اکسپلویتهای قدیمی در سیستمی مدرن
مجرمان سایبری مدتهای مدید است از حملات نوع Land -که از برنامههای قانونی یا قابلیتهای سیستم عامل برای آسیب رساندن استفاده میکنند- تغذیه میکنند و این خبر تازهای نیست؛ اما از آنجایی که متخصصین به پیگیری و ردیابی نرمافزارهای مدرن حساس به LotL پرداختند آنها مجبور شدند کلیشهها را کنار گذاشته و دست به نوآوری بزنند. محققین ژان یان بوتان و زوزانا هرومکوا در کنفرانس RSA 2021 پیرامون یکی از همین نوآوریها سخنرانی کردند: استفاده از اجزا و برنامههای قانونی ویندوز XP.
تغذیه از Land و اجزای آسیبپذیر ویندوز XP
بوتان و هرومکوا با بررسی فعالیت گروهی موسوم به InvisiMole اشاره کردند که استفاده ابزارهای InvisiMole از فایلها برای سیستمعاملی منسوخ به آن کمک میکند تا مخفیانه به حضور خود ادامه دهند. محققین به این فایلها اسم VULNBins دادند؛ چیزی شبیه به اسم LOLBins که جامعهی امنیتی آن را روی فایلهای استفادهشده در حملات Land پیادهسازی میکند. البته که دانلود یک فایل از رده خارجشده در کامپیوتر قربانی مستلزم دسترسی به آن دستگاه است. اما VULNBinsها معمولاٌ به منظور ایجاد نوعی پایداری و حضور دائم در سیستم مورد هدف استفاده میشوند؛ حضوری پنهانی طوری که هیچ کس باخبر نشود.
مصداقهایی از کاربرد برنامههای منسوخ و اجزای از رده خارج سیستمها
اگر مهاجم نتواند به حقوق ادمین دسترسی پیدا کند، یکی از تاکتیکهایی که ممکن است برای ایجاد پایداری خود پیادهسازی کند، استفاده از ویدیو پلیر قدیمی است با یک آسیبپذیری «سرریز بافر». مجرمان سایبری با Task Scheduler یک تسک که مرتباً زمانبندی میشود را ایجاد میکنند. این تسک مدام از پلیر –که تنظیماتش طوری دستکاری شده که آسیبپذیری را اکسپلویت کند- میخواهد تا کد لازم برای مرحله بعد حمله را لود کند. با این وجود اگر مهاجمین InvisiMole تصمیم بگیرند به حقوق ادمین دست یابند میتوانند متود دیگری را نیز به کار گیرند. این متود از اجزای سیستم قانونی setupSNK.exe، Windows XP library wdigest.dll و Rundll32.exe استفاده میکند. سپس آنها دادههایی را که آرشیو (یا همان library) در مموری لود میکند دستکاری میکنند. آرشیو پیش از بکارگیری فناوری ASLR ساخته شده است؛ از این رو مجرمان سایبری آدرس دقیقی را که قرار است در مموری لود شود میدانند. آنها اکثر پیلود آلوده را در رجیستری (در قالب رمزگذاریشده) ذخیره میکنند و همه آرشیوها و فایلهای قابلاجرایی که استفاده میکنند دیگر قانونی به نظر میرسد. در نتیجه همه اینها حضور نفوذی در فایل (با تنظیمات پلیر) و همینطور اکسپلویت کوچکی را که آرشیوهای منسوخ را هدف قرار گرفته رد میکند. توصیهی ما به شما این است که:
برای جلوگیری از استفاده مجرمان سایبری از فایلهای قدیمی و اجزاهای منسوخ سیستمها (خصوصاً آنهایی که زمانی یک ناشر قانونی امضایشان کرده) از چنین فایلهایی پایگاه اطلاعاتی درست کنید. این اولین قدم در راستای حفظ امنیت سایبری است. با این کار لایههای دفاعی موجود را فعال کرده و دستکمی موارد مشکوک را ردیابی کردهاید.
راهکارهای امنیتی
توصیهی دیگر ما به شما استفاده از راهکار سطح EDR کسپرسکی است که:
- اجرای اجزای ویندوز که خارج از فولدر سیستم قرار دارند را شناسایی و بلاک کرده،
- سیستمفایلهای امضانشده را شناسایی میکند (برخی سیستم فایلها به جای امضای منحصر به فرد دیجیتال با فایل کاتالوگ امضا میشوند اما سیستمفایلی که به سیستمی منتقل میشود که فایل .cat لازم را ندارد امضانشده تلقی میشود).
- برای شناسایی فرق بین نسخه سیستم عامل و نسخه هر فایل قابلاجرا قانونی را درست میکند.
- همان قانون را برای سایر کاربردها نیز میسازد- برای مثال برای بلاک کردن اجرای فایلهای کامپایلشده مربوط به بیش از ده سال پیش.
همانطور که اشاره کردیم، برای دانلود چیزی در کامپیوتر قربانی، مجرمان سایبری ابتدا باید بدان کامپیوتر دسترسی داشته باشند. برای جلوگیری از ورود VULNBinها به ایستگاههای کارتان راهکارهای امنیتی را روی همه دستگاههایتان –که با اینترنت فعال میشوند- نصب کنید. همچنین به کارمندان خود در خصوص تهدیدهای سایبری آموزش دهید و سطح آگاهی را بالا ببرید. در نهایت نیز با دقت بالایی ابزارهای دسترسی ریموت را تحت نظر قرار دهید.