امنیت و هک, همه مطالب

افزایش بدافزارهای غیرمتعارف

بدافزارهای غیرمتعارف
  • نویسندگان بدافزارها در حال آزمایش انواع غیرمعمولی از این نرم‌افزارها هستند که چالش‌های جدیدی برای حوزه امنیت به وجود آورده است.

  • این‌ها گفته‌های الکساندرا دونیک یک تحلیل‌گر بدافزار در شرکت Malwarebytes بود.

اکثر نویسندگان بدافزار در سال‌های گذشته تنبل شده‌اند؛ آن‌ها کد و فنون را از یکدیگر به سرقت می‌برند. اما برخی دیگر روی ایده‌های جدید سرمایه‌گذاری کرده‌اند که منجر به ایجاد ابزارهایی شده است که برای آنتی‌ویروس‌ها دردسرساز و برای محققان حوزه امنیت نیز چالش برانگیز می‌باشند. در واقع بدافزارهای غیرمتعارف در حال افزایش هستند.

او به‌همراه مارک لکتیک در زمینه تحلیل بدافزارها با هدف ایجاد آگاهی در مورد افزایش انواع غیرمعمول این نرم‌افزارها، تحقیق می‌کنند.

در واقع هدفشان ایجاد و شناخت بدافزارها بود،‌ بدافزارهایی که روش‌های سنتی را می‌شکنند و در قالب‌ها و اندازه‌های متفاوتی ظاهر می‌شوند .این دو محقق نتایج خود را در کنفرانس سال ۲۰۱۹ کسپرسکی که در سنگاپور برگزار شد ارائه کردند.

محققان در چند سال اخیر انواع مختلفی از بدافزار‌های غیرمعمول را، چه آن‌هایی که از قالب‌های فایل خاص استفاده می‌کردند و همین ‌طور آن‌هایی که قالب فایل باینری را دست‌کاری می‌کردند، بررسی کرده‌اند.

لکتیک گفت :

“به یک معنا این‌ها جرقه‌های نبوغ اشخاصی است که مشغول تولید بدافزار هستند. کسانی که دنبال رهبر شدن در حیطه کاری خود می‌باشند”.

بدافزار خلاقانه می‌تواند به دست هر گروه هکری ساخته شود؛ چه شخصی و چه گروه‌ هکرهای حکومتی.

او افزود:

“حقیقت این است که ما به مواردی برخورد می‌کنیم که مجرمان سایبری از قالب‌های غیرمعمول برای ناشناس ماندن و فرار کردن از آنتی‌ویروس‌ها استفاده می‌کنند”.

به گفته این دو محقق معمولا قربانیان این‌گونه حملات بانک‌ها، کمپانی‌ها و فعالان آسیایی می‌باشند.

قالب‌های غیرمعمول چطور استفاده می‌شوند؟

دونیک و لکتیک چندین مورد استفاده برای اینگونه بدافزارهای غیرمتعارف ارائه کردند. یکی از قربانیان بانک Cosmos بود. دومین بانک بزرگ هندوستان که در آگوست ۲۰۱۸ مورد حمله هکرها قرار گرفت و ۱۳ و نیم میلیون دلار به سرقت رفت.

چندین کمپانی امنیتی باور دارند که به‌احتمال قوی این حمله کار گروه لازاروس بود. آن‌ها گروهی کره‌ای هستند که هدفشان حوزه مالی است و ظاهراً مسئول چندین سرقت از بانک‌های بنگلادش هم هستند.

در خصوص حمله به بانک cosmos هدف نویسند‌گان بدافزار سرورهای پرداخت بود؛ که دارای نرم افزارهایی هستند که داده‌ها و اطلاعات بین پورتال پرداخت و بانک را نظارت می‌کنند.

لکتیک بیان کرد :

“چنین سوییچ پرداختی به‌وسیله بدافزار گروه لازاروس انجام شد تا تراکنش‌های خاص مربوط به شماره حساب‌های خاص را رصد نکند”.

 وی ادامه داد: “هرگاه از آن حساب‌های آلوده پول می‌گرفتید، ماشین خودپرداز صرف‌نظر از میزان موجودی به شما پول پرداخت می‌کرد”.

