Kaspersky بدافزار بدون فایل را در لاگ رویدادهای ویندوز کشف می کند

این شرکت امنیت سایبری می گوید این اولین بار است که آنها این نوع روش مخفی کردن بدافزار را می بینند.

یک کشف بی‌سابقه توسط کسپرسکی می‌تواند عواقب جدی برای کسانی که از سیستم‌عامل‌های ویندوز استفاده می‌کنند داشته باشد. در شرکت امنیت سایبری مقاله ای منتشر کرد در تاریخ 4 مه، با ذکر جزئیات که – برای اولین بار – هکرها پوسته‌کد را در گزارش‌های رویدادهای ویندوز قرار داده‌اند و تروجان‌ها را به‌عنوان بدافزار بدون فایل پنهان کرده‌اند.

این کمپین بدافزار از طیف وسیعی از تکنیک‌ها مانند مجموعه‌های تست نفوذ تجاری و پوشش‌های ضدتشخیص استفاده می‌کرد که شامل مواردی بود که با زبان برنامه‌نویسی Go و همچنین چندین تروجان مرحله آخر کامپایل شده بودند.

دیدن: نقض رمز عبور: چرا فرهنگ پاپ و رمزهای عبور با هم ترکیب نمی شوند (PDF رایگان) (TechRepublic)

گروه های هک برای آخرین مرحله از دو نوع تروجان استفاده کردند و به سیستم دسترسی بیشتری پیدا کردند. این امر از طریق دو روش مختلف، هم از طریق ارتباطات شبکه HTTP و هم با درگیر کردن لوله‌های نام‌گذاری شده، ارائه شد.

چگونه هکرها تروجان را به گزارش رویدادها ارسال کردند

طبق گفته کسپرسکی، اولین نمونه از مخفی شدن این بدافزار در سپتامبر 2021 رخ داد. مهاجمان توانستند هدفی را برای دانلود یک فایل .rar از طریق یک وب سایت معتبر بدست آورند که سپس فایل های تروجان .dll را در هارد دیسک قربانی باز می کند.

Denis Legezo، محقق ارشد امنیت در Kaspersky گفت: «ما شاهد یک تکنیک بدافزار هدف‌مند جدید بودیم که توجه ما را به خود جلب کرد. برای این حمله، بازیگر یک پوسته کد رمزگذاری شده را از گزارش رویدادهای ویندوز نگه داشت و سپس اجرا کرد. این رویکردی است که قبلاً ندیده‌ایم و اهمیت آگاهی از تهدیداتی را که در غیر این صورت می‌توانند شما را غافلگیر کنند، برجسته می‌کند. ما معتقدیم که ارزش افزودن تکنیک ثبت رویدادها را به بخش دفاعی MITER Matrix Evasion و Hide Artifacts دارد. استفاده از چندین سوئیت تجاری تجاری نیز آن چیزی نیست که هر روز می بینید.”

در روش شبکه HTTP، فایل مخرب فایل‌های سیستم ویندوز را هدف قرار می‌دهد، و با ایجاد یک نسخه تکراری از یک فایل موجود با اضافه شدن “1.1” به رشته، که توسط کسپرسکی به عنوان نسخه مخرب یک فایل فرض می‌شود، یک بدافزار مخفی می‌شود. .

لگزو گفت: «قبل از ارتباطات HTTP، ماژول داده‌های خالی (اما همچنان رمزگذاری شده) را در یک بسته ICMP برای بررسی اتصال، با استفاده از یک کلید RC4 با طول 32 بایت، ارسال می‌کند. مانند هر رشته دیگری، این کلید با الگوریتم مبتنی بر Throwback XOR رمزگذاری شده است. در صورت موفقیت آمیز بودن پینگ سرور کنترلی با پورت 80، داده های اثر انگشت فوق به آن ارسال می شود. در پاسخ، C2 فرمان رمزگذاری شده را برای حلقه اصلی تروجان به اشتراک می گذارد.

روش دیگر به نام Named-Based Pipes Trojan معروف است، که کتابخانه ماژول خدمات داده راهنمای Microsoft را در فایل‌های سیستم عامل ویندوز قرار می‌دهد و سپس یک فایل موجود را می‌گیرد تا آن را با نسخه بدافزاری که می‌تواند رشته‌ای از دستورات را اجرا کند، بازنویسی کند. هنگامی که نسخه مخرب اجرا می شود، دستگاه قربانی برای اطلاعات معماری و نسخه ویندوز خراشیده می شود.

چگونه از این نوع حمله جلوگیری کنیم

Kaspersky نکات زیر را به کاربران ویندوز ارائه می دهد تا از این نوع بدافزارها جلوگیری کنند:

• از یک راه حل امنیتی نقطه پایانی قابل اعتماد استفاده کنید.
• محلول های ضد APT و EDR را نصب کنید.
• آخرین اطلاعات و آموزش تهدیدات را به تیم امنیتی خود ارائه دهید.
• حفاظت نقطه پایانی را ادغام کنید و از خدمات اختصاصی استفاده کنید که می تواند به محافظت در برابر حملات با مشخصات بالا کمک کند.

در حالی که شناسایی روش های مورد استفاده توسط هکرها سخت تر می شود، اطمینان از ایمن بودن دستگاه ها مانند همیشه مهم است. مسئولیت محافظت از دستگاه ها به همان اندازه بر دوش تیم فناوری اطلاعات است که کاربر یک دستگاه ویندوزی را بر عهده دارد. با استفاده از امنیت نقطه پایانی و معماری بدون اعتماد، حمله بدافزار بزرگ بعدی را می توان در مسیر خود متوقف کرد و از از دست رفتن داده های حساس و اطلاعات شخصی جلوگیری کرد.