بسته بهره‌جوی Fallout، مجهزتر از قبل

نویسندگان Fallout نسخه جدیدی از این بسته بهره‌جو را عرضه کرده‌اند که علاوه بر توانایی سوءاستفاده از ضعف‌های امنیتی بیشتر، قادر به اجرای بدافزار با بکارگیری مکانیزم “بدون فایل” است.

بسته‌های بهره‌جو (Exploit Kit) ابزارهای مخربی هستند که هکرها و ویروس‌نویسان را قادر به اجرا کد مخرب خود بر روی دستگاه قربانی – معمولا به‌صورت از راه دور و بدون دخالت کاربر – با سوءاستفاده از ضعف‌های امنیتی نرم‌افزارهای نصب شده می‌کنند.

به گزارش شرکت مهندسی شبکه گستر، تا پیش از این در زمان اجرا بر روی دستگاه، Fallout ابتدا تلاش می‌کرد تا از آسیب‌پذیری CVE-2018-8174 در بخش مدیریت‌کننده کدهای VBScript بهره‌جویی کند. در صورت آسیب‌پذیر نبودن آن (به دلیل نصب بودن اصلاحیه مربوطه) و یا غیرفعال بودن VBScript به سراغ بهره‌جوی دوم به‌منظور سوءاستفاده از آسیب‌پذیری CVE-2018-4878 در محصول Flash Player می‌رفت.

اکنون نسخه جدیدی از Fallout منتشر شده که علاوه بر دو ضعف امنیتی مذکور از آسیب‌پذیری CVE-2018-15982 در نرم‌افزار Flash Player نیز پشتیبانی می‌کند. 15 آذر ماه، شرکت ادوبی، خارج از برنامه زمانبندی متداول خود (سه‌شنبه دوم هر ماه میلادی) اقدام به ارائه به‌روزرسانی برای ترمیم یک آسیب‌پذیری CVE-2018-15982 با درجه اهمیت “حیاتی” (Critical) نمود. دلیل عرضه خارج از برنامه این اصلاحیه مورد بهره‌جویی قرار گرفتن آسیب‌پذیری مذکور توسط گروهی از مهاجمان سایبری عنوان شده بود.

پیش‌تر نیز گردانندگان بسته بهره‌جوی Underminer آن را به آسیب‌پذیری CVE-2018-15982 مجهز کرده بودند.

همچنین بر اساس کارزارهای تبلیغاتی که نویسندگان Fallout برای فروش این بسته بهره‌جو در تالارهای گفتگوی زیرزمینی مهاجمان سایبری به راه انداخته‌اند، مبهم‌سازی کد (Obfuscation) و مکانیزم فرود (Landing) در نسخه جدید به‌طور کامل بازطراحی شده و به‌نحو قابل توجهی موجب بهبود کارایی آن شده است.

بررسی‌های انجام شده توسط محققان ملوربایت نیز از توانایی نسخه جدید Fallout در اجرای کد مخرب مورد نظر مهاجم توسط پروسه معتبر PowerShell حکایت دارد که تکنیکی پیشرفته و از جمله روش‌های مورد استفاده نویسندگان بدافزارهای موسوم به “بدون فایل” (Fileless) تلقی می‌شود.

ّFallout

با وجودی که از زمان شناسایی نخستین نسخه از Fallout کمتر از شش ماه می‌گذرد اما این بسته بهره‌جو در میان نویسندگان بدافزار طرفداران فراوانی پیدا کرده است. از جمله علاقمندان Fallout می‌توان به نویسندگان GandCrab اشاره کرد که این بسته بهره‌جو نقش بسیار پررنگی در انتشار نسخه 5 این باج‌افزار داشته و همچنان نیز دارد.

لازم به ذکر است CVE-2018-4878 17 بهمن ماه 1396 توسط شرکت ادوبی اصلاح شد. آسیب‌پذیری CVE-2018-8174 نیز در 18 اردیبهشت ماه سال جاری در مجموعه اصلاحیه‌های ماه میلادی می مایکروسافت ترمیم شد. اصلاحیه CVE-2018-15982 هم همان‌طور که اشاره شد کمتر از دو ماه قبل انتشار یافت. در صورت نصب تمامی اصلاحیه‌های مذکور کامپیوترها و شبکه سازمان از گزند بسته بهره‌جوی Fallout در امان خواهد بود.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *