امروز: جمعه، 31 فروردین 1397

آیا شما از سامانه عامل مک یا لینوکس استفاده می‌کنید؟ اگر فکر می‌کنید سامانه‌ی شما در معرض خطر بدافزارها نیست، باید این مطلب را بخوانید.

  

طیف وسیعی از مجرمان سایبری اکنون از یک بدافزار جاسوسی غیرقابل کشف استفاده می‌کنند که سامانه‌های ویندوز، مک، سولاریس و لینوکس هدف قرار می‌دهد.

هفته‌ی گذشته یک مقاله‌ی مفصل از گزارش EFF و Lookout منتشر شد که درباره‌ی یک گروه نفوذ پیشرفته به نام Dark Caracal بود که در پویش‌های جهانی جاسوسی تلفن همراه شرکت می‌کند.

اگرچه این گزارش درباره‌ی عملیات نفوذ موفقیت‌آمیز این گروه در تلفن‌های همراه به جای رایانه‌ها بود، به تازگی یک بدافزار چند سکویی (cross-platform) به نام CrossRAT کشف شده است که به نظر می‌رسد توسط گروه نفوذ Dark Caracal توسعه یافته است.

بدافزار CrossRAT یک تروجان دسترسی از راه دور چند سکویی است که می‌تواند هر چهار سامانه عامل رومیزی محبوب یعنی ویندوز، سولاریس، لینوکس و مک را هدف قرار دهد، مهاجمان با استفاده از این بدافزار می‌توانند سامانه‌ی پرونده را دستکاری کنند، از صفحه‌ی نمایش عکس بگیرند، کدهای دلخواه خود را اجرا کنند، و در سامانه‌ی آسیب‌دیده پایدار بمانند.

 

به گفته‌ی پژوهش‌گران، نفوذگران گروه Dark Caracal برای توزیع بدافزار خود از هیچ آسیب‌پذیری روز صفرمی بهره‌برداری نمی‌کنند؛ در عوض این گروه با استفاده از مهندسی اجتماعی و ازطریق ارسال پست‌هایی در گروه‌های فیس‌بوک و پیام‌های واتس‌اپ کاربران را تشویق می‌کنند تا از وب‌گاه‌های جعلی تحت کنترل نفوذگران بازدید کرده و برنامه‌های مخربی را بارگیری کنند.

بدافزار CrossRAT با زبان برنامه‌نویسی جاوا نوشته شده است، که باعث می‌شود دی‌کامپایل کردن آن برای محققان و مهندسان اجتماعی آسان‌ شود.

از آنجایی که فقط دو مورد از ۵۸ برنامه‌ی ضدبدافزار محبوب (طبق ابزار VirusTotal) می‌توانند بدافزار CrossRAT را تشخیص دهند، نفوذگر سابق NSA، پاتریک واردل تصمیم گرفت که این بدافزار را مورد تجزیه و تحلیل قرار دهد و یک بررسی فنی جامع درباره‌ی آن ارائه دهد، به طوری که این بررسی سازوکار فعلی، ارتباطات دستور و کنترل و همچنین قابلیت‌های این بدافزار را شامل شود.

 

نسخه‌ی ۱.۰ بدافزار CrossRAT، یک بدافزار نظارتی پایدار چند سکویی

این بدافزار پس از اجرا در سامانه‌ی هدف، ابتدا سامانه‌ی عامل اجرایی را بررسی می‌کند و سپس بر اساس آن خود را نصب می‌کند.

علاه‌ بر این، بدافزار CrossRAT همچنین تلاش می‌کند تا اطلاعاتی مانند نسخه‌ی سامانه عامل نصب‌شده، معماری و ساخت هسته‌ی سامانه‌ی آسیب‌دیده را جمع‌آوری کند.

علاوه‌بر این، برای سامانه‌های لینوکس، این بدافزار همچنین سعی می‌کند تا پرونده‌های systemd را برای تعیین توزیع آن مانند Arch Linux، Centos، Debian، Kali Linux، Fedora، و Linux Mint و بسیاری موارد دیگر جست‌وجو کند.

بدافزار CrossRAT سپس سازوکارهای پایداری مخصوص سامانه عامل را پیاده‌سازی می‌کند تا هر زمان که سامانه آسیب‌دیده مجددا راه‌اندازی شد، بتواند به طور خودکار اجرا شود و خود را در کارگزار دستور و کنترل ثبت کند، تا مهاجمان از راه دور بتوانند دستورات لازم را ارسال کرده و داده‌های مورد نیاز خود را از شبکه خارج کنند.

