در ۱۳ خرداد ۱۳۹۸
  • باینری
  • ضدویروس

نویسندگان بدافزار در حال آزمایش انواع غیرمعمولی از بدافزارهای هستند که چالش های جدیدی برای حوزه امنیت به وجود آورده است.

 

اکثر نویسندگان بدافزار در سال‌های گذشته تنبل شده‌اند و کد و فنون را از یکدیگر می‌دزدند. اما برخی دیگر در ایده‌های بسیار تازه سرمایه‌گذاری کرده‌اند که منجر به ایجاد ابزارهایی شده است که برای ضدویروس‌ها دردسر ساز  و برای محققان حوزه امنیت نیز چالش برانگیز گشته اند.

 

این‌ها گفته‌های الکساندرا دونیک یک تحلیلگر بدافزار در شرکت Malwarebytes بود.

 

وی در این زمینه با مارک لکتیک همکاری کرده است. این دو محقق نتایج خود را در کنفرانس سال ۲۰۱۹ کسپرسکی که در سنگاپور برگزار شد ارائه کردند. هدفشان ایجاد آگاهی در مورد خیز انواع غیرمعمول بدافزار بود،‌ بدافزارهایی که روش‌های سنتی را می‌شکنند و در قالب‌ها و اندازه‌های متفاوتی ظاهر می‌شوند.

 

بدافزار

 

محققان در چند سال اخیر انواع مختلفی از بدافزار‌های غیرمعمول را بررسی کردند شامل آن‌هایی که از قالب‌های فایل خاص استفاده می‌کردند تا آن‌هایی که قالب فایل باینری را دستکاری می‌کردند.

به گفته لکتیک :

 

«به یک معنا این‌ها جرقه نبوغ اشخاصی است که مشغول تولید بدافزار هستند، کسانی که دنبال رهبر شدن در حیطه کاریشان هستند. »

 

بدافزار خلاقانه می‌تواند به دست هر گروه هکری ساخته شود نه فقط گروه‌های حکومتی.

به گفته لکتیک:

 

« حقیقت این است که مواردی را برخورد می‌کنیم که مجرمان سایبری از قالب‌های غیرمعمول برای ناشناس ماندن و فرار کردن از ضدویروس‌ها استفاده می‌کنند.»

 

به گفته این دو محقق از جمله قربانیان اینگونه حملات احتمالاً می‌توان به بانک‌ها، کمپانی‌ها و فعالان آسیایی می‌توان اشاره کرد.

 

بدافزار

 

قالب‌های غیرمعمول چطور استفاده می‌شوند؟

 

دونیک و لکتیک چندین مورد استفاده برای اینگونه بدافزارها ارائه کردند. یکی از قربانیان بانک Cosmos بود، دومین بانک بزرگ هندوستان که در آگوست ۲۰۱۸ مورد حمله هکرها قرار گرفت و ۱۳ و نیم میلیون دلار به سرقت رفت.

 

چندین کمپانی امنیتی باور دارند که این مورد به احتمال زیاد کار گروه لازاروس بود که گروهی کره‌ای هستند که هدفشان حوزه مالی بود است و ظاهراً مسئول چندین سرقت از بانک‌های بنگلادش هم هستند.

 

در خصوص حمله به بانک cosmos هدف نویسند‌گان بدافزار سرورهای پرداخت بود که دارای نرم افزارهایی هستند که داده‌ها و اطلاعات بین پورتال پرداخت و بانک را نظارت می‌کنند.

به گفته لکتیک :

 

«چنین سوییچ پرداختی به وسیله بدافزار گروه لازاروس آلوده شد تا تراکنش‌های خاص مربوط به شماره حساب‌های خاص را رصد نکند.» وی ادامه داد « هرگاه از آن حساب‌های درخواست پول می‌کردید ماشین خودپرداز صرف نظر از میزان موجودی به شما پول پرداخت می‌کرد.»

