![[-]](https://forum.romaak.ir/images/first18/collapse.png "[-]")
پژوهشگران لابراتوار کسپرسکی مستقر در مسکو متوجه آلودگیای در شبکه مجموعه خود شدند که توسط بدافزاری عجیب و خلاف آنچه که تا به حال دیده بودند، مورد حمله قرار گرفته بود. تقریبا تمام بدافزارها در حافظه کامپیوتر اقامت میگزینند و این ناحیه را تحت تاثیر آلودگی خود قرار میدهند، اما این بدافزار که در نوبه خودش شاهکار به حساب میآید توانسته بود آلودگی را به مدت شش ماه و حتی بیشتر به صورت غیر قابل تشخیص حفظ کند.
![[تصویر: do.php?img=2907]](http://romaak.ir/up/do.php?img=2907)
کسپرسکی در نهایت متوجه شد که که این بدافزار رفتاری شبیه Duqu ۲.۰ تروجانی که به ندرت دیده میشود و از مشتقات Stuxnet،(کرمهای بسیار پیچیده که توسط آمریکا و اسرائیل برای خرابکاری در برنامه هستهای ایران ایجاد شده بودند)، دارد.
در حال حاضر، بدافزار Fileless بخشی از یک نرمافزار مخرب است که برای اجرا شدن هیچگونه فایل یا فولدری را بر روی هارد دیسک کپی نمیکند. به جای این کار، payloadها به صورت مستقیم بر روی حافظه فرآیندهای در حال اجرا تزریق میشوند و این بدافزار بر روی RAM سیستم مورد نظر اجرا میشود .طبق گزارشهایی که لابراتوار کسپرسکی در روز چهارشنبه منتشر ساخت، شبکههای متعلق به ۱۴۰ بانک و شرکتهای دیگر توسط همین بدافزار که در حافظه کامپیوترها به صورت نامرئی باقی مانده بود، آلوده شدند. از آنجا که این آلودگی بسیار وخیم و غیر قابل تشخیص بوده است، از آنجا که این حمله بهسختی قابل شناسایی است، تعداد واقعی شبکههای آلوده شده را نمیتوان دقیق مطرح کرد اما مطمئنا بیش از این مقدار است.
یکی دیگر از مواردی که باعث میشد این آلودگی غیر قابل تشخیص باقی بماند استفاده از موارد قانونی و مشروع در سیستمهای اداری و ابزارهای امنیتی که شامل PowerShell، Metasploit و Metasploit برای تزریق بدافزار به حافظه کامپیوتر بود. با توجه به اینکه این بدافزار بر روی حافظه اجرا میشود، هنگامیکه سیستم راهاندازی مجدد میشود، استفاده از حافظه بلااستفاده میشود و این امر پیدا کردن ردی از این بدافزار را برای متخصصان بررسیهای دیجیتالی سخت میکند.
Kurt Baumgartner متخصص امنیتی در لابراتوار کسپرسکی به Ars گفت: جالب اینجا است که این حملات مداوم در سطح جهان در برابر بانکها و موسسات مالی بوده است. بسیاری از این بانکها به اندازه کافی برای مقابله با این حملات آماده نبودند. او در ادامه گفت که مجرمان این حملات دستگاههای خودپرداز را مورد هدف قرار داده اند و از این طریق پولها را از بانکها به سمت خود هدایت میکنند.
۱۴۰ سازمان که تا به حال نام آنها ذکر نشده است دچار آلودگی شده اند و این حمله ۴۰ کشور مختلف آمریکا، فرانسه، اکوادور، کنیا و انگلستان که جزء ۵ کشور برتر جهان هستند، را مورد هدف قرار داده است. محققان لابراتوار کسپرسکی همچنان اطلاع ندارند که چه کسانی پشت این حمله هستند و توسط چه هکرهایی این طرح آماده شده است.