همان‌طور که توسط پژوهش‌گران Lookout گزارش شده است، نسخه‌ی CrossRAT که توسط گروه نفوذ Dark Caracal توزیع می‌شود، به «flexberry(dot)com»  و روی درگاه ۲۲۲۳ متصل می‌شود، که اطلاعات آن در پرونده‌ی «crossrat/k.class»  به صورت هاردکد شده قرار داده شده است.

 

بدافزار CrossRAT شامل ماژول کی‌لاگر غیرفعال است

این بدافزار با چند قابلیت نظارتی بنیادی طراحی شده است، که فقط زمانی که دستورات از پیش تعیین‌ شده‌ی مخصوصی از طرف کارگزار دستور و کنترل دریافت شد، راه‌اندازی می‌شوند.

جالب است، پاتریک متوجه شده ست که بدافزار CrossRAT همچنین برنامه‌ریزی شده‌ است تا از یک کتابخانه‌ی متن‌باز جاوا به نام « jnativehook» استفاده کند تا به رویدادهای ماوس و صفحه کلید گوش کند، اما این بدافزار هیچ دستور از پیش تعریف‌شده‌ای برای فعال‌سازی این کی‌لاگر ندارد.

پاتریک گفت: «به هر حال، من هیچ کدی در این بدافزار ندیدم که به بسته‌ی jnativehook ارجاع داده شود، بنابراین به نظر می‌رسد در این مرحله این قابلیت به کار گرفته نشده است. همان‌طور که در این گزارش آمده است، این بدافزار خود را به عنوان نسخه‌ی ۱.۰ معرفی می‌کند، شاید این نشان‌‌دهنده‌ی این باشد که این بدافزار هنوز در حال پیشرفت است و هنوز کامل نشده است.»

 

چگونه می‌توانید بررسی که تحت تاثیر بدافزار CrossRAT قرار گرفته‌اید یا خیر؟

از آن‌جا که بدافزار CrossRAT هر سامانه عامل را به طور متفاوتی هدف قرار می‌دهد، نحوه‌ی کشف این بدافزار به سامانه عامل شما بستگی دارد.

برای ویندوز:

•کلید رجیستری «HKCU\Software\Microsoft\Windows\CurrentVersion\Run\»  را بررسی کنید.

•اگر سامانه‌ی شما آسیب‌ دیده باشد، این کلید حاوی یک دستور خواهد بود که شامل java، -jar و mediamgrs.jar است.

برای مک:

•به دنبال پرونده‌ی جَر mediamgrs.jar در ~/Library باشید.

•همچنین به دنبال عامل راه‌اندازی در مسیر «/Library/LaunchAgents» یا «~/Library/LaunchAgents» با نام mediamgrs.plist باشید.

برای لینوکس:

•به دنبال پرونده‌ی جَر mediamgrs.jar در «/usr/var» بگردید.

•همچنین به دنبال یک پرونده‌ی autostart در «~/.config/autostart» احتمالا با نام mediamgrs.desktop بگردید.

 

نحوه‌ی محافظت در برابر تروجان CrossRAT

تنها ۲ مورد از ۵۸ محصول ضدبدافزار تروجان CrossRAT را شناسایی می‌کنند، این بدان معنی است که احتمال کمی وجود دارد که برنامه‌ی ضدبدافزار شما بتواند از سامانه‌ی شما در برابر این تهدید محافظت می‌کند.

پاتریک گفت: «از آن‌جایی که CrossRAT با زبان جاوا نوشته شده است، این بدافزار برای نصب به جاوا نیاز دارد. خوشبختانه نسخه‌های اخیر سامانه عامل مک با جاوا عرضه نمی‌شوند. بنابراین، اکثر کاربران مک باید ایمن باشند! البته اگر یک کاربر مک در حال حاضر جاوا نصب کرده باشد، یا مهاجم بتواند تا یک کاربر ناآگاه را وادار کند که جاوا نصب کند، CrossRAT می‌تواند حتی در آخرین نسخه ی مک نیز اجرا شود.»

به کاربران توصیه می‌شود یک نرم‌افزار تشخیص تهدید مبتنی‌بر رفتار نصب کنند. کاربران مک می‌توانند از یک ابزار ساده‌ی توسعه‌یافته توسط پاتریک به نام BlockBlock استفاده کنند که هرگاه هر برنامه‌ای به طور مداوم نصب شود، به کاربر هشدار می‌دهد.


منبع: https://news.asis.io