همراه ما باشید
هفته نامه عصر ارتباط
اولیـن و پرتیـراژتـرین هفتـه نـامه ICT کشـور

آلوده شدن بانک‌ها و سازمان‌‌های سراسر جهان توسط بدافزار نامرئی fileless

آلوده شدن بانک‌ها و سازمان‌‌های سراسر جهان توسط بدافزار نامرئی fileless

پژوهشگران لابراتوار کسپرسکی مستقر در مسکو متوجه آلودگی‌ای در شبکه مجموعه خود شدند که توسط بدافزاری عجیب و خلاف آنچه که تا به حال دیده بودند، مورد حمله قرار گرفته بود. تقریبا تمام بدافزارها در حافظه کامپیوتر اقامت می‌گزینند و این ناحیه را تحت تاثیر آلودگی خود قرار می‌دهند، اما این بدافزار که در نوبه خودش شاهکار به حساب می‌آید توانسته بود آلودگی را به مدت شش ماه و حتی بیشتر به صورت غیر قابل تشخیص حفظ کند.

کسپرسکی در نهایت متوجه شد که که این بدافزار رفتاری شبیه Duqu ۲.۰ تروجانی که به ندرت دیده می‌شود و از مشتقات Stuxnet،(کرم‌‌های بسیار پیچیده که توسط آمریکا و اسرائیل برای خرابکاری در برنامه هسته‌ای ایران ایجاد شده بودند)، دارد.

در حال حاضر، بدافزار Fileless بخشی از یک نرم‌افزار مخرب است که برای اجرا شدن هیچ‌گونه فایل یا فولدری را بر روی هارد دیسک کپی نمی‌کند. به جای این کار، payload‌ها به صورت مستقیم بر روی حافظه فرآیندهای در حال اجرا تزریق می‌شوند و این بدافزار بر روی RAM سیستم مورد نظر اجرا می‌شود .طبق گزارش‌‌هایی که لابراتوار کسپرسکی در روز چهارشنبه منتشر ساخت، شبکه‌‌های متعلق به ۱۴۰ بانک و شرکت‌‌های دیگر توسط همین بدافزار که در حافظه کامپیوترها به صورت نامرئی باقی مانده بود، آلوده شدند. از آنجا که این آلودگی بسیار وخیم و غیر قابل تشخیص بوده است، از آنجا که این حمله به‌سختی قابل شناسایی است، تعداد واقعی شبکه‌های آلوده شده را نمی‌توان دقیق مطرح کرد اما مطمئنا بیش از این مقدار است.

یکی دیگر از مواردی که باعث می‌شد این آلودگی غیر قابل تشخیص باقی بماند استفاده از موارد قانونی و مشروع در سیستم‌‌های اداری و ابزارهای امنیتی که شامل PowerShell، Metasploit و Metasploit برای تزریق بدافزار به حافظه کامپیوتر بود. با توجه به اینکه این بدافزار بر روی حافظه اجرا می‌شود، هنگامی‌که سیستم راه‌اندازی مجدد می‌شود، استفاده از حافظه بلااستفاده می‌شود و این امر پیدا کردن ردی از این بدافزار را برای متخصصان بررسی‌های دیجیتالی سخت می‌کند.

Kurt Baumgartner متخصص امنیتی در لابراتوار کسپرسکی به Ars گفت: جالب اینجا است که این حملات مداوم در سطح جهان در برابر بانک‌ها و موسسات مالی بوده است. بسیاری از این بانک‌ها به اندازه کافی برای مقابله با این حملات آماده نبودند. او در ادامه گفت که مجرمان این حملات دستگاه‌‌های خودپرداز را مورد هدف قرار داده اند و از این طریق پول‌ها را از بانک‌ها به سمت خود هدایت می‌کنند.

۱۴۰ سازمان که تا به حال نام آن‌ها ذکر نشده است دچار آلودگی شده اند و این حمله ۴۰ کشور مختلف آمریکا، فرانسه، اکوادور، کنیا و انگلستان که جزء ۵ کشور برتر جهان هستند، را مورد هدف قرار داده است. محققان لابراتوار کسپرسکی همچنان اطلاع ندارند که چه کسانی پشت این حمله هستند و توسط چه هکرهایی این طرح آماده شده است.

