مهندسان Eset بدافزاری موسوم به Steganos را شناسایی کردند

بد افزار اینترنتی “Steganos” پس از ۲ سال مخفی ماندن از دست سرویس‌های امنیتی سرورهای تبلیغات، بالاخره توسط پژوهشگران Eset شناسایی گردید. البته اگر شما جز آن دسته از افرادی نیستید که همچنان از مرورگر اینترنت اکسپلورر استفاده می‌نمایند، مشکلی شما را تهدید نخواهد کرد.

به هر حال کشف بد افزار Stegano ضعف سیستم‌های امنیت شبکه را به رخ کشید و نشان داد که چگونه هکرهای ماهر توانستند با استفاده کردن از نوع خاصی از تبلیغات اینترنتی (که به نام slipping ads شهرت دارند) به سیستم‌ها نفوذ کرده و از دست آنتی ویروس‌های فعال بر روی سرورها جان سالم به در ببرند. این بد افزار که به صورت کاملا مخفیانه بر روی سیستم‌ها وجود داشت و توسط هیچ آنتی ویروسی قابل شناسایی نبود، با هدف دسترسی به اطلاعات مالی شرکت‌های بزرگ و گزارشات سیستم بانکی، توانست به مدت ۲ سال بدون هیچ مزاحمتی به فعالیت بپردازد.

این حمله در ابتدا به صورت تبلیغاتی ساده بر روی برنامه Broxu وارد دستگاه‌های مختلف گردید. پس از آن، تبلیغات جعلی هکرها به وسیله “Browser Defense” در شبکه جهانی تبلیغات قرار داده شد تا بدین ترتیب، آن‌ها بتوانند بدون هیچ هزینه‌ای خود را در معرض دید میلیون‌ها کاربر فعال در اینترنت قرار دهند. طبق اظهارات سرپرست تیم شناسایی این بد افزار، ویروس اینترنتی Steganos حتی از برخی بدافزارهای دیگر مانند Angler و Neutrino (که قبلا شناسایی شده بودند) نیز قوی‌تر بود. کیت مخرب Steganos به راحتی می‌توانست راه خود را به وبسایت‌های مورد نظرش پیدا کرده و در معرض دید افرادی که به عنوان هدف حمله مشخص شده بودند قرار بگیرد.

حال سوال اینجاست که هکرها چگونه توانستند از تله سیستم‌های امنیتی فرار کنند؟ این بد افزار به محض ثبت شدن بر روی سیستم‌هایی که تبلیغات را نمایش می‌دهند، در حالت مخفیانه شروع به اجرای کد جاوا اسکریپت از پیش نوشته شده می‌کرد و شرایط سرور و سیستم‌های امنیتی موجود بر روی آن را بررسی می‌نمود. این بررسی‌ها و جستجوهای صورت گرفته توسط بخش دیگری از کد (که باز هم قبل‌تر توسط هکر طراحی شده بود)، مشخص می‌کرد که سیستم توسط چه ماشین مجازی‌ای در حال اجرا عملیات پاک سازی ویروس‌هاست. در مواقعی که سیستم غیر قابل نفوذ پیش بینی می‌شد، یک عکس با رزولوشن طبیعی به عنوان پیام به سمت سرور ارسال و سالم بودن تبلیغ را به اطلاع آن می‌رساند. اما در شرایطی که سیستم مورد حمله، آسیب پذیر به نظر می‌رسید، بد افزار عکس مشخصی با فرمت GIF را وارد سیستم کرده و اطلاعات دستگاه مورد نظر را Cache می‌کرد.

stegano-kit-exploit-2016-12-08-01

همان‌طور که در تصاویر بالا مشخص است، عکس‌های ارسال شده به سیستم‌های هدف در نگاه اول، عادی و با کیفیت به نظر می‌رسند. اما وقتی عکس دقیق‌تر مورد بررسی قرار می‌گیرد، مشخص می‌شود که پیکسل‌هایی که عکس را ساخته‌اند، با استفاده از الگوریتم‌های خاصی طراحی شدند تا با قرارگیری در کنار یک دیگر، QR-codeهای مخربی را بسازند. اینجاست که بخش دیگری از کد شروع به فعالیت کرده و QR-Codeها را آنالیز و اجرا می‌کند. همزمان با فعال شدن بخش مذکور و اطمینان از این که سیستم قابلیت حمله را دارد، برنامه دوباره با استفاده از ضعف‌های موجود بر روی مرورگر اینترنت اکسپلورر شروع به اجرا کرده و قسمت‌های مختلف دستگاه مقصد اعم از ماشین‌های مجازی فعال و آنتی ویروس‌ها را مورد وارسی قرار می‌دهد. علاوه بر این، هکرها بخشی از کد را به بررسی سیستم گرافیکی و درایورهای امنیتی اختصاص داده بودند.

پس از این مرحله، بدافزار با تغییراتی بر روی کد HTML، اقدام به جا‌به‌جایی جزیی پیکسل‌های عکس کرده و آن را به سمت سایت دیگری Redirect می‌کند. صفحه HTML بارگذاری شده، ابتدا نوع مرورگر را چک کرده و در صورت اطمینان از این که دستگاه مورد نظر از اینترنت اکسپلورر استفاده می‌کند، شروع به بارگذاری یک فایل Flash می‌نماید. فایلی که بر روی صفحه جدید بارگذاری می‌شود، خود از ۳ زیر شاخه دیگر تشکیل شده و بسته به اطلاعاتی که روی مرورگر ذخیره شده، اقدام به جابه جایی پیام با سرور و دستیابی به رمزهای کاربر می‌کند.

download

در آخرین مرحله، بد افزار بار دیگر تک تک گام‌ها را دوباره بررسی کرده تا این اطمینان حاصل شود که سیستم‌های امنیتی هیچ جاسوسی را انجام نمی‌دهند. پس از این که تمام مراحل به درستی انجام شد، برنامه می‌تواند Payloadها را یکی پس از دیگری دانلود کرده و بر روی دستگاه نصب نماید. ابدین وسیله تمام اطلاعاتی که بر روی سیستم مسموم به ویروس ذخیره می‌شد، توسط ابزارهای مختلف ضبط و در اختیار هکرها قرار می‌گرفت.

می‌توان Steganos را یکی از موفق‌ترین بد افزار‌هایی دانست که پس از ۲ سال دزدی اطلاعات و اخاذی از حساب‌های بانکی شرکت‌های بزرگ اقتصادی، بالاخره کشف و نابود گردید. تمام کارهای این بدافزار به صورت کاملا استادانه طراحی شده بود. مهندسان اعلام کردند راه پیشگیری از قرار گرفتن در معرض چنین حمله‌هایی، استفاده از منابع رسمی جهت نصب و فعال‌سازی نرم افزارهای گوناگون و همچنین به روز نگه داشتن سیستم‌های امنیتی است.

منبع: itresan

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

شما می‌توانید از این دستورات HTML استفاده کنید: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>