 

سیستم عامل مورد استفاده در این سرورها سیستم نادر AIX توسط IBM بود که بیشتر توسط سازمان های مالی استفاده می‌شود.

 

فایل‌های اجرایی این سیستم عامل بر اساس فرمت XCOFF طراحی شده‌اند که با اینکه یک استاندارد است ولی کاملاً نادر است.  به گفته لکتیک این بدافزار احتمالاً تنها بدافزاریست که از این فرمت سوء‌استفاده می‌کند. بر اساس یک تحلیل مشخص شد که این گروه هکر بدافزار XCOFF را برای وارد کردن یک وصله به سرور پرداخت ساختند.

 

به گفته لکتیک :

 

«اگر برای این فرمت بدافزار می‌نویسید باید از محیط به شدت سفارشی شده که درگیرش می‌شوید اطلاعات داشته باشید. باید از هدف این پلتفرم و تمام محدودیت‌هایش و تمام طرق اجرای فایل‌ها و توابعی که در دسترستان است سر در بیاورید.»

 

مورد تازه دیگری که این محققین بررسی کردند مرتبط با گروه هکر OceanLotus بود. نمونه‌هایی که این دو بررسی کردند نشانه‌هایی از ارتباط با فعالان حقوق بشری در ویتنام دارند که هدف این بدافزارهای ایمیل بودند.

 

این نمونه دو قسمت در خود دارد: .blob و cab که هر دو درون همان فرمت ناشناخته قرار گرفته‌اند. ویژگی‌های جاسوسی بدافزار  به وسیله ماژول blob انجام می‌شوند که به نظر می‌آید از فرمتی شبیه آنچه در سیستم عامل ویندوز وجود دارد به وجود آمده باشد به نام PE.

 

بدافزار

 

کمپانی‌ها چطور می‌توانند خودشان را در برابر بدافزارهای غیرمعمول محافظت کنند؟

 

دونیک و لکتیک گفتند پدیده بدافزار غیرمتعارف در حال حاضر نادر است اما تازگی موارد بیشتری مشاهده شده است.  توصیه ایشان به سازمان‌ها اهمیت بیشتر به امنیت است.

برخی از این بدافزارها میتوانند به وسیله ضدویروس‌ها شناسایی شوند.

به گفته دونیک:

 

« بعد از اینکه یک فایله مخرب وارد حافظه شد باید از طریق api سیستم عامل با آن ارتباط برقرار کند. برنامه‌هایی که این رابط‌ها را تحت نظر دارند می‌توانند از وجود موردی مشکوک آگاه شوند و این حالت مانند هر بدافزار معمولی قابل شناسایی است.»

 

پروسه یافتن اینگونه بدافزارها بی عیب نیست و کمپانی‌های امنیتی احتمال دارد داده‌های حیاتی که می‌تواند به استنتاج کلیت حمله کمک کند را نادیده بگیرند.

به گفته دونیک:

 

« محصولات ضدویروس برخی داده‌های مرتبط را به عنوان داده‌های سنجشی ارسال می‌کنند اما مساله این است که این داده‌ها شامل فایل اجرایی است و نه قسمت‌های باینری درون فرمت‌های ناشناخته.»

 

لکتیک باور دارد که وقتی سروکار با فرمت‌های غیرمتعارف است  نیاز به یک محقق واقعی وجود دارد و ابزارهای ماشینی ممکن است از عهده این کار بر نیایند.

 

این دو محقق گفتند دلایلی برای باور اینکه نویسندگان بدافزار در سال‌های آینده خلاق تر عمل خواهند کرد دارند. و علت فقط از روی تفریح نیست بلکه بیشتر به این خاطر است که نرم افزارهای امنیتی هر روز پیشرفته‌تر و کامل‌تر می‌شوند و قابلیت تشخیص آن‌ها بهتر می شود.

به گفته لکتیک:

 

«در مقام نویسنده بدافزار شما همیشه مجبورید نوآوری کنید تا از سد اینگونه نرم‌افزارها رد شوید.»

 

 

منبع: https://www.csoonline.com