جزئیاتی از یک حمله در پشتی جدید با هدف سیستم های ویندوز
به گزارش اسمارت کاور، محققان اخیراً یک در پشتی جدید به نام BITSLOTH در ویندوز کشف کرده اند که سیستم های ویندوزی را هدف قرار می دهد و از سرویس (BITS) برای عملیات فرمان و کنترل (C2) بهره می برد.
به گزارش اسمارت کاور به نقل از ایسنا، Back Door یا درپشتی یک نوع نرم افزار مخرب یا یک ضعف امنیتی است که دسترسی هکرها را به سیستم کاربران میسر می کند. در این روش هکرها با دور زدن مکانیزم های امنیتی به صورت غیر مجاز به سیستم کاربران دسترسی پیدا می کنند به نحوی که کاربران حتی متوجه نفوذ هکرها نمی شوند چون که آنها در پس زمینه سیستم کاربران فعالیت می نمایند و شناسایی آنها برای کاربران عادی کار سختی است.
درحقیقت Back Door یا درپشتی، از طریق های مختلف به هکرها این امکان را می دهد که به سیستم کاربران نفوذ کنند و اطلاعات آنها را دستکاری کنند. معمولا هکرها برای کنترل سیستم کاربران از بدافزارها استفاده می کنند؛ آنها از راه دور می توانند اطلاعات شخصی کاربران را به سرقت ببرند یا دستکاری کنند.
همینطور آنها می توانند بدون اطلاع کاربران، فرمان های مختلفی را روی سیستم کاربر اجرا کنند و هر تغییری را در سیستم کاربران اعمال کنند. مثلا نام کاربری، پسوردهای نرم افزارهایی که استفاده می نمایند و مهم تر از آنها اطلاعات حساسی مانند اطلاعات بانکی کاربران را از روش Back Door یا درپشتی به سرقت ببرند و آنها را لو بدهند.
در این راستا کارشناسان امنیتی از یک درب پشتی جدید و پیشرفته با هدف سیستم های ویندوز اطلاع داده اند. محققان اخیراً یک درب پشتی جدید به نام BITSLOTH در ویندوز کشف کرده اند که سیستم های ویندوزی را هدف قرار می دهد و از سرویس Background Intelligent Transfer Service (BITS) برای عملیات فرمان و کنترل (C۲) بهره می برد.
عملیات فرمان و کنترل (C۲) فرآیندی است که در آن مهاجمان سایبری، بعد از نفوذ به یک سیستم، ارتباطات خویش را با سیستم های آلوده حفظ می کنند و از راه آن، دستورات خویش را ارسال و اطلاعات را دریافت می کنند. این کانال به مهاجم امکان می دهد تا دستورات مختلفی مانند اجرای بدافزارهای جدید، جمع آوری اطلاعات حساس یا دستکاری فایل ها را صادر کند.
BITS یک سرویس ویندوزی است که برای انتقال فایل ها به صورت غیرهمزمان بین دستگاه ها طراحی شده است. این سرویس بخصوص برای دانلود بروزرسانی ها و انتقال داده ها با کمترین تاثیر بر عملکرد شبکه به کار می آید. BITS قابلیت مدیریت قطعی های شبکه را هم داراست و می تواند انتقال ها را بعد از بازگشت اتصال ادامه دهد، حتی اگر سیستم باردیگر راه اندازی شده باشد.
BITSLOTH از یک پروژه ی بارگذاری شل کد برای اجرای مخفیانه و عبور از مکانیزم های امنیتی سنتی استفاده می نماید. در حین حرکت جانبی در شبکه، BITSLOTH بعنوان یک فایل DLL (به نام flengine.dll) وارد سیستم شده و با استفاده از تکنیک Side-Loading، این فایل مخرب را از راه یک برنامه به نام FL Studio بارگذاری و اجرا می کند. FL Studio یک برنامه معتبر برای تولید موسیقی است که نصب آن برای کاربران متداول می باشد. مهاجمان به نحوی با استفاده از این برنامه کد مخرب BITSLOTH را اجرا می کنند، که این فرایند بعنوان بخشی از عملکرد معمولی نصب FL Studio به نظر می آید.
