جزئیاتی از یک حمله در پشتی جدید با هدف سیستمهای ویندوز
محققان اخیراً یک در پشتی جدید به نام BITSLOTH در ویندوز کشف کردهاند که سیستمهای ویندوزی را هدف قرار میدهد و از سرویس (BITS) برای عملیات فرمان و کنترل (C2) بهره میبرد.
به گزارش سینا، Back Door یا درپشتی یک نوع نرم افزار مخرب یا یک ضعف امنیتی است که دسترسی هکرها را به سیستم کاربران میسر میکند. در این روش هکرها با دور زدن مکانیزم های امنیتی به صورت غیرمجاز به سیستم کاربران دسترسی پیدا می کنند به نحوی که کاربران حتی متوجه نفوذ هکرها نمی شوند چون که آن ها در پس زمینه سیستم کاربران فعالیت می کنند و شناسایی آن ها برای کاربران عادی کار سختی است.
درحقیقت Back Door یا درپشتی، از راههای مختلف به هکرها این امکان را میدهد که به سیستم کاربران نفوذ کنند و اطلاعات آنها را دستکاری کنند. معمولاً هکرها برای کنترل سیستم کاربران از بدافزارها استفاده میکنند؛ آنها از راه دور میتوانند اطلاعات شخصی کاربران را به سرقت ببرند یا دستکاری کنند.
همینطور آنها میتوانند بدون اطلاع کاربران، فرمانهای مختلفی را روی سیستم کاربر اجرا کنند و هر تغییری را در سیستم کاربران اعمال کنند. مثلاً نام کاربری، پسوردهای نرم افزارهایی که استفاده میکنند و مهمتر از آنها اطلاعات حساسی مانند اطلاعات بانکی کاربران را از روش Back Door یا درپشتی به سرقت ببرند و آنها را لو بدهند.
در این راستا کارشناسان امنیتی از یک درب پشتی جدید و پیشرفته با هدف سیستمهای ویندوز خبر داده اند. محققان اخیراً یک درب پشتی جدید به نام BITSLOTH در ویندوز کشف کردهاند که سیستمهای ویندوزی را هدف قرار میدهد و از سرویس Background Intelligent Transfer Service (BITS) برای عملیات فرمان و کنترل (C۲) بهره میبرد.
عملیات فرمان و کنترل (C۲) فرآیندی است که در آن مهاجمان سایبری، پس از نفوذ به یک سیستم، ارتباطات خود را با سیستمهای آلوده حفظ میکنند و از طریق آن، دستورات خود را ارسال و اطلاعات را دریافت میکنند. این کانال به مهاجم امکان میدهد تا دستورات مختلفی مانند اجرای بدافزارهای جدید، جمعآوری اطلاعات حساس یا دستکاری فایلها را صادر کند.
BITS یک سرویس ویندوزی است که برای انتقال فایلها به صورت غیرهمزمان بین دستگاهها طراحی شده است. این سرویس بهویژه برای دانلود بهروزرسانیها و انتقال دادهها با کمترین تأثیر بر عملکرد شبکه کاربرد دارد. BITS قابلیت مدیریت قطعیهای شبکه را نیز داراست و میتواند انتقالها را پس از بازگشت اتصال ادامه دهد، حتی اگر سیستم مجددا راهاندازی شده باشد.
BITSLOTH از یک پروژهی بارگذاری شلکد برای اجرای مخفیانه و عبور از مکانیزمهای امنیتی سنتی استفاده میکند. در حین حرکت جانبی در شبکه، BITSLOTH به عنوان یک فایل DLL (به نام flengine.dll) وارد سیستم شده و با استفاده از تکنیک Side-Loading، این فایل مخرب را از طریق یک برنامه به نام FL Studio بارگذاری و اجرا میکند. FL Studio یک برنامه معتبر برای تولید موسیقی است که نصب آن برای کاربران متداول است. مهاجمان به نحوی با استفاده از این برنامه کد مخرب BITSLOTH را اجرا میکنند، که این فرآیند به عنوان بخشی از عملکرد معمولی نصب FL Studio به نظر میرسد.
در توضیح حرکت جانبی (Lateral Movement) باید گفت این روش به فرآیندی اشاره دارد که در آن مهاجم پس از به دست آوردن دسترسی اولیه به یک سیستم، تلاش میکند به سایر سیستمهای موجود در شبکه دسترسی پیدا کند تا دامنهی نفوذ خود را در شبکه گسترش داده و به منابع ارزشمندتر، مانند سرورها، پایگاههای داده و سیستمهای مدیریتی، دسترسی یابد.
علاوه بر این، BITSLOTH میتواند حالت ارتباط را به HTTP یا HTTPS تنظیم کند، فرآیندهای دلخواه را خاتمه دهد، کاربران را از سیستم خارج کند، سیستم را مجدداً راهاندازی یا خاموش کند، و حتی خود را بهروزرسانی کرده یا از سیستم میزبان حذف کند. این بدافزار همچنین با ایجاد و مدیریت کارهای BITS که به ظاهر بیضرر هستند و شبیه به وظایف بهروزرسانی ویندوز به نظر میرسند، از شناسایی شدن اجتناب میکند. به عنوان مثال، کارهای موجود با نامهایی مثل “WU Client Download” را لغو میکند و کارهای جدیدی با نامهای مشابه ایجاد میکند. این کارها به طور مخفیانه با سرورهای فرمان و کنترل(C۲) ارتباط برقرار کرده و ترافیک مخرب را با ترافیک عادی شبکه ترکیب میکنند.
به گفته محققان، استفاده از BITSLOTH و بهرهبرداری آن از سرویس BITS برای مهاجمان جذاب است، زیرا این سرویس به دلیل کاربردهای مشروعش معمولاً از نظارتهای امنیتی عبور میکند. بسیاری از سازمانها در تشخیص تفاوت بین ترافیک عادی BITS و فعالیتهای مخرب مشکل دارند، که این امکان را به مهاجمان میدهد تا برای مدت طولانی در شبکه باقی بمانند و فعالیتهای خود را پنهان کنند. علاقهمندان برای کسب اطلاعات بیشتر از جزئیات این بداافزار میتوانند به این لینک مراجعه کنند
بر اساس اعلام مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای سیستمها و سرورهای ویندوزی، ممکن است هدف این حمله قرار بگیرند. در این راستا برای جلوگیری از اثرات این بدافزار توصیه می شود مواردی مانند نظارت دقیق و مستمر بر ترافیک سرویس BITS.، استفاده از ابزارهای تحلیل ترافیک شبکه برای بررسی و تحلیل ترافیک BITS. و محدودسازی مجوزهای دسترسی به سیستمها و اطلاعات حساس رعایت شود.
کارشناسان بر این باور برای مقابله با درپشتی کاربران حتماً نرمافزارهای آنتی ویروس و ضد بدافزار را روی سیستم خود نصب داشته باشند. آنتی ویروس مناسب برای امنیت دستگاه خیلی مهم و ضروری است ولی کافی نیست و در کنار آن یک Anti Malware امن را هم برای شناسایی اپلیکیشنهای مخرب روی سیستم تان نصب کنند. همچنین توصیه می شود از نرمافزارهای متن باز یا Open Source که معمولاً رایگان هم هستند استفاده شود، چون که کد این برنامهها در دسترس عموم هست و عدهای متخصص آنها را بررسی میکنند که آیا Back Door یا درپشتی یا کد مرجع آنها وجود دارد یا خیر. پس Back Door یا درپشتی به سراغ اپلیکیشنهایی می رود که خیلی راحتر و مناسبتر برای هک هستند.