گرگ در لباس میش
از ترفندهایی که توزیعکنندگان بدافزار جهت آلودهکردن سیستمها استفاده میکنند، فریب دادن قربانیان به دانلود و اجرای فایلهای مخرب است که این مقاله به بررسی آنها میپردازد.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده تکنیکهای مذکور مورد بررسی قرار گرفته است.
برخی از این ترفندها شامل مخفی کردن فایلهای اجرایی بدافزار در قالب برنامههای کاربردی متداول، امضای آنها با گواهینامههای معتبر یا حتی هک نمودن سایتهای قابل اعتماد جهت سوءاستفاده و بکارگیری از آنها به عنوان نقاط توزیع فایلهای مخرب میباشد.
به گزارش سایت پویش و تحلیل بدافزار VirusTotal، برخی از این ترفندها در مقیاسی بسیار بزرگتر از آنچه در ابتدا تصور میشد اتفاق میافتند. سایت VirusTotal هر فایل ارسالی از سوی کاربران را در اکثر ضدویروسهای مطرح بررسی کرده و گزارش شناسایی یا عدم شناسایی آنها را در اختیار کاربر قرار میدهد.
سایت VirusTotal، گزارشی را در بازه زمانی 12 دی 1399 تا 10 تیر 1401 بر اساس دو میلیون فایل ارسالی از سوی کاربران در روز، گردآوری نموده و روند نحوه توزیع بدافزار را نشان میدهد.
بهرهجویی از دامنههای معتبر
توزیع بدافزار از طریق سایتهای معتبر، محبوب و با رتبه بالا به مهاجمان این امکان را میدهد تا فهرستهای مسدود شده مبتنی بر IP را دور بزنند و همواره در دسترس باشند و سطح اعتماد بیشتری را جلب کنند.
سایت VirusTotal، بر اساس فهرست هزار سایت محبوب و برتر (Alexa top 1000 websites) و از میان 101 دامنه متعلق به این سایتها، 2.5 میلیون فایل مشکوک دانلود شده را شناسایی کرد. قابلتوجهترین موردی که از آن بیشترین سوءاستفاده صورت گرفته، Discord است که به کانون توزیع بدافزار تبدیل شده است. پس از آن سرویسدهنده میزبانی کننده سرورها و خدمات ابری Squarespace و Amazon در رتبههای بعدی قرار دارند.
استفاده از گواهینامههای معتبر سرقت شده
امضای نمونههای بدافزاری با گواهینامههای معتبر سرقت شده، روشی دیگر جهت فرار از تشخیص توسط ضدویروسها و هشدارهای صادر شده از سوی راهکارهای امنیتی است.
در میان تمام نمونههای مخرب آپلود شده در VirusTotal در بازه زمانی مذکور، بیش از یک میلیون مورد امضاء شده و 87٪ از آنها از یک گواهینامه معتبر استفاده کردهاند. گواهینامههای رایج بکارگرفته شده در امضای نمونههای مخرب ارسال شده به سایت مذکور عبارتند از Sectigo ،DigiCert ،USERTrust و Sage South Africa.
مخفی شدن در قالب نرمافزارهای معتبر و محبوب
مخفی کردن یک بدافزار قابل اجرا در قالب یک برنامهکاربردی معتبر و محبوب در سال 2022 روند صعودی داشته است.
قربانیان با تصور اینکه برنامههای مورد نیاز خود را دریافت میکنند، این فایلها را دانلود کرده، اما با اجرای فایلهای نصبکننده نرمافزار، سیستمهای خود را به بدافزار آلوده میکنند. برنامههای کاربردی که مهاجمان بیشترین سوءاستفاده را از آنها کردهاند اغلب دارای نشان (Icon) مربوط به محصولات Skype ،VLC ، Adobe Acrobat و 7zip میباشند.
برنامه محبوب بهینهسازی Windows به نام CCleaner که اخیراً در کارزاری مورد بهرهجویی قرار گرفته نیز یکی از گزینههای محبوب هکرها است و نسبتاً آلودگی و توزیع فوق العاده بالایی را به دنبال داشته است.
مهاجمان در کارزار مذکور از تکنیکهای موسوم به Black Hat SEO پیروی کردند تا سایتهای بکارگرفته شده جهت توزیع بدافزار خود را در نتایج جستجوی Google در رتبهبندی بالایی قرار دهند و به این ترتیب افراد بیشتری فریب خورده و فایلهای اجرایی مخرب را دانلود کنند.
فریب کاربران از طریق فایلهای نصب معتبر
در نهایت، ترفند دیگر پنهان کردن بدافزار در فایلهای نصب برنامههای معتبر و اجرای پروسه هک در پسزمینه (Background) در حالی که برنامههای واقعی در پیشزمینه (Foreground) در حال اجرا هستند، میباشد. این تکنیک ضمن فریب قربانیان منجر به بیاثر شدن برخی موتورهای ضدویروس که ساختار و محتوای فایلهای اجرایی را بررسی نمیکنند، میشود.
بر اساس آمار VirusTotal، به نظر میرسد که این روش امسال نیز در حال افزایش است و از Google Chrome ،Malwarebytes ،Windows Updates ،Zoom ، Brave ،Firefox ،ProtonVPN و Telegram به عنوان طعمه استفاده میکنند.
چگونه ایمن بمانیم؟
هنگامی که به دنبال دانلود نرمافزار هستید، یا از فروشگاه موجود در سیستمعامل خود استفاده کنید یا آن را از صفحه دانلود رسمی برنامه، دریافت نمایید. همچنین، مراقب تبلیغاتی که در نتایج جستجو ممکن است رتبه بالاتری داشته باشند، باشید زیرا سایتها به راحتی توسط مهاجمان قابل جعل هستند و کاملاً شبیه سایتهای معتبر به نظر میرسند.
پس از دانلود یک فایل نصبکننده نرمافزار، همیشه قبل از اجرای فایل، یک پویش ضدویروس بر روی آن انجام دهید تا مطمئن شوید که حاوی بدافزار نیستند. در نهایت، از بکارگیری نسخههای کرک شده، نرمافزارهای قفل شکسته و غیرمجاز خودداری کنید زیرا معمولاً منجر به انتقال بدافزار میشوند.
منبع:
