نویسندگان بدافزار در حال آزمایش انواع غیرمعمولی از بدافزارهای هستند که چالشهای جدیدی برای حوزه امنیت به وجود آورده است.
اکثر نویسندگان بدافزار در سالهای گذشته تنبل شدهاند و کد و فنون را از یکدیگر میدزدند. اما برخی دیگر در ایدههای بسیار تازه سرمایهگذاری کردهاند که منجر به ایجاد ابزارهایی شده است که برای ضدویروسها دردسر ساز و برای محققان حوزه امنیت نیز چالش برانگیز گشته اند.
مطالعه نمایید: ده تا از آخرین و خطرناکترین بدافزار و تهدیدهای ویروسی سال ۲۰۲۰
اینها گفتههای الکساندرا دونیک یک تحلیلگر بدافزار در شرکت Malwarebytes بود.
وی در این زمینه با مارک لکتیک همکاری کرده است. این دو محقق نتایج خود را در کنفرانس سال ۲۰۱۹ کسپرسکی که در سنگاپور برگزار شد ارائه کردند. هدفشان ایجاد آگاهی در مورد خیز انواع غیرمعمول بدافزار بود، بدافزارهایی که روشهای سنتی را میشکنند و در قالبها و اندازههای متفاوتی ظاهر میشوند.
مطالعه نمایید: پرسش و پاسخهای متداول در ارتباط با باج افزار(RANSOMWARE)
محققان در چند سال اخیر انواع مختلفی از بدافزارهای غیرمعمول را بررسی کردند شامل آنهایی که از قالبهای فایل خاص استفاده میکردند تا آنهایی که قالب فایل باینری را دستکاری میکردند.
مطالعه نمایید: ۲۰ نمونه جالب از آمار بدافزار
به گفته لکتیک :
«به یک معنا اینها جرقه نبوغ اشخاصی است که مشغول تولید بدافزار هستند، کسانی که دنبال رهبر شدن در حیطه کاریشان هستند. »
بدافزار خلاقانه میتواند به دست هر گروه هکری ساخته شود نه فقط گروههای حکومتی.
به گفته لکتیک:
« حقیقت این است که مواردی را برخورد میکنیم که مجرمان سایبری از قالبهای غیرمعمول برای ناشناس ماندن و فرار کردن از ضدویروسها استفاده میکنند.»
به گفته این دو محقق از جمله قربانیان اینگونه حملات احتمالاً میتوان به بانکها، کمپانیها و فعالان آسیایی میتوان اشاره کرد.
قالبهای غیرمعمول چطور استفاده میشوند؟
دونیک و لکتیک چندین مورد استفاده برای اینگونه بدافزارها ارائه کردند. یکی از قربانیان بانک Cosmos بود، دومین بانک بزرگ هندوستان که در آگوست ۲۰۱۸ مورد حمله هکرها قرار گرفت و ۱۳ و نیم میلیون دلار به سرقت رفت.
چندین کمپانی امنیتی باور دارند که این مورد به احتمال زیاد کار گروه لازاروس بود که گروهی کرهای هستند که هدفشان حوزه مالی بود است و ظاهراً مسئول چندین سرقت از بانکهای بنگلادش هم هستند.
در خصوص حمله به بانک cosmos هدف نویسندگان بدافزار سرورهای پرداخت بود که دارای نرم افزارهایی هستند که دادهها و اطلاعات بین پورتال پرداخت و بانک را نظارت میکنند.
به گفته لکتیک :
«چنین سوییچ پرداختی به وسیله بدافزار گروه لازاروس آلوده شد تا تراکنشهای خاص مربوط به شماره حسابهای خاص را رصد نکند.» وی ادامه داد « هرگاه از آن حسابهای درخواست پول میکردید ماشین خودپرداز صرف نظر از میزان موجودی به شما پول پرداخت میکرد.»
