جزئیاتی از یک حمله در پشتی جدید با هدف سیستم‌های ویندوز

به گزارش ایسنا، Back Door یا درپشتی یک نوع نرم افزار مخرب یا یک ضعف امنیتی است که دسترسی هکرها را به سیستم کاربران میسر می‌کند. در این روش هکرها با دور زدن مکانیزم های امنیتی به صورت غیرمجاز به سیستم کاربران دسترسی پیدا می کنند به نحوی که کاربران حتی متوجه نفوذ هکرها نمی شوند چون که آن ها در پس زمینه سیستم کاربران فعالیت می کنند و شناسایی آن ها برای کاربران عادی کار سختی است.

درحقیقت Back Door یا درپشتی، از راه‌های مختلف به هکرها این امکان را می‌دهد که به سیستم کاربران نفوذ کنند و اطلاعات آنها را دستکاری کنند. معمولاً هکرها برای کنترل سیستم کاربران از بدافزارها استفاده می‌کنند؛ آن‌ها از راه دور می‌توانند اطلاعات شخصی کاربران را به سرقت ببرند یا دستکاری کنند.

همینطور آن‌ها می‌توانند بدون اطلاع کاربران، فرمان‌های مختلفی را روی سیستم کاربر اجرا کنند و هر تغییری را در سیستم کاربران اعمال کنند. مثلاً نام کاربری، پسوردهای نرم افزارهایی که استفاده می‌کنند و مهمتر از آن‌ها اطلاعات حساسی مانند اطلاعات بانکی کاربران را از روش Back Door یا درپشتی به سرقت ببرند و آنها را لو بدهند.

در این راستا کارشناسان امنیتی از یک درب پشتی جدید و پیشرفته با هدف سیستم‌های ویندوز خبر داده اند. محققان اخیراً یک درب پشتی جدید به نام BITSLOTH در ویندوز کشف کرده‌اند که سیستم‌های ویندوزی را هدف قرار می‌دهد و از سرویس Background Intelligent Transfer Service (BITS) برای عملیات فرمان و کنترل (C۲) بهره می‌برد.

عملیات فرمان و کنترل (C۲) فرآیندی است که در آن مهاجمان سایبری، پس از نفوذ به یک سیستم، ارتباطات خود را با سیستم‌های آلوده حفظ می‌کنند و از طریق آن، دستورات خود را ارسال و اطلاعات را دریافت می‌کنند. این کانال به مهاجم امکان می‌دهد تا دستورات مختلفی مانند اجرای بدافزارهای جدید، جمع‌آوری اطلاعات حساس یا دستکاری فایل‌ها را صادر کند. 

BITS یک سرویس ویندوزی است که برای انتقال فایل‌ها به صورت غیرهمزمان بین دستگاه‌ها طراحی شده است. این سرویس به‌ویژه برای دانلود به‌روزرسانی‌ها و انتقال داده‌ها با کمترین تأثیر بر عملکرد شبکه کاربرد دارد. BITS قابلیت مدیریت قطعی‌های شبکه را نیز داراست و می‌تواند انتقال‌ها را پس از بازگشت اتصال ادامه دهد، حتی اگر سیستم مجددا راه‌اندازی شده ‌باشد.

BITSLOTH از یک پروژه‌ی بارگذاری شل‌کد برای اجرای مخفیانه و عبور از مکانیزم‌های امنیتی سنتی استفاده می‌کند. در حین حرکت جانبی در شبکه، BITSLOTH به عنوان یک فایل DLL (به نام flengine.dll) وارد سیستم شده و با استفاده از تکنیک Side-Loading، این فایل مخرب را از طریق یک برنامه‌ به نام FL Studio بارگذاری و اجرا می‌کند. FL Studio یک برنامه‌ معتبر برای تولید موسیقی است که نصب آن برای کاربران متداول است. مهاجمان به نحوی با استفاده از این برنامه کد مخرب BITSLOTH را اجرا می‌کنند، که این فرآیند به عنوان بخشی از عملکرد معمولی نصب FL Studio به نظر می‌رسد.

