انتشار شده در تاریخ 1392/05/27 - 01:42

شیطنتی از یک کمپین سایبری ژاپنی

همان‌طور که تاکنون بارها و بارها شاهد آن بوده‌ایم، سازندگان بدافزار قصد ندارند بازی را به شرکت‌های امنیتی واگذار کنند و در این میدان رقابتی از آن‌ها عقب بمانند.

به گزارش تیم رصد سایبربان: پیوند مذکور طوری وانمود می‌کند که با یک پرونده‌ی متنی در ارتباط است، به این ترتیب کاربر را فریب می‌دهد که آن را باز کند، کاربری که هرگز خبر ندارد که با یک پرونده‌ی غیرمتنی مواجه خواهد شد.

تصویر ۱. جزئیات پرونده‌ی LNK به نحوی است که تظاهر می‌کند به یک پرونده‌ی متنی مربوط است

اگر کمی بیشتر دقت به خرج دهید و اشاره‌گر ماوس خود روی سمت چپ جعبه‌ی متنی ببرید، می‌توانید اسکرپیت مخربی را مشاهده کنید که در صورت باز کردن پیوند ارائه‌شده اجرا خواهد شد.

تصویر ۲. مقصد واقعی پرونده‌ی پیوند

نکته‌ای که اینجا لازم است آن را به شما گوش‌زد کنیم این است که پیش از باز کردن هر نوع پرونده‌ی پیوندی به دقت بررسی کنید که پرونده‌ی مورد نظر واقعاً به کجا اشاره دارد.

بعد از آنکه این پرونده‌‌ی پیوند باز شد، مجموعه‌ای از وقایع اتفاق می‌افتد؛ از جمله‌ی این وقایع می‌توان بارگیری و اجرای پرونده‌های اسکرپیت مختلف را نام برد. این فرآیند با نمایش یک خطای ساختگی پایان پیدا می‌کند، اما در حقیقت به دنبال این نمایش یک در پشتی به روی کارگزار فرمان‌دهی و کنترل گشوده می‌شود، این در پشتی به مهاجمانی که دارای دست‌رسی از راه دور هستند اجازه می‌دهد که فعالیت‌های بی‌شماری را در رایانه‌ی در معرض خطر صورت دهند.

تصویر۳. مراحل حمله

هدف کلیدی این حمله جلوگیری از روش‌های شناسایی است؛ این روش‌ها عبارتند از:

• تمامی مؤلفه‌های حمله، نظیر در پشتی، به راحتی و بدون تغییر در عمل‌کرد از یک کد اسکریپت ساخته شده‌اند. این ویژگی به ساخت مدل‌های جدید کمک می‌کند.

• برخی از اسکریپت‌های بارگیری‌شده فقط در حافظه ذخیره می‌شوند، به این ترتیب می‌توانند از سازوکار پویش به‌کاررفته توسط ضدبدافزارهای معمول جلوگیری کنند.

• اسکریپت‌ در پشتی از AES، که یک الگوریتم رمزنگاری قوی است، برای رمزگذاری تعاملات و نیز مسیر نشانی وب به کارگزار فرمان‌دهی و کنترل استفاده می‌کند.

این تهدید از APIهای استاندارد رمزنگاری ویندوز برای تهیه‌ی سرویس‌های رمزنگاری استفاده نمی‌کند؛ در عوض یک کتاب‌خانه‌ی کد مجاز را از گوگل کد بارگیری می‌کند تا سرویس‌های رمزنگاری AES را فراهم نماید.

تصویر ۴. قطعه‌کدی که نشان‌دهنده‌ی درخواست برای کتاب‌خانه‌ی کد مجاز رمزنگاری از گوگل‌کد2 است.

همان‌طور که تاکنون بارها و بارها شاهد آن بوده‌ایم، سازندگان بدافزار قصد ندارند بازی را به شرکت‌های امنیتی واگذار کنند و در این میدان رقابتی از آن‌ها عقب بمانند. گویا آن‌ها هرگز نمی‌خواهند دست از فکر کردن به راه‌های ممکن برای فریب کاربران به اجرای نرم‌افزارهای مخرب بردارند و همواره در تکاپوی تعریف برنامه‌هایی جهت جلوگیری از شناسایی توسط شرکت‌های ضدبدافزاری هستند.

سیمنتک این تهدیدها را که شامل پرونده‌های مخرب LNK می‌باشند، Downloader.Dashikut و Backdoor.Dashikut معرفی کرده است.