سرقت رمز عبور
برای اولین بار محققان این بدافزار را در سال گذشته کشف کردند، زمانی که تیم امنیتی یک بانک یک کپی از Meterpreter ( جزئی در حافظه Metasploit ) در داخل حافظه فیزیکی یک کنترل کننده دامنه مایکروسافت یافته بودند.
پس از انجام آنالیزهای دقیق، محققان دریافتند که مهاجمان PowerShell ویندوز را مجبور ساخته بودند که یک کد Meterpreter را به صورت مستقیم و به جای اینکه آن را بر روی دیسک بنویسد، آن بر روی حافظه ذخیره کند.
کلاهبرداران سایبری همچنین از ابزار NETSH networking متعلق به مایکروسافت استفاده کرده بودند تا بتوانند یک تونل پروکسی برای ارتباط برقرار کردن با سرور command and control راهاندازی کنند و به این وسیله قادر شوند از راه دور میزبان آلوده شده را کنترل کنند. برای به دست گرفتن دسترسی مدیریتی نیاز به انجام این کارها است و مهاجمان همچنین میبایستی بر دستور Mimikatz تکیه میکردند. برای کاهش شواهد بهجامانده در log یا هارددیسکها، مهاجمان دستورات PowerShell را در ریجستری ویندوز پنهان کرده بودند.
خوشبختانه شواهدی که روی کنترل کننده دامنه نمایان شده است کاملا دست نخورده و بینقص بهجامانده علت آن هم میتوان راهاندازی نشدن مجدد آن قبل از اینکه محققان لابراتوار کسپرسکی تحقیقات خود را آغاز کنند، دانست. و آنالیزهای مختلف روی محتویات حافظه و ریجستریهای ویندوز امکان بازیابی کدهای Meterpreter و Mimikatz را به محققان میدهد. محققان بعد از مدتی متوجه شدند که مجرمان ابزاری برای جمعآوری رمزهای عبور مدیران سیستم به کار میبردند و از راه دور میزبان آلوده شده را کنترل میکردند.
محققان هنوز هم مطمئن نیستند که این بدافزار تا کی میتواند پنهان بماند. اما مشخص است که هدف نهایی مهاجمان دسترسی و پیدا کردن به کامپیوترهای در معرض خطر و کنترل ATMها و درنهایت سرقت پول است. محققان لابراتوار کسپرسکی قصد دارند تا جزئیات بیشتری را در رابطه با این حمله که در مقیاس صنعتی و در سراسر جهان رخ داده است را در ماه آوریل ۲۰۱۷ منتشر کنند.
کسپرسکی در نهایت متوجه شد که که این بدافزار رفتاری شبیه Duqu ۲.۰ تروجانی که به ندرت دیده میشود و از مشتقات Stuxnet،(کرمهای بسیار پیچیده که توسط آمریکا و اسرائیل برای خرابکاری در برنامه هستهای ایران ایجاد شده بودند)، دارد.
در حال حاضر، بدافزار Fileless بخشی از یک نرمافزار مخرب است که برای اجرا شدن هیچگونه فایل یا فولدری را بر روی هارد دیسک کپی نمیکند. به جای این کار، payloadها به صورت مستقیم بر روی حافظه فرآیندهای در حال اجرا تزریق میشوند و این بدافزار بر روی RAM سیستم مورد نظر اجرا میشود .طبق گزارشهایی که لابراتوار کسپرسکی در روز چهارشنبه منتشر ساخت، شبکههای متعلق به ۱۴۰ بانک و شرکتهای دیگر توسط همین بدافزار که در حافظه کامپیوترها به صورت نامرئی باقی مانده بود، آلوده شدند. از آنجا که این آلودگی بسیار وخیم و غیر قابل تشخیص بوده است، از آنجا که این حمله بهسختی قابل شناسایی است، تعداد واقعی شبکههای آلوده شده را نمیتوان دقیق مطرح کرد اما مطمئنا بیش از این مقدار است.
