#امنیت ؛ در این مقاله به بررسی و معرفی بدافزار جدید پاورشل می پردازیم . بدافزار جدید  که  در حملات هدفمند مورد استفاده قرار می‌گیرد و از اسناد مایکروسافت ورد استفاده می‌کند که از طریق هرزنامه توزیع می‌شوند. با ما همراه باشید : 

 

محققان سیسکو تالوس، بدافزاری را بررسی کردند که از اسکریپت پاورشِل برای واکشی دستورات از رکوردهای TXT سرویس DNS استفاده می‌کند. کارشناسان تالوس گزارش مبسوطی را در مورد یک بدافزار ارائه کردند. این بدافزار در حملات هدفمند مورد استفاده قرار می‌گیرد و از اسناد مایکروسافت ورد استفاده می‌کند که از طریق هرزنامه توزیع می‌شوند. ( بدافزار جدید پاورشل )

 

کد مخربی که در این حملات مورد استفاده قرار می‌گیرد، مبتنی بر اسکریپت پاورشِل ویندوز است و ارتباط با زیرساخت دستور و کنترل با استفاده از سرویس نام دامنه (DNS) انجام می‌شود. مهاجمان از سرویس DNS برای ارتباط با کارگزار دستور و کنترل استفاده می‌کنند چرا که درخواست‌های DNS در شبکه‌های سازمانی هیچ‌گاه مسدود نمی‌شوند. ( بدافزار جدید پاورشل )

 

این کد مخرب اولین بار توسط محقق امنیتی با شناسه‌ی simpo۱۳@ کشف شد. او در ادامه یافته‌ی خود را به محققان امنیتی سیسکو تالوس گزارش داد چرا که متوجه شد در این کد مخرب، ارجاعی به برنامه‌ی امنیتی SourceFire شرکت سیسکو وجود دارد. این ارجاع به شکل یک متن کدشده به‌صورت «SourceFireSux» است. ( بدافزار جدید پاورشل )

 

بدافزار جدید

بدافزار جدید  بدافزار جدید پاورشل

مهاجمان از یک روش مهندسی اجتماعی استفاده می‌کنند تا کاربران را وادار به باز کردن سند مخرب بکنند. در وبلاگ تالوس می‌خوانیم: «به‌طرز جالبی این سند ورد، طوری طراحی شده که به نظر می‌رسد از طریق سرویس رایانامه‌ی امن دریافت شده و با استفاده از مک‌آفی محافظت می‌شود. این روش احتمالاً به این خاطر استفاده شده که قربانی با مک‌آفی آشنا بوده و سریع به این سند اعتماد کرده و آن را باز می‌کند. این سند به کاربر اطلاعات می‌دهد که محافظت‌شده است و برای نمایش محتوا باید ماکرو را فعال کند.»

 

وقتی قربانی سند ورد را باز می‌کند، فرآیند آلودگی چندمرحله‌ای آغاز می‌شود. ابتدا با اجرا شدن یک پرونده‌ی ویژوال بیسیک یا ماکروی سند ورد، دستورات پاورشِل اجرا شده و یک دربِ پشتی بر روی ماشین نصب می‌شود. گروه تالوس در ادامه توضیح داد: «فهرست درهم‌سازی که در Pastebin وجود داشت ما را به سمت یک سند ورد هدایت کرد که بر روی یک جعبه شنی عمومی بارگذاری شده بود. این سند نیز با فرآیند چندمرحله‌ای آلودگی آغاز شده بود و از طریق ماکروی مخرب فرآیند آلودگی را تکمیل می‌کرد.»

 

اسکریپت ویژوال بیسیک، یک پرونده‌ی فشرده و مبهم‌سازی‌شده‌ی پاورشِل را برای مرحله‌ی دوم، از بسته خارج می‌کند. این پاروشِل نسخه‌ی پاورشِلی که بر روی سامانه نصب شده را تشخیص می‌دهد و یک رکورد به رجیستری ویندوز اضافه می‌کند. در ادامه نیز یک پاورشِل را برای مرحله‌ی سوم آغاز می‌کند که به‌عنوان یک دربِ پشتی عمل می‌کند. اگر کاربرِ قربانی دارای دسترسی‌های مدیریتی باشد، نصب‌کننده‌ی پاورشِل یک دربِ پشتی را در پایگاه داده‌ی ابزار مدیریت ویندوز (WMI) اضافه می‌کند تا پس از راه‌اندازی مجدد سامانه، دارای ویژگی ماندگاری باشد. زمانی‌که دربِ پشتی بر روی سامانه نصب شد، در مرحله‌ی چهارم حمله، کد مخرب به‌طور دوره‌ای درخواست‌های DNS را به سمت آدرس‌هایی که در اسکریپت هاردکد شده ارسال می‌کند. ( بدافزار جدید پاورشل )

 

رکوردهای TXT موجود در درخواست‌های DNS حاوی دستورات پاورشِل هستند که به‌طور مستقیم بر روی سامانه‌ی آلوده اجرا خواهند شد. نکته‌ی مهمی که وجود دارد این است که اطلاعات از رکوردهای DNS بازیابی شده ولی بر روی سامانه‌ی محلی نوشته نمی‌شود. اسکریپتی که در مرحله‌ی ۴ مورد استفاده قرار می‌گیرد، در حقیقت ابزار کنترل از راه دور است که توسط مهاجمان بهره‌برداری می‌شود. اگر دستوری از طرف مهاجمان از طریق رکوردهای DNS دریافت شود، بر روی سامانه اجرا شده و نتایج آن به سمت کارگزار دستور و کنترل ارسال می‌شود. این راه‌کار باعث می‌شود تا مهاجم قادر باشد هر دستور ویندوزی را بر روی سامانه‌ی قربانی اجرا کند.

 

محققان امنیتی نتوانستند زیرساخت ارتباطی و دستور و کنترل را مورد تحلیل و بررسی قرار دهند. این بدافزار نمونه‌ی عالی از حملاتی است که مهاجمان از پروتکلی استفاده کرده‌اند که فرآیند شناسایی را برای محققان سخت کرده است. از این به بعد باید در شبکه‌های سازمانی، پروتکل DNS را روشی بدانیم که مهاجمان از آن به‌عنوان زیرساخت دستور و کنترل استفاده می‌کنند. ( بدافزار جدید پاورشل )

 

مقالات مرتبط :

 

حذف ویروس NewFolder.exe
انواع ویروس های کامپیوتری

 

 

پیمان قربانزاده
پیمان قربانزاده
با سلام . پیمان قربانزاده هستم . مدیر سایت پویا سیستم . من و تمام مجموعه پویا سیستم خوشحال می شویم که به شما در زمینه مشکلات نرم افزاری که دارید . کمک کنیم . پس با ما در ارتباط باشید .

سیستم نظردهی برای این مطلب توسط مدیریت بسته شده است.