- نویسندگان بدافزارها در حال آزمایش انواع غیرمعمولی از این نرمافزارها هستند که چالشهای جدیدی برای حوزه امنیت به وجود آورده است.
- اینها گفتههای الکساندرا دونیک یک تحلیلگر بدافزار در شرکت Malwarebytes بود.
اکثر نویسندگان بدافزار در سالهای گذشته تنبل شدهاند؛ آنها کد و فنون را از یکدیگر به سرقت میبرند. اما برخی دیگر روی ایدههای جدید سرمایهگذاری کردهاند که منجر به ایجاد ابزارهایی شده است که برای آنتیویروسها دردسرساز و برای محققان حوزه امنیت نیز چالش برانگیز میباشند. در واقع بدافزارهای غیرمتعارف در حال افزایش هستند.
او بههمراه مارک لکتیک در زمینه تحلیل بدافزارها با هدف ایجاد آگاهی در مورد افزایش انواع غیرمعمول این نرمافزارها، تحقیق میکنند.
در واقع هدفشان ایجاد و شناخت بدافزارها بود، بدافزارهایی که روشهای سنتی را میشکنند و در قالبها و اندازههای متفاوتی ظاهر میشوند .این دو محقق نتایج خود را در کنفرانس سال ۲۰۱۹ کسپرسکی که در سنگاپور برگزار شد ارائه کردند.
محققان در چند سال اخیر انواع مختلفی از بدافزارهای غیرمعمول را، چه آنهایی که از قالبهای فایل خاص استفاده میکردند و همین طور آنهایی که قالب فایل باینری را دستکاری میکردند، بررسی کردهاند.
لکتیک گفت :
“به یک معنا اینها جرقههای نبوغ اشخاصی است که مشغول تولید بدافزار هستند. کسانی که دنبال رهبر شدن در حیطه کاری خود میباشند”.
بدافزار خلاقانه میتواند به دست هر گروه هکری ساخته شود؛ چه شخصی و چه گروه هکرهای حکومتی.
او افزود:
“حقیقت این است که ما به مواردی برخورد میکنیم که مجرمان سایبری از قالبهای غیرمعمول برای ناشناس ماندن و فرار کردن از آنتیویروسها استفاده میکنند”.
به گفته این دو محقق معمولا قربانیان اینگونه حملات بانکها، کمپانیها و فعالان آسیایی میباشند.
قالبهای غیرمعمول چطور استفاده میشوند؟
دونیک و لکتیک چندین مورد استفاده برای اینگونه بدافزارهای غیرمتعارف ارائه کردند. یکی از قربانیان بانک Cosmos بود. دومین بانک بزرگ هندوستان که در آگوست ۲۰۱۸ مورد حمله هکرها قرار گرفت و ۱۳ و نیم میلیون دلار به سرقت رفت.
چندین کمپانی امنیتی باور دارند که بهاحتمال قوی این حمله کار گروه لازاروس بود. آنها گروهی کرهای هستند که هدفشان حوزه مالی است و ظاهراً مسئول چندین سرقت از بانکهای بنگلادش هم هستند.
در خصوص حمله به بانک cosmos هدف نویسندگان بدافزار سرورهای پرداخت بود؛ که دارای نرم افزارهایی هستند که دادهها و اطلاعات بین پورتال پرداخت و بانک را نظارت میکنند.
لکتیک بیان کرد :
“چنین سوییچ پرداختی بهوسیله بدافزار گروه لازاروس انجام شد تا تراکنشهای خاص مربوط به شماره حسابهای خاص را رصد نکند”.
وی ادامه داد: “هرگاه از آن حسابهای آلوده پول میگرفتید، ماشین خودپرداز صرفنظر از میزان موجودی به شما پول پرداخت میکرد”.
سیستمعامل مورد استفاده در این سرورها چیست؟
سیستمعامل مورد استفاده در این سرورها سیستم AIX برای IBM بود که بیشتر توسط سازمانهای مالی استفاده میشود.