یکی دیگر از مواردی که باعث میشد این آلودگی غیر قابل تشخیص باقی بماند استفاده از موارد قانونی و مشروع در سیستمهای اداری و ابزارهای امنیتی که شامل PowerShell، Metasploit و Metasploit برای تزریق بدافزار به حافظه کامپیوتر بود. با توجه به اینکه این بدافزار بر روی حافظه اجرا میشود، هنگامیکه سیستم راهاندازی مجدد میشود، استفاده از حافظه بلااستفاده میشود و این امر پیدا کردن ردی از این بدافزار را برای متخصصان بررسیهای دیجیتالی سخت میکند.
Kurt Baumgartner متخصص امنیتی در لابراتوار کسپرسکی به Ars گفت: جالب اینجا است که این حملات مداوم در سطح جهان در برابر بانکها و موسسات مالی بوده است. بسیاری از این بانکها به اندازه کافی برای مقابله با این حملات آماده نبودند. او در ادامه گفت که مجرمان این حملات دستگاههای خودپرداز را مورد هدف قرار داده اند و از این طریق پولها را از بانکها به سمت خود هدایت میکنند.
۱۴۰ سازمان که تا به حال نام آنها ذکر نشده است دچار آلودگی شده اند و این حمله ۴۰ کشور مختلف آمریکا، فرانسه، اکوادور، کنیا و انگلستان که جزء ۵ کشور برتر جهان هستند، را مورد هدف قرار داده است. محققان لابراتوار کسپرسکی همچنان اطلاع ندارند که چه کسانی پشت این حمله هستند و توسط چه هکرهایی این طرح آماده شده است.
سرقت رمز عبور
برای اولین بار محققان این بدافزار را در سال گذشته کشف کردند، زمانی که تیم امنیتی یک بانک یک کپی از Meterpreter ( جزئی در حافظه Metasploit ) در داخل حافظه فیزیکی یک کنترل کننده دامنه مایکروسافت یافته بودند.
پس از انجام آنالیزهای دقیق، محققان دریافتند که مهاجمان PowerShell ویندوز را مجبور ساخته بودند که یک کد Meterpreter را به صورت مستقیم و به جای اینکه آن را بر روی دیسک بنویسد، آن بر روی حافظه ذخیره کند.
کلاهبرداران سایبری همچنین از ابزار NETSH networking متعلق به مایکروسافت استفاده کرده بودند تا بتوانند یک تونل پروکسی برای ارتباط برقرار کردن با سرور command and control راهاندازی کنند و به این وسیله قادر شوند از راه دور میزبان آلوده شده را کنترل کنند. برای به دست گرفتن دسترسی مدیریتی نیاز به انجام این کارها است و مهاجمان همچنین میبایستی بر دستور Mimikatz تکیه میکردند. برای کاهش شواهد بهجامانده در log یا هارددیسکها، مهاجمان دستورات PowerShell را در ریجستری ویندوز پنهان کرده بودند.
خوشبختانه شواهدی که روی کنترل کننده دامنه نمایان شده است کاملا دست نخورده و بینقص بهجامانده علت آن هم میتوان راهاندازی نشدن مجدد آن قبل از اینکه محققان لابراتوار کسپرسکی تحقیقات خود را آغاز کنند، دانست. و آنالیزهای مختلف روی محتویات حافظه و ریجستریهای ویندوز امکان بازیابی کدهای Meterpreter و Mimikatz را به محققان میدهد. محققان بعد از مدتی متوجه شدند که مجرمان ابزاری برای جمعآوری رمزهای عبور مدیران سیستم به کار میبردند و از راه دور میزبان آلوده شده را کنترل میکردند.
محققان هنوز هم مطمئن نیستند که این بدافزار تا کی میتواند پنهان بماند. اما مشخص است که هدف نهایی مهاجمان دسترسی و پیدا کردن به کامپیوترهای در معرض خطر و کنترل ATMها و درنهایت سرقت پول است. محققان لابراتوار کسپرسکی قصد دارند تا جزئیات بیشتری را در رابطه با این حمله که در مقیاس صنعتی و در سراسر جهان رخ داده است را در ماه آوریل ۲۰۱۷ منتشر کنند.