سرقت رمز عبور
برای اولین بار محققان این بدافزار را در سال گذشته کشف کردند، زمانی که تیم امنیتی یک بانک یک کپی از Meterpreter ( جزئی در حافظه Metasploit ) در داخل حافظه فیزیکی یک کنترل کننده دامنه مایکروسافت یافته بودند.
پس از انجام آنالیزهای دقیق، محققان دریافتند که مهاجمان PowerShell ویندوز را مجبور ساخته بودند که یک کد Meterpreter را به صورت مستقیم و به جای اینکه آن را بر روی دیسک بنویسد، آن بر روی حافظه ذخیره کند.

کلاه‌برداران سایبری همچنین از ابزار NETSH networking متعلق به مایکروسافت استفاده کرده بودند تا بتوانند یک تونل پروکسی برای ارتباط برقرار کردن با سرور command and control راه‌اندازی کنند و به این وسیله قادر شوند از راه دور میزبان آلوده شده را کنترل کنند. برای به دست گرفتن دسترسی مدیریتی نیاز به انجام این کارها است و مهاجمان همچنین می‌بایستی بر دستور Mimikatz تکیه می‌کردند. برای کاهش شواهد به‌جامانده در log یا هارددیسک‌ها، مهاجمان دستورات PowerShell را در ریجستری ویندوز پنهان کرده بودند.

خوشبختانه شواهدی که روی کنترل کننده دامنه نمایان شده است کاملا دست نخورده و بی‌نقص به‌جامانده علت آن هم می‌توان راه‌اندازی نشدن مجدد آن قبل از اینکه محققان لابراتوار کسپرسکی تحقیقات خود را آغاز کنند، دانست. و آنالیزهای مختلف روی محتویات حافظه و ریجستری‌‌های ویندوز امکان بازیابی کدهای Meterpreter و Mimikatz را به محققان می‌دهد. محققان بعد از مدتی متوجه شدند که مجرمان ابزاری برای جمع‌آوری رمزهای عبور مدیران سیستم به کار می‌بردند و از راه دور میزبان آلوده شده را کنترل می‌کردند.

محققان هنوز هم مطمئن نیستند که این بدافزار تا کی می‌تواند پنهان بماند. اما مشخص است که هدف نهایی مهاجمان دسترسی و پیدا کردن به کامپیوترهای در معرض خطر و کنترل ATM‌ها و درنهایت سرقت پول است. محققان لابراتوار کسپرسکی قصد دارند تا جزئیات بیشتری را در رابطه با این حمله که در مقیاس صنعتی و در سراسر جهان رخ داده است را در ماه آوریل ۲۰۱۷ منتشر کنند.

درج دیدگاه

مطالب مشابه ICTNews.ir

  • پیام رسان BBM بلک بری بعد از ۱۳ سال پایان یافت

    پیام رسان BBM بلک بری بعد از ۱۳ سال پایان یافت

    این اپلیکیشن یک دهه بعد از دوران شکوفایی اش و پس از سال ها تلاش برای جلب نظر دوباره کاربران

  • فیس بوک از شرکت کره‌ای Rankwave به خاطر سواستفاده از داده‌های کاربران شکایت کرد

    فیس بوک از شرکت کره‌ای Rankwave به خاطر سواستفاده از داده‌های کاربران شکایت کرد

    فیس بوک اعلام کرد که از شرکت کره‌ای Rankwave به خاطر سواستفاده از داده‌های کاربران این شبکه برای مقاصد بازاریابی، شکایت قضایی تنظیم کرده است.

  • افشای اطلاعات اطلاعات کاربران و رانندگان تاکسی اینترنتی داخلی

    افشای اطلاعات اطلاعات کاربران و رانندگان تاکسی اینترنتی داخلی

    به دنبال انتشار خبری در شبکه‌های اجتماعی مبنی بر لو رفتن اطلاعات 6میلیون و 700هزار کاربر یک تاکسی اینترنتی ایرانی، نگرانی‌های زیادی ایجاد شد. ظواهر امر نشان می‌دهد که اطلاعات کاربران و رانندگان این شرکت تاکسی اینترنتی در معرض خطر افشا شدن است.