سیستم‌عامل مورد استفاده در این سرورها چیست؟

سیستم‌عامل مورد استفاده در این سرورها سیستم AIX برای  IBM بود که بیشتر توسط سازمان‌های مالی استفاده می‌شود.

فایل‌های اجرایی این سیستم‌عامل بر اساس فرمت XCOFF طراحی شده‌اند. لکتیک اظهار داشت که این بدافزار احتمالاً تنها بدافزاری‌ست که از این فرمت سوء‌استفاده می‌کند. بر اساس تحلیل‌هایی مشخص شد که این گروه بدافزار XCOFF را تنها برای وارد کردن یک وصله به سرور پرداخت، ساختند.

او افزود :

“اگر شما نیز برای این فرمت، بدافزار می‌نویسید باید از این محیط به‌شدت سفارشی‌ که درگیر آن خواهید شد، اطلاعات داشته باشید. باید از هدف این پلتفرم و تمام محدودیت‌هایش و تمام روش‌های اجرای فایل‌ها و توابعی که در دسترس شماست، سر در بیاورید”.

مورد تازه دیگری که این محققین بررسی می‌کردند، مرتبط با گروه هکر OceanLotus بود. نمونه‌هایی که مورد تحقیق و بررسی قرار گرفت؛ نشانه‌هایی از ارتباط با فعالان حقوق بشری در ویتنام دارد.

اگر علاقمند به کسب اطلاعات بیشتر در مورد این گروه هکری هستید، می‌توانید به اینک زیر مراجعه کیند.

کمپانی‌ها چطور می‌توانند خودشان را در برابر بدافزارهای غیرمعمول محافظت کنند؟

دونیک و لکتیک بیان کردند که در حال حاضر بدافزارهای غیرمتعارف بسیار نادرند. اما به‌تازگی موارد بیشتری مشاهده می‌شود.  توصیه ایشان به سازمان‌ها اهمیت هرچه بیشتر به حوزه امنیت است.

برخی از این بدافزارها می‌توانند به وسیله آنتی‌ویروس‌ها شناسایی شوند.

خط مقدم دفاع از شما در مقابل انواع عامل‌های مخرب، استفاده از آنتی ویروسی است که قابلیت اطمینان بالایی داشته باشد و مدام به روزرسانی شود. ما در مجموعه‌ی شیدافزار برای این نگرانی شما عزیزان، ضدویروس شید را پیشنهاد می‌کنیم.

در صوت تمایل به آشنایی با ضدویروس‌های شید می‌توانید روی دکمه زیر کلیک کنید.

دونیک گفت:

“بعد از اینکه یک فایل مخرب وارد حافظه شد، سیستم‌عامل باید از طریق api با آن ارتباط برقرار کند. برنامه‌هایی که این رابط‌ها را تحت‌نظر دارند می‌توانند از وجود موردی مشکوک آگاه شوند. زیرا این حالت مانند هر بدافزار معمولی دیگری قابل شناسایی است”

پروسه یافتن این‌گونه بدافزارها بدون ایراد و مشکلات نیست و کمپانی‌های امنیتی ممکن است داده‌های حیاتی که می‌تواند به استنتاج کلیت حمله کمک کنند را، نادیده بگیرند.

او افزود:

” محصولات ضدویروس برخی داده‌های مرتبط را به‌عنوان داده‌های سنجشی ارسال می‌کنند. اما مساله این است که این داده‌ها شامل فایل‌های اجرایی هستند؛ نه قسمت‌های باینری درون فرمت‌های ناشناخته”.

لکتیک باور دارد که وقتی با فرمت‌های غیرمتعارف روبرو هستیم، وجود یک محقق واقعی  حیاتی‌ست. زیرا ممکن است که این کار از توان ابزارهای ماشینی خارج باشد.

این دو محقق اظهار داشتند که دلایلی کافی برای باور به اینکه نویسندگان بدافزارهای غیرمتعارف در سال‌های آینده خلاق‌تر می‌شوند، وجود دارد. به این خاطر که نرم‌افزارهای امنیتی هر روز پیشرفته‌تر و کامل‌تر می‌شوند. در نتیجه قابلیت تشخیص آن‌ها نیز بهتر می‌شود.

۲ نظر در “افزایش بدافزارهای غیرمتعارف

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.