یکی از جالبترین اخبار از محققان امنیتی لابراتوار کسپرسکی در نشست تحلیلگران امنیت کسپرسکی (SAS) گزارش یک کمپین بسیار پیشرفته ی جاسوسی با نام Slingshot بود.
بردار حمله
این حمله یک بردار منحصر بفرد است که بر اساس تحقیقات ما توانسته است بسیاری از روترها را توسط MikroTik مورد حمله قرار بدهد. روترها فایل های DLLمختلف را در مسیر کسب و کار دانلود و اجرا می کنند. مجرمان راهی را برای به خطر انداختن دستگاه ها با اضافه کردن یک DLL مخرب به یک بسته ی DLL مشروع و قابل قبول دیگر یافتند. DLL بد و دارای مشکل دانلود کننده ی فایل های مختلف مخربی بود که در روتر ذخیره می شد.
البته گفتنی است که ما این موضوع را به سازنده ی روتر گزارش دادیم و متوجه شدیم که MikroTik در گذشته نیز با این مشکل مواجه شده است. با این حال کارشناسان ما MikroTik نام تجاری است که توسط Slingshot مورد استفاده قرار گرفته است و ممکن است دستگاه های دیگر را نیز تحت آلودگی و تاثیر خود قرار بدهد.
یکی دیگر از جنبه های جالب Slingshot ترفندی بود که برای اجرای نرم افزارهای مخرب در حالت کرنل استفاده می شد. اجرای این ترفند در سیستم عامل های به روزشده تقریبا غیر ممکن است اما این بدافزار سیستم های آسیب پذیر را می یابد و از آن ها برای اجرای کدهای مخرب خود استفاده می کند.
ابزارهای مخرب
بدافزار استفاده شده در Slingshot شامل دو شاهکار بزرگ بود: اول ماژول حالت کرنل که Cahnadr و GollumApp نامیده می شد، دوم از همه ماژول حالت کاربر.
اجرا در حالت کرنل، امکان کنترل کامل را به مجرمان بدون هیچگونه محدودیتی می دهد، این کنترل بیش از کنترل بر یک سیستم آلوده است. علاوه بر این برخلاف بدافزارهای مخرب که تلاش می کنند تا بر روی حالت کرنل کار کنند این تروجان می تواند کدها را بدون ایجاد صفحه ی آبی اجرا کند. ماژول دوم GollumApp حتی پیچیده تر از ماژول اول است. این ماژول تقریبا شامل 1500 توابع کد است.
توسط این ماژول ها Slingshot می تواند تصاویر، داده های تایپ شده روی صفحه ی کلید، داده های شبکه، رمزهای عبور، فعالیت های دیگر دسکتاپ، کلیپ بورد و خیلی چیزهای دیگر را جمع آوری کند. تمام این موارد از آسیب پذیری روز صفر اکسپلویت می شوند.
مکانیزم پیشگیری
به راستی که Slingshot واقعا خطرناک است. این تروجان قادر است کلاهبرداری های بسیاری را بدون اینکه قابل تشخیص و شناسایی باشد انجام دهد. حتی می تواند اجزای آن را خاموش تا بتواند شناسایی هر گونه علائمی را غیر ممکن کند. علاوه بر این Slingshot از سیستم رمزنگاری فایل در یک بخش استفاده نشده در هارد دیسک استفاده می کند.
چگونه با حملات پیشرفته همانند Slingshot مقابله کنیم؟
اگر که شما از یک روتر MikroTik و نرم افزار مدیریت WinBox استفاده می کنید آخرین نسخه ی برنامه ی خود را دانلود کنید و اطمینان حاصل کنید که روتر به آخرین نسخه ی سیستم عامل خود آپدیت شده است. با این حساب اپدیت شما را از بردار حملات پیشرفته نجات خواهد داد.
برای محافظت از کسب و کار خود مقابل حملات هدفمند پیچیده شما بایستی یک رویکرد راهبردی را اجرا نمایید. ما به شما یک پلتفرم مدیریت علیه تهدیدات و دفاعی را توصیه می کنیم. این پلتفرم می تواند Kaspersky Anti Targeted Attack platform باشد که راهکاری جدید برای شناسایی تهدیدات پیشرفته توسط لابراتوار کسپرسکی است.
Kaspersky Anti Targeted Attack به شما این امکان را می دهد که ناهنجاری های ترافیکی شبکه را بیابید، فرآیندهای مشکوک را شناسایی کنید و رویدادهای بین ارتباطات را دنبال کنید. راهکار امنیتی اندپوینت کسپرسکی از هرگونه جمع آوری اطلاعات جلوگیری کرده و فورا موارد مشکوک را شناسایی می کند.