سیستم عامل مورد استفاده در این سرورها سیستم نادر AIX توسط IBM بود که بیشتر توسط سازمانهای مالی استفاده میشود.
فایلهای اجرایی این سیستم عامل بر اساس فرمت XCOFF طراحی شدهاند که با اینکه یک استاندارد است ولی کاملاً نادر است. به گفته لکتیک این بدافزار احتمالاً تنها بدافزاریست که از این فرمت سوءاستفاده میکند. بر اساس یک تحلیل مشخص شد که این گروه هکر بدافزار XCOFF را برای وارد کردن یک وصله به سرور پرداخت ساختند.
به گفته لکتیک :
«اگر برای این فرمت بدافزار مینویسید باید از محیط به شدت سفارشی شده که درگیرش میشوید اطلاعات داشته باشید. باید از هدف این پلتفرم و تمام محدودیتهایش و تمام طرق اجرای فایلها و توابعی که در دسترستان است سر در بیاورید.»
مورد تازه دیگری که این محققین بررسی کردند مرتبط با گروه هکر OceanLotus بود. نمونههایی که این دو بررسی کردند نشانههایی از ارتباط با فعالان حقوق بشری در ویتنام دارند که هدف این بدافزارهای ایمیل بودند.
این نمونه دو قسمت در خود دارد: .blob و cab که هر دو درون همان فرمت ناشناخته قرار گرفتهاند. ویژگیهای جاسوسی بدافزار به وسیله ماژول blob انجام میشوند که به نظر میآید از فرمتی شبیه آنچه در سیستم عامل ویندوز وجود دارد به وجود آمده باشد به نام PE.
کمپانیها چطور میتوانند خودشان را در برابر بدافزارهای غیرمعمول محافظت کنند؟
دونیک و لکتیک گفتند پدیده بدافزار غیرمتعارف در حال حاضر نادر است اما تازگی موارد بیشتری مشاهده شده است. توصیه ایشان به سازمانها اهمیت بیشتر به امنیت است.
برخی از این بدافزارها میتوانند به وسیله ضدویروسها شناسایی شوند.
به گفته دونیک:
« بعد از اینکه یک فایله مخرب وارد حافظه شد باید از طریق api سیستم عامل با آن ارتباط برقرار کند. برنامههایی که این رابطها را تحت نظر دارند میتوانند از وجود موردی مشکوک آگاه شوند و این حالت مانند هر بدافزار معمولی قابل شناسایی است.»
پروسه یافتن اینگونه بدافزارها بیعیب نیست و کمپانیهای امنیتی احتمال دارد دادههای حیاتی که میتواند به استنتاج کلیت حمله کمک کند را نادیده بگیرند.
به گفته دونیک:
« محصولات ضدویروس برخی دادههای مرتبط را به عنوان دادههای سنجشی ارسال میکنند اما مساله این است که این دادهها شامل فایل اجرایی است و نه قسمتهای باینری درون فرمتهای ناشناخته.»
لکتیک باور دارد که وقتی سروکار با فرمتهای غیرمتعارف است نیاز به یک محقق واقعی وجود دارد و ابزارهای ماشینی ممکن است از عهده این کار بر نیایند.
این دو محقق گفتند دلایلی برای باور اینکه نویسندگان بدافزار در سالهای آینده خلاق تر عمل خواهند کرد دارند. و علت فقط از روی تفریح نیست بلکه بیشتر به این خاطر است که نرم افزارهای امنیتی هر روز پیشرفتهتر و کاملتر میشوند و قابلیت تشخیص آنها بهتر می شود.
به گفته لکتیک:
«در مقام نویسنده بدافزار شما همیشه مجبورید نوآوری کنید تا از سد اینگونه نرمافزارها رد شوید.»
مطالعه نمایید: انواع بدافزار
منبع: https://www.csoonline.com
۲ نظر در “به گفته محققان بدافزار غیر متعارف در حال افزایش است.”