در توضیح حرکت جانبی (Lateral Movement) باید گفت این روش به فرآیندی اشاره دارد که در آن مهاجم بعد از به دست آوردن دسترسی اولیه به یک سیستم، تلاش می کند به سایر سیستم های موجود در شبکه دسترسی پیدا کند تا دامنه ی نفوذ خویش را در شبکه گسترش داده و به منابع ارزشمندتر، مانند سرورها، پایگاه های داده و سیستم های مدیریتی، دسترسی یابد.
علاوه بر این، BITSLOTH می تواند حالت ارتباط را به HTTP یا HTTPS تنظیم کند، فرآیندهای دلخواه را خاتمه دهد، کاربران را از سیستم خارج کند، سیستم را مجدداً راه اندازی یا خاموش کند، و حتی خویش را بروزرسانی کرده یا از سیستم میزبان حذف کند. این بدافزار همینطور با تشکیل و مدیریت کارهای BITS که به ظاهر بی ضرر هستند و شبیه به وظایف بروزرسانی ویندوز به نظر می رسند، از شناسایی شدن اجتناب می کند. بعنوان مثال، کارهای موجود با نام هایی مثل "WU Client Download" را لغو می کند و کارهای جدیدی با نامهای مشابه بوجود می آورد. این کارها به صورت مخفیانه با سرورهای فرمان و کنترل(C۲) ارتباط برقرار کرده و ترافیک مخرب را با ترافیک عادی شبکه ترکیب می کنند.
بیشتر بخوانید
چگونه از حملات "در پشتی" جلوگیری کنیم؟
به گفته محققان، استفاده از BITSLOTH و بهره برداری آن از سرویس BITS برای مهاجمان جذاب است، چونکه این سرویس به علت کاربردهای مشروعش معمولا از نظارت های امنیتی عبور می کند. خیلی از سازمان ها در تشخیص تفاوت بین ترافیک عادی BITS و فعالیتهای مخرب مشکل دارند، که این امکان را به مهاجمان می دهد تا برای مدت طولانی در شبکه باقی بمانند و فعالیتهای خویش را پنهان کنند. علاقه مندان برای کسب اطلاعات بیشتر از جزئیات این بداافزار می توانند به این لینک رجوع کنند
بر اساس اعلام مرکز مدیریت امداد و هماهنگی عملیات رخدادهای کامپیوتری سیستم ها و سرورهای ویندوزی، امکان دارد هدف این حمله قرار بگیرند. در این خصوص برای پیشگیری از اثرات این بدافزار سفارش می شود مواردی مانند نظارت دقیق و مستمر بر ترافیک سرویس BITS.، استفاده از ابزارهای تحلیل ترافیک شبکه جهت بررسی و تحلیل ترافیک BITS. و محدودسازی مجوزهای دسترسی به سیستم ها و اطلاعات حساس رعایت شود.
کارشناسان بر این باور برای مقابله با درپشتی کاربران حتما نرم افزارهای آنتی ویروس و ضد بدافزار را روی سیستم خود نصب داشته باشند. آنتی ویروس مناسب برای امنیت دستگاه خیلی مهم و ضروریست ولی کافی نیست و در کنار آن یک Anti Malware امن را هم برای شناسایی اپلیکیشن های مخرب روی سیستم تان نصب کنند. همینطور سفارش می شود از نرم افزارهای متن باز یا Open Source که معمولا مجانی هم هستند استفاده شود، چون که کد این برنامه ها در دسترس عموم هست و عده ای متخصص آنها را بررسی می کنند که آیا Back Door یا درپشتی یا کد مرجع آنها وجود دارد یا خیر. پس Back Door یا درپشتی به سراغ اپلیکیشن هایی می رود که خیلی راحتر و مناسب تر برای هک هستند.
منبع: اسمارت كاور
مطلب را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب