امنیت

فناوری اطلاعات

August 9, 2024
13:42 جمعه، 19ام مردادماه 1403
کد خبر: 171375

جزئیاتی از یک حمله در پشتی جدید با هدف سیستم‌های ویندوز

منبع: ایسنا

محققان اخیراً یک در پشتی جدید به نام BITSLOTH در ویندوز کشف کرده‌اند که سیستم‌های ویندوزی را هدف قرار می‌دهد و از سرویس (BITS) برای عملیات فرمان و کنترل (C2) بهره می‌برد.

Back Door یا درپشتی یک نوع نرم افزار مخرب یا یک ضعف امنیتی است که دسترسی هکرها را به سیستم کاربران میسر می‌کند. در این روش هکرها با دور زدن مکانیزم های امنیتی به صورت غیرمجاز به سیستم کاربران دسترسی پیدا می کنند به نحوی که کاربران حتی متوجه نفوذ هکرها نمی شوند چون که آن ها در پس زمینه سیستم کاربران فعالیت می کنند و شناسایی آن ها برای کاربران عادی کار سختی است.

درحقیقت Back Door یا درپشتی، از راه‌های مختلف به هکرها این امکان را می‌دهد که به سیستم کاربران نفوذ کنند و اطلاعات آنها را دستکاری کنند. معمولاً هکرها برای کنترل سیستم کاربران از بدافزارها استفاده می‌کنند؛ آن‌ها از راه دور می‌توانند اطلاعات شخصی کاربران را به سرقت ببرند یا دستکاری کنند.

همینطور آن‌ها می‌توانند بدون اطلاع کاربران، فرمان‌های مختلفی را روی سیستم کاربر اجرا کنند و هر تغییری را در سیستم کاربران اعمال کنند. مثلاً نام کاربری، پسوردهای نرم افزارهایی که استفاده می‌کنند و مهمتر از آن‌ها اطلاعات حساسی مانند اطلاعات بانکی کاربران را از روش Back Door یا درپشتی به سرقت ببرند و آنها را لو بدهند.

در این راستا کارشناسان امنیتی از یک درب پشتی جدید و پیشرفته با هدف سیستم‌های ویندوز خبر داده اند. محققان اخیراً یک درب پشتی جدید به نام BITSLOTH در ویندوز کشف کرده‌اند که سیستم‌های ویندوزی را هدف قرار می‌دهد و از سرویس Background Intelligent Transfer Service (BITS) برای عملیات فرمان و کنترل (C۲) بهره می‌برد.

عملیات فرمان و کنترل (C۲) فرآیندی است که در آن مهاجمان سایبری، پس از نفوذ به یک سیستم، ارتباطات خود را با سیستم‌های آلوده حفظ می‌کنند و از طریق آن، دستورات خود را ارسال و اطلاعات را دریافت می‌کنند. این کانال به مهاجم امکان می‌دهد تا دستورات مختلفی مانند اجرای بدافزارهای جدید، جمع‌آوری اطلاعات حساس یا دستکاری فایل‌ها را صادر کند.

BITS یک سرویس ویندوزی است که برای انتقال فایل‌ها به صورت غیرهمزمان بین دستگاه‌ها طراحی شده است. این سرویس به‌ویژه برای دانلود به‌روزرسانی‌ها و انتقال داده‌ها با کمترین تأثیر بر عملکرد شبکه کاربرد دارد. BITS قابلیت مدیریت قطعی‌های شبکه را نیز داراست و می‌تواند انتقال‌ها را پس از بازگشت اتصال ادامه دهد، حتی اگر سیستم مجددا راه‌اندازی شده ‌باشد.

BITSLOTH از یک پروژه‌ی بارگذاری شل‌کد برای اجرای مخفیانه و عبور از مکانیزم‌های امنیتی سنتی استفاده می‌کند. در حین حرکت جانبی در شبکه، BITSLOTH به عنوان یک فایل DLL (به نام flengine.dll) وارد سیستم شده و با استفاده از تکنیک Side-Loading، این فایل مخرب را از طریق یک برنامه‌ به نام FL Studio بارگذاری و اجرا می‌کند. FL Studio یک برنامه‌ معتبر برای تولید موسیقی است که نصب آن برای کاربران متداول است. مهاجمان به نحوی با استفاده از این برنامه کد مخرب BITSLOTH را اجرا می‌کنند، که این فرآیند به عنوان بخشی از عملکرد معمولی نصب FL Studio به نظر می‌رسد.

در توضیح حرکت جانبی (Lateral Movement) باید گفت این روش به فرآیندی اشاره دارد که در آن مهاجم پس از به دست آوردن دسترسی اولیه به یک سیستم، تلاش می‌کند به سایر سیستم‌های موجود در شبکه دسترسی پیدا کند تا دامنه‌ی نفوذ خود را در شبکه گسترش داده و به منابع ارزشمندتر، مانند سرورها، پایگاه‌های داده و سیستم‌های مدیریتی، دسترسی یابد.

علاوه بر این، BITSLOTH می‌تواند حالت ارتباط را به HTTP یا HTTPS تنظیم کند، فرآیندهای دلخواه را خاتمه دهد، کاربران را از سیستم خارج کند، سیستم را مجدداً راه‌اندازی یا خاموش کند، و حتی خود را به‌روزرسانی کرده یا از سیستم میزبان حذف کند. این بدافزار همچنین با ایجاد و مدیریت کارهای BITS که به ظاهر بی‌ضرر هستند و شبیه به وظایف به‌روزرسانی ویندوز به نظر می‌رسند، از شناسایی شدن اجتناب می‌کند. به عنوان مثال، کارهای موجود با نام‌هایی مثل “WU Client Download” را لغو می‌کند و کارهای جدیدی با نام‌های مشابه ایجاد می‌کند. این کارها به طور مخفیانه با سرورهای فرمان و کنترل(C۲) ارتباط برقرار کرده و ترافیک مخرب را با ترافیک عادی شبکه ترکیب می‌کنند.

به گفته‌ محققان، استفاده از BITSLOTH و بهره‌برداری آن از سرویس BITS برای مهاجمان جذاب است، زیرا این سرویس به دلیل کاربردهای مشروعش معمولاً از نظارت‌های امنیتی عبور می‌کند. بسیاری از سازمان‌ها در تشخیص تفاوت بین ترافیک عادی BITS و فعالیت‌های مخرب مشکل دارند، که این امکان را به مهاجمان می‌دهد تا برای مدت طولانی در شبکه باقی بمانند و فعالیت‌های خود را پنهان کنند. علاقه‌مندان برای کسب اطلاعات بیشتر از جزئیات این بداافزار می‌توانند به این لینک مراجعه کنند

بر اساس اعلام مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای سیستم‌ها و سرورهای ویندوزی، ممکن است هدف این حمله قرار بگیرند. در این راستا برای جلوگیری از اثرات این بدافزار توصیه می شود مواردی مانند نظارت دقیق و مستمر بر ترافیک سرویس BITS.، استفاده از ابزارهای تحلیل ترافیک شبکه برای بررسی و تحلیل ترافیک BITS. و محدودسازی مجوزهای دسترسی به سیستم‌ها و اطلاعات حساس رعایت شود.

کارشناسان بر این باور برای مقابله با درپشتی کاربران حتماً نرم‌افزارهای آنتی ویروس و ضد بدافزار را روی سیستم خود نصب داشته باشند. آنتی ویروس مناسب برای امنیت دستگاه خیلی مهم و ضروری است ولی کافی نیست و در کنار آن یک Anti Malware امن را هم برای شناسایی اپلیکیشن‌های مخرب روی سیستم تان نصب کنند. همچنین توصیه می شود از نرم‌افزارهای متن باز یا Open Source که معمولاً رایگان هم هستند استفاده شود، چون که کد این برنامه‌ها در دسترس عموم هست و عده‌ای متخصص آن‌ها را بررسی می‌کنند که آیا Back Door یا درپشتی یا کد مرجع آن‌ها وجود دارد یا خیر. پس Back Door یا درپشتی به سراغ اپلیکیشن‌هایی می رود که خیلی راحتر و مناسب‌تر برای هک هستند.

  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.