  • پردازنده‌ گرافیکی Navi 20 از قابلیت  رهگیری پرتو استفاده میکند

    پردازنده‌ گرافیکی Navi 20 از قابلیت رهگیری پرتو استفاده میکند

    هنوز چندماهی به عرضه‌ی رسمی کارت‌های گرافیکی جدید AMD مبتنی بر پردازنده‌ی گرافیکی Navi باقی مانده؛ اما ظاهرا اطلاعات بیشتری از این محصولات افشا شده است. گزارش‌های زیادی درباره‌ی کارت‌های گرافیک Radeon RX موردانتظار AMD برپایه‌ی پردازنده‌های گرافیکی Navi به‌گوش می‌رسد

  • اپل از اپل کارت خود چگونه درآمد کسب می‌کند

    اپل از اپل کارت خود چگونه درآمد کسب می‌کند

    زمانی‌که اپل ار عرضه‌ی کارت اعتباری خود با همکاری گلدمن ساکس خبر داد، یکی از ویژگی‌هایی که روی آن تاکید می‌شد، عدم‌نیاز به پرداخت هزینه‌های اضافه بود. علاوه‌بر این، اهالی کوپرتینو برای خرید محصولات خود، مبلغی بین ۱ تا ۳ درصد از هزینه‌ی خرید را هم به کاربر باز می‌گردانند. همین مسئله این سؤال را برای بسیاری از افراد ایجاد کرده است که سازنده‌ی آیفون چگونه از این کارت درآمد کسب می‌کند

  • قطع چند روز پیش اینستاگرام و فیسبوک بر اثر حمله سایبری بود

    قطع چند روز پیش اینستاگرام و فیسبوک بر اثر حمله سایبری بود

    چند روز پیش هشتگی به‌صورت جهانی با عبارت Facbookdown# در توییتر منتشر و به‌سرعت به ترند تبدیل شد. غول شبکه‌های اجتماعی و اپلیکیشن زیرمجموعه‌اش، اینستاگرام، برای مدتی دچار قطعی شدند. برخی کاربران به‌طور کلی دسترسی به حساب کاربری خود را از دست دادند

  • جدیدترین پرچمدار سامسونگ گلکسی اس 10 در تست مقاومت رد شد!

    جدیدترین پرچمدار سامسونگ گلکسی اس 10 در تست مقاومت رد شد!

    اول اسفند ماه سامسونگ از جدیدترین پرچمدارانش یعنی خانواده گلکسی اس 10 رونمایی کرد. کمپانی کره‌ای برای اینکه کاربران سخت گیر را به خرید این گوشی‌ها ترغیب کند

  • اپل تا سال 2021 اپلیکیشن‌های آیفون، آیپد و مک را با هم ترکیب می کند

    اپل تا سال 2021 اپلیکیشن‌های آیفون، آیپد و مک را با هم ترکیب می کند

    اپل قصد دارد که تا سال 2021، اپلیکیشن‌های آیفون، آیپد و مک او اس را با هم ترکیب کند. به گزارش وبسایت بلومبرگ، رویه کار بدین شکل خواهد بود که اپل از طریق ابزاری مخصوص، به توسعه‌دهندگان اجازه می‌دهد که یک نسخه از اپلیکیشن (Single Binary) بسازند که هم روی آیفون و آیپد و هم مک‌بوک‌ها اجرا می‌شود.

  • وسترن‌دیجیتال فلشی با ظرفیت چهار ترابایت را معرفی کرد

    وسترن‌دیجیتال فلشی با ظرفیت چهار ترابایت را معرفی کرد

    این حافظه، عرضه‌ی آن در آینده‌ی نزدیک و با قیمتی مناسب بعید به‌نظر می‌رسد. هدف وسترن‌دیجیتال از معرفی این حافظه، نمایش فناوری و توانایی‌های برند سن‌دیسک (SanDisk) در حوزه‌ی تولید حافظه‌های حجیم و سریع در ابعاد کوچک است. گفتنی است وسترن دیجیتال در سال ۲۰۱۶ و با مبلغ گزاف ۱۹ میلیارد دلار سن‌دیسک را خرید

عصــر بــازی