در توضیح حرکت جانبی (Lateral Movement) باید گفت این روش به فرآیندی اشاره دارد که در آن مهاجم پس از به دست آوردن دسترسی اولیه به یک سیستم، تلاش می‌کند به سایر سیستم‌های موجود در شبکه دسترسی پیدا کند تا دامنه‌ی نفوذ خود را در شبکه گسترش داده و به منابع ارزشمندتر، مانند سرورها، پایگاه‌های داده و سیستم‌های مدیریتی، دسترسی یابد.

علاوه بر این، BITSLOTH می‌تواند حالت ارتباط را به HTTP یا HTTPS تنظیم کند، فرآیندهای دلخواه را خاتمه دهد، کاربران را از سیستم خارج کند، سیستم را مجدداً راه‌اندازی یا خاموش کند، و حتی خود را به‌روزرسانی کرده یا از سیستم میزبان حذف کند. این بدافزار همچنین با ایجاد و مدیریت کارهای BITS که به ظاهر بی‌ضرر هستند و شبیه به وظایف به‌روزرسانی ویندوز به نظر می‌رسند، از شناسایی شدن اجتناب می‌کند. به عنوان مثال، کارهای موجود با نام‌هایی مثل “WU Client Download” را لغو می‌کند و کارهای جدیدی با نام‌های مشابه ایجاد می‌کند. این کارها به طور مخفیانه با سرورهای فرمان و کنترل(C۲) ارتباط برقرار کرده و ترافیک مخرب را با ترافیک عادی شبکه ترکیب می‌کنند. 

بیشتر بخوانید

چگونه از حملات “در پشتی” جلوگیری کنیم؟

به گفته‌ محققان، استفاده از BITSLOTH و بهره‌برداری آن از سرویس BITS برای مهاجمان جذاب است، زیرا این سرویس به دلیل کاربردهای مشروعش معمولاً از نظارت‌های امنیتی عبور می‌کند. بسیاری از سازمان‌ها در تشخیص تفاوت بین ترافیک عادی BITS و فعالیت‌های مخرب مشکل دارند، که این امکان را به مهاجمان می‌دهد تا برای مدت طولانی در شبکه باقی بمانند و فعالیت‌های خود را پنهان کنند. علاقه‌مندان برای کسب اطلاعات بیشتر از جزئیات این بداافزار می‌توانند به این لینک مراجعه کنند

بر اساس اعلام مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای سیستم‌ها و سرورهای ویندوزی، ممکن است هدف این حمله قرار بگیرند. در این راستا برای جلوگیری از اثرات این بدافزار توصیه می شود مواردی مانند  نظارت دقیق و مستمر بر ترافیک سرویس BITS.،  استفاده از ابزارهای تحلیل ترافیک شبکه برای بررسی و تحلیل ترافیک BITS. و محدودسازی مجوزهای دسترسی به سیستم‌ها و اطلاعات حساس رعایت شود. 

کارشناسان بر این باور برای مقابله با درپشتی  کاربران حتماً نرم‌افزارهای آنتی ویروس و ضد بدافزار را روی سیستم خود نصب داشته باشند. آنتی ویروس مناسب برای امنیت دستگاه خیلی مهم و ضروری است ولی کافی نیست و در کنار آن یک Anti Malware امن را هم برای شناسایی اپلیکیشن‌های مخرب روی سیستم تان نصب کنند. همچنین توصیه می شود از نرم‌افزارهای متن باز یا Open Source که معمولاً رایگان هم هستند استفاده شود، چون که کد این برنامه‌ها در دسترس عموم هست و عده‌ای متخصص آن‌ها را بررسی می‌کنند که آیا Back Door  یا درپشتی یا کد مرجع آن‌ها وجود دارد یا خیر. پس Back Door یا درپشتی به سراغ اپلیکیشن‌هایی می رود که خیلی راحتر و مناسب‌تر برای هک هستند. 

انتهای پیام