بردار حمله
این حمله یک بردار منحصر بفرد است که بر اساس تحقیقات ما توانسته است بسیاری از روترها را توسط MikroTik مورد حمله قرار بدهد. روترها فایل های DLLمختلف را در مسیر کسب و کار دانلود و اجرا می کنند. مجرمان راهی را برای به خطر انداختن دستگاه ها با اضافه کردن یک DLL مخرب به یک بسته ی DLL مشروع و قابل قبول دیگر یافتند. DLL بد و دارای مشکل دانلود کننده ی فایل های مختلف مخربی بود که در روتر ذخیره می شد.
البته گفتنی است که ما این موضوع را به سازنده ی روتر گزارش دادیم و متوجه شدیم که MikroTik در گذشته نیز با این مشکل مواجه شده است. با این حال کارشناسان ما MikroTik نام تجاری است که توسط Slingshot مورد استفاده قرار گرفته است و ممکن است دستگاه های دیگر را نیز تحت آلودگی و تاثیر خود قرار بدهد.
یکی دیگر از جنبه های جالب Slingshot ترفندی بود که برای اجرای نرم افزارهای مخرب در حالت کرنل استفاده می شد. اجرای این ترفند در سیستم عامل های به روزشده تقریبا غیر ممکن است اما این بدافزار سیستم های آسیب پذیر را می یابد و از آن ها برای اجرای کدهای مخرب خود استفاده می کند.
ابزارهای مخرب
بدافزار استفاده شده در Slingshot شامل دو شاهکار بزرگ بود: اول ماژول حالت کرنل که Cahnadr و GollumApp نامیده می شد، دوم از همه ماژول حالت کاربر.
اجرا در حالت کرنل، امکان کنترل کامل را به مجرمان بدون هیچگونه محدودیتی می دهد، این کنترل بیش از کنترل بر یک سیستم آلوده است. علاوه بر این برخلاف بدافزارهای مخرب که تلاش می کنند تا بر روی حالت کرنل کار کنند این تروجان می تواند کدها را بدون ایجاد صفحه ی آبی اجرا کند. ماژول دوم GollumApp حتی پیچیده تر از ماژول اول است. این ماژول تقریبا شامل 1500 توابع کد است.
توسط این ماژول ها Slingshot می تواند تصاویر، داده های تایپ شده روی صفحه ی کلید، داده های شبکه، رمزهای عبور، فعالیت های دیگر دسکتاپ، کلیپ بورد و خیلی چیزهای دیگر را جمع آوری کند. تمام این موارد از آسیب پذیری روز صفر اکسپلویت می شوند.
مکانیزم پیشگیری
به راستی که Slingshot واقعا خطرناک است. این تروجان قادر است کلاهبرداری های بسیاری را بدون اینکه قابل تشخیص و شناسایی باشد انجام دهد. حتی می تواند اجزای آن را خاموش تا بتواند شناسایی هر گونه علائمی را غیر ممکن کند. علاوه بر این Slingshot از سیستم رمزنگاری فایل در یک بخش استفاده نشده در هارد دیسک استفاده می کند.
چگونه با حملات پیشرفته همانند Slingshot مقابله کنیم؟
اگر که شما از یک روتر MikroTik و نرم افزار مدیریت WinBox استفاده می کنید آخرین نسخه ی برنامه ی خود را دانلود کنید و اطمینان حاصل کنید که روتر به آخرین نسخه ی سیستم عامل خود آپدیت شده است. با این حساب اپدیت شما را از بردار حملات پیشرفته نجات خواهد داد.
برای محافظت از کسب و کار خود مقابل حملات هدفمند پیچیده شما بایستی یک رویکرد راهبردی را اجرا نمایید. ما به شما یک پلتفرم مدیریت علیه تهدیدات و دفاعی را توصیه می کنیم. این پلتفرم می تواند Kaspersky Anti Targeted Attack platform باشد که راهکاری جدید برای شناسایی تهدیدات پیشرفته توسط لابراتوار کسپرسکی است.
Kaspersky Anti Targeted Attack به شما این امکان را می دهد که ناهنجاری های ترافیکی شبکه را بیابید، فرآیندهای مشکوک را شناسایی کنید و رویدادهای بین ارتباطات را دنبال کنید. راهکار امنیتی اندپوینت کسپرسکی از هرگونه جمع آوری اطلاعات جلوگیری کرده و فورا موارد مشکوک را شناسایی می کند.