فایلهای اجرایی این سیستمعامل بر اساس فرمت XCOFF طراحی شدهاند. لکتیک اظهار داشت که این بدافزار احتمالاً تنها بدافزاریست که از این فرمت سوءاستفاده میکند. بر اساس تحلیلهایی مشخص شد که این گروه بدافزار XCOFF را تنها برای وارد کردن یک وصله به سرور پرداخت، ساختند.
او افزود :
“اگر شما نیز برای این فرمت، بدافزار مینویسید باید از این محیط بهشدت سفارشی که درگیر آن خواهید شد، اطلاعات داشته باشید. باید از هدف این پلتفرم و تمام محدودیتهایش و تمام روشهای اجرای فایلها و توابعی که در دسترس شماست، سر در بیاورید”.
مورد تازه دیگری که این محققین بررسی میکردند، مرتبط با گروه هکر OceanLotus بود. نمونههایی که مورد تحقیق و بررسی قرار گرفت؛ نشانههایی از ارتباط با فعالان حقوق بشری در ویتنام دارد.
اگر علاقمند به کسب اطلاعات بیشتر در مورد این گروه هکری هستید، میتوانید به اینک زیر مراجعه کیند.
کمپانیها چطور میتوانند خودشان را در برابر بدافزارهای غیرمعمول محافظت کنند؟
دونیک و لکتیک بیان کردند که در حال حاضر بدافزارهای غیرمتعارف بسیار نادرند. اما بهتازگی موارد بیشتری مشاهده میشود. توصیه ایشان به سازمانها اهمیت هرچه بیشتر به حوزه امنیت است.
برخی از این بدافزارها میتوانند به وسیله آنتیویروسها شناسایی شوند.
خط مقدم محافظت از امنیت کامپیوتر شما، استفاده از آنتیویروسی است که قابلیت اطمینان بالایی داشته باشد و مدام بهروزرسانی شود. ما در مجموعهی شیدافزار برای این نگرانی شما عزیزان، ضدویروس و امنیت اینترنتی شید را پیشنهاد میکنیم.
در نسخه امنیت اینترنتی شید شما میتوانید در برابر ویروسها ایمن باشید، در مقابل تهدیدهای اینترنتی محافظت شوید و نگران ایمنی خریدها، پرداختها و کارهای بانکیتان نباشید. همچنین کنترل برنامههای دستگاهتان را در دست بگیرید.
جهت آشنایی بیشتر با محصولات ما روی تصویر زیر کلیک کنید.
دونیک گفت:
“بعد از اینکه یک فایل مخرب وارد حافظه شد، سیستمعامل باید از طریق api با آن ارتباط برقرار کند. برنامههایی که این رابطها را تحتنظر دارند میتوانند از وجود موردی مشکوک آگاه شوند. زیرا این حالت مانند هر بدافزار معمولی دیگری قابل شناسایی است”
پروسه یافتن اینگونه بدافزارها بدون ایراد و مشکلات نیست و کمپانیهای امنیتی ممکن است دادههای حیاتی که میتواند به استنتاج کلیت حمله کمک کنند را، نادیده بگیرند.
او افزود:
” محصولات ضدویروس برخی دادههای مرتبط را بهعنوان دادههای سنجشی ارسال میکنند. اما مساله این است که این دادهها شامل فایلهای اجرایی هستند؛ نه قسمتهای باینری درون فرمتهای ناشناخته”.
لکتیک باور دارد که وقتی با فرمتهای غیرمتعارف روبرو هستیم، وجود یک محقق واقعی حیاتیست. زیرا ممکن است که این کار از توان ابزارهای ماشینی خارج باشد.
این دو محقق اظهار داشتند که دلایلی کافی برای باور به اینکه نویسندگان بدافزارهای غیرمتعارف در سالهای آینده خلاقتر میشوند، وجود دارد. به این خاطر که نرمافزارهای امنیتی هر روز پیشرفتهتر و کاملتر میشوند. در نتیجه قابلیت تشخیص آنها نیز بهتر میشود.