‌های این بدافزار امکان برنامه ریزی شدنش برای اجرا شدن به عنوان یک task است که بر روی هر ارتباط کاربری‌ای می‌تواند اجرا شود. همچنین این بدافزار می‌تواند داده‌ها را پاک کند و از ابزارهای مخرب دیگر برای بروزرسانی پیکربندیش استفاده نماید. این ابزار نسبت به ابزار قبلی که توسط گروه StealthFalcon پیشرفته‌تر است. محققان می‌گویند این بدافزار ممکن است در سال ۲۰۱۵ توسعه داده شده باشد و هم اکنون در حال بهره برداری شدن بر ضد کاربران از کشورهای مختلف همچون تایلند، عربستان سعودی، امارات متحده عربی و هلند باشد. همچنین به تازگی محققان موفق به یافتن یک درب پشتی بر مبنای پاورشل شده‌اند که خصوصیات مشترک زیادی با بدافزار Win32/StealthFalcon دارد. این درب پشتی توسط گروه Raven توسعه داده شده است.

پروتکل BITS

پروتکلی که این بدافزار برای منتقل کردن اطلاعات از آن استفاده می‌کند یعنی پروتکل BITS یک پروتکل ارتباطی ویندوز است که از پهنای باند استفاده نشده شبکه برای تسهیل انتقال غیرهمزمان و الویت بندی شده میان ماشین‌ها در پس زمینه و پیش زمینه بدون ایجاد اختلالی در شبکه استفاده می‌نماید. پروتکل BITS معمولا در بروزرسانی‌های نرم افزارها مورد استفاده قرار گرفته و شامل دانلود فایل‌ها از سرورهای مایکروسافت، نصب بروزرسانی‌های ویندوز ۱۰، برنامه‌های کاربردی، پیام رسان‌ها و سایر برنامه‌هایی که در پیش زمینه استفاده می‌گردند، طراحی شده است. حال چرا مهاجمین StealthFalcon از این پروتکل برای انتقال داده‌ها استفاده کرده‌اند؟ بیشتر وظایف BITS اجازه اجرا شدن را از سمت دیواره‌های آتش داخلی دارند و نرخ انتقال داده را به صورت خودکار تنظیم می‌نمایند در نتیجه به بدافزار امکان اجرا شدن در پیش زمینه را می‌دهند. البته این اولین باری نیست که سرویس BITS مایکروسافت مورد بهره برداری مهاجمین قرار گرفته است. اولین گزارش استفاده از BITS در سال ۲۰۰۷ منتشر شد و تا کنون نیز شاهد بهره‌برداری‌های مهاجمین از این پروتکل بوده‌ایم. علت جذابیت BITS برای مهاجمین این است که به عنوان یک جز ویندوز توانایی بازیابی و بارگذاری فایل‌ها را با استفاده از برنامه‌های کاربردی مورد اعتماد دیواره آتش میزبان را دارا می‌باشد.

سال گذشته محققین کسپرسکی گزارشی از فعالیت تیم FruityArmor را منتشر کردند که در فعالیت‌های خود از پروتکل BITS استفاده کرده بودند و موفق به ایجاد یک درب پشتی بر روی سیستم قربانی برای برقراری ارتباط با سرورهای C2 مهاجمین شده بودند. در سال ۲۰۱۶ نیز تیم Dell secure گزارشی مبتنی بر ویژگی‌های BITS منتشر کرد که در توسط یک مهاجم مورد استفاده قرار گرفته بود. این مهاجم با استفاده از یک بدافزار تغییر دهنده DNS با نام Ziob.Q. اقدام به آلوده کردن سیستم قربانی نموده بود. محققین امنیتی اذعان داشتند مهاجمین از cloak این پروتکل برای بارگذاری به ظاهر مجاز بدافزار در سیستم قربانی استفاده می‌نمایند.

سخن آخر

همانطور که در این خبر خواندید این بدافزار توسط یک تیم مخرب APT و در جریان حملاتی هدفمند و با مواضع سیاسی توسعه یافته است و تنها بخشی از یک حمله پیچیده را شامل می‌شود. بانک‌ها، سازمان‌های دولتی، وزارتخانه‌ها و صنایع همواره اهدفی جذاب برای گروه‌های APT بوده‌اند که با اهداف سیاسی، اقتصادی و غیره مورد هدف قرار گرفته‌اند. آرمان داده پویان به شما توصیه می‌نمایند تا به کارگیری راهکارهای امنیتی از وقوع چنین حملاتی پیشگیری کرده و به موقع آن‌ها را شناسایی نمایید. پلتفرم ضد حملات هدفمند کسپرسکی KATA برای شناسایی نسل جدید حملات و تهدیدات هدفمند طراحی شده است. اصولا این حملات مدت‌ها بعد از نفوذ به شبکه شناسایی می‌گردند که این موضوع به معنای خسارت‌های جبران‌ناپذیر می‌باشد. مقابله با این نوع حملات با راهکارهای سنتی موجود امکان‌پذیر نمی‌باشد. در این راستا کسپرسکی اقدام به عرضه پلتفرم ضد حملات هدفمند خود با نام KATA نموده است. کاتا کسپرسکی از اجزای مختلفی تشکیل شده است. آزمایشگاه کسپرسکی با بررسی، کشف و مطالعه بردارهای تهدید ضمن پیش‌بینی آینده آن‌ها و در اختیار گذاشتن اطلاعات به مخاطبانش بر روی محصولات خود کارهای ارزشمندی انجام می‌دهد تا بتوانند محافظت بهتری ارائه دهند.

آرمان داده پویان نمایندگی پلاتینیوم کسپرسکی در ایران

برای مشاوره و کسب اطلاعات بیشتر با مشاوران ما تماس بگیرید

تعداد بازدید: 437


تازه ترین ها