هشدارهای افتایی
پژوهشگران امنیتی مایکروسافت جزئیاتی از یک بدافزار جدید را منتشر کردند که از ماه اکتبر سال 2018 در حال آلوده کردن رایانه‌های ویندوزی است تا برای ایجاد درآمد برای مهاجمان، منابع سیستم هدف را به جهت کاوش رمزارز مورد بهره‌برداری قرار دهد.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی ZDNet، بدافزار Dexphot در اواسط ماه ژوئن در سال جاری به اوج فعالیت خود رسید که رایانه‌های آلوده شده توسط آن به حدود 80 هزار مورد رسید. پس از این تاریخ آلودگی‌های روزانه Dexphot کاهش یافت که به ادعای مایکروسافت این امر به دلیل پیاده‌سازی اقدامات دفاعی برای بهبود شناسایی و توقف آن‌هاست.
در حالی که هدف نهایی بدافزار Doxphot بسیار پیش پا افتاده است، اما روش‌ها و تکنیک‌های استفاده شده در این بدافزار دارای پیچیدگی‌های بالایی هستند. این بدافزار یکی از تهدیدهای بی‌شماری است که در هر زمان فعال است. بدافزار دارای هدف رایجی است و با نصب یک کاوش‌گر رمز ارز، بطور کاملا مخفیانه منابع رایانه را به سرقت می‌برد و برای عوامل خود درآمدزایی می‌کند. تکنیک‌های پیشرفته Dexphot شامل اجرای بدون فایل، تکنیک‌های چندشکلی (polymorphic) و مکانیزم‌های پایداری بوت هوشمند و اضافی می‌شوند.
به گفته مایکروسافت، Dexphot یک بدافزار مرحله دوم است - نوعی بدافزار که بر روی سیستم‌هایی که قبلاً توسط سایر بدافزارها آلوده شده‌اند، منتقل می‌شوند. در این حالت، Dexphot روی رایانه‌هایی قرار می‌گیرد و قبلا به ICLoader آلوده شده بودند. ICLoader بدافزاری است که معمولاً به عنوان بخشی از بسته‌های نرم‌افزاری، بدون اطلاع کاربر یا در هنگام بارگیری و نصب کرک نرم‌افزارهای دزدی، در رایانه هدف نصب می‌شود.
مایکروسافت می‌گوید که نصب‌کننده بدافزار تنها بخشی از Dexphot است که روی دیسک نوشته می‌شود، اما این کار تنها برای مدت زمان کوتاهی انجام می‌شود. تمام فایل‌ها یا عملیات Dexphot از یک تکنیک معروف به عنوان اجرای بدون فایل، بهره می‌گیرند که این تکنیک برای اجرا در حافظه رایانه استفاده شده و باعث مخفی ماندن حضور بدافزار روی یک سیستم می‌شود.
علاوه بر این، Dexphot از تکنیکی بنام LOLbins استفاده می‌کند تا بجای استفاده از فایل‌ها و فرایندهای خود، از فرایندهای پردازشی قانونی ویندوز برای اجرای کد مخرب سوء استفاده کند. به عنوان مثال، Dexphot مرتباً از فایل‌های اجرایی از پیش نصب شده msiexec.exe ،unzip.exe ،rundll32.exe ، schtasks.exe و owershell.exe سوء استفاده می‌کند. با استفاده از این فرایندها برای راه اندازی و اجرای کد مخرب، Dexphot  به خوبی از سایر برنامه‌های محلی ویندوز غیر قابل تشخیص می‌شود.
از دیگر پیچیدگی‌های Dexphot، استفاده از تکنیک چندشکلی (polymorphism) است. این تکنیک به بدافزارهایی اطلاق می‌شود که به طور مداوم اثرات خود را تغییر می‌دهند. طبق گفته مایکروسافت، اپراتورهای Dexphot هر 20 الی30 دقیقه یک بار نام فایل‌ها و URLهای مورد استفاده در فرایند آلودگی را تغییر می‌دهند. با بهره‌گیری از این تکنیک، راهکارهای ضدبدافزار به سختی می‌توانند Dexphot را شناسایی کنند. زمانی که یک برنامه ضدویروس الگوی موجود در زنجیره آلودگی Dexphot را تشخیص دهد، این الگو تغییر کرده و به اپراتور Dexphot اجازه می‌دهد تا یک قدم جلوتر از محصولات امنیتی باشند.
اما هیچ بدافزاری برای همیشه کشف نشده باقی نمی‌ماند و حتی این مورد را نیز توسعه‌دهندگان Dexphot از قبل پیش‌بینی کرده‌اند. مایکروسافت می‌گوید Dexphot دارای مکانیزم‌های پایداری هوشمندانه است که اغلب سیستم‌هایی را که از کلیه اثرات بدافزار پاک نشده‌اند، دوباره آلوده می‌کند. در ابتدا، بدافزار از تکنیکی بنام process hollowing استفاده می‌کند تا دو فرآیند مشروع (svchost.exe و nslookup.exe) را آغاز کند، محتوای آن‌ها را خالی کرده و کد مخرب را از درون آنها اجرا کند. این دو فرایند بدافزار را رصد می‌کنند تا در صورتی که یک نرم‌افزار ضدویروس یکی را حذف کند، فرایند دوم به عنوان پشتیبان عمل کرده و سیستم را دوباره آلوده کند.
قابلیت دیگر بدافزار، آلودگی‌سازی مجدد سیستم هدف طی هر راه‌اندازی مجدد و یا هر 90 الی 110 دقیقه است. از آنجا که این فعالیت‌های برنامه‌ریزی شده در فواصل منظم انجام می‌شوند، عوامل Dexphot دارای قابلیت به‌روزرسانی سیستم‌های آلوده شده نیز هستند. با هربار اجرای این فعالیت‌های برنامه‌ریزی شده، فایلی از سرور مهاجم دریافت می‌شود که حاوی دستورالعمل‌های به‌روز شده برای بدافزار است.
به گفته مایکروسافت، اقدامات دفاعی جدیدی برای بهبود شناسایی و توقف این بدافزار در Microsoft Defender اعمال شده است تا حفاظت جامع در قبال این بدافزار انجام شود.
نشانه‌های آلودگی (IoC):
•    72acaf9ff8a43c68416884a3fff3b23e749b4bb8fb39e16f9976643360ed391f
•    22beffb61cbdc2e0c3eefaf068b498b63a193b239500dab25d03790c467379e3
•    65eac7f9b67ff69cefed288f563b4d77917c94c410c6c6c4e4390db66305ca2a
•    ba9467e0d63ba65bf10650a3c8d36cd292b3f846983032a44a835e5966bc7e88
•    537d7fe3b426827e40bbdd1d127ddb59effe1e9b3c160804df8922f92e0b366e
•    504cc403e0b83233f8d20c0c86b0611facc040b868964b4afbda3214a2c8e1c5
•    aa5c56fe01af091f07c56ac7cbd240948ea6482b6146e0d3848d450977dff152

منابع:

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.