گروه آزمایشگاه شرکت SentimelOne اخیراً یک بدافزار پیچیده را کشف کرده است که Furtim نام دارد و بهطور خاص دستکم یکی از شرکتهای انرژی اروپایی را مورد هدف قرار داده است.
در ماه می امسال، محقق امنیتی یوتام گوتسام از شرکت enSilo شروع به فعالیت برای کشف راز آن کرد. بدافزار Furtim که اولین بار توسط FireF۰X «تحلیلگر سابق بدافزار» در فدراسیون روسیه گزارش شده بود، و در زبان لاتین به معنی «مخفیکاری» است، شروع به ایجاد جریانی در جامعهی امنیتی کرد که موجب شد تا توسعهدهندگان بدافزار بتوانند از روشهای شناسایی بدافزار بگریزند. هنوز مشخص نیست که FireF۰X چگونه به این نمونهی بدافزار دسترسی پیدا کرده است و با وجود تحقیقات یوتام که آن را در پستی در وبلاگ خود تشریح کرده است، هنوز هم به پرسشهای بسیاری در مورد بدافزار Furtim پاسخ داده نشده است.
جوزف لاندری و اودی شامیر محققان شرکت SentinelOne شروع به قرار دادن قطعات بیشتری از این پازل بر روی هم کردند تا بتوانند راز آن را حل کنند. در وبگاهی که این دو بر روی SentinelOne ایجاد کردهاند، لاندری و شامیر به تشریح تعدادی از قابلیتهای پیشرفتهی که در این بدافزار قرار داده است و Furtim را تبدیل به یک اسلحهی بالقوه علیه بخشهای انرژی کرده است پرداختهاند. این دو معتقد هستند که این بدافزار به احتمال زیاد یک ابزار dropper است و بهصورت بسیار گزینشی علیه بخشهای انرژی فعالیت میکند. dropper به برنامهای گفته میشود که برای نصب بدافزارها (ویروس، درپشتی و غیره) بر روی یک سامانه هدف طراحی شده است. به نظر میرسد که خود این بهرهبرداری علیه همهی انواع نسخههای سامانهعامل ویندوز مؤثر است و ضدبدافزارها، دیوارههای آتش نسل آینده و راهحلهای نقاط انتهایی را که از فنون جعبهی شنی استفاده میکنند، دور میزند.
قابلیتهای اضافی Furtim ممکن است بتواند آگاهی بیشتری در مورد کسانی بدهد که پشت این بدافزار بوده و نیت آنها را برای محققان آشکار کند. علاوه بر بهرهبرداری از شبکه، Furtim بررسی میکند تا دریابد که آیا سامانههای کنترل دسترسی بر روی ایستگاه کاری موجود است، البته نه همهی سامانههای کنترل دسترسی بلکه نرمافزار ZKAccess از ZKTco. اگر این نرمافزار موجود باشد، Furtim اجرای خود را متوقف میکند. جزییات مربوط به آلوده کردن سامانهها به اینجا ختم نمیشود.
Furtim با استفاده از cmd.exe به شکلی هوشمندانه خود را بهعنوان یک روال طبیعی در سامانه پنهان میکند. هنگامیکه این بدافزار اجرا میشود شروع به یک شناسایی گسترده در دستگاه میکند و به شمارش طیف وسیعی از پارامترها در آن میپردازد با این هدف که درصورتیکه شرایط خاصی در سامانه مورد هدف موجود باشد، اجرای خود را متوقف کند.
باردادهی آن با بهرهبرداری از آسیبپذیری با شناسههای CVE-۲۰۱۴-۴۱۱۳ و CVE-۲۰۱۵-۱۷۰۱ از ابزار UAC (کنترل حساب کاربری) ویندوز گذر میکند تا به امتیاز مدیریت در دستگاه هدف دسترسی پیدا کند. اکنون بدافزار شروع به انجام عملیات سنگین خود میکند.
بر اساس گزارشهای تجزیه و تحلیل SentinelOne: «این نمونه بهگونهای توسعه داده شده است که بتواند از تشخیصهای ثابت و رفتاری بگریزد. بسیاری از شگردهای ضد جعبه شنی در آن استفاده شده است. تحلیلگران با تکیهی صرف بر راهحلهای جعبه شنی ممکن است از قابلیتهای کامل این نمونه بدافزار غافل بمانند. دو آسیبپذیری شناختهشده (CVE-۲۰۱۴-۴۱۱۳ و CVE-۲۰۱۵-۱۷۰۱) در این نمونه یافت شدهاند که یکی از آنها UAC را دور میزند».
SentinelOne یک بررسی جامع انجام داده است تا ابهامهای موجود در دستگاه میزبان را برطرف کند .اولین بررسی در مورد قابلیت جعبه شنی و ماشینهای مجازی است تا بتوانند آن را از چشم کنجکاو تحلیلگران نرمافزارهای مخرب دور نگه دارند. اگر این بدافزار متوجه آن شود، متوقف شده و بخش .data آن رمزنگاری میشود. در زمانهای مناسب ضدبدافزارها فعال و غیرفعال میشوند تا احتمال تشخیص را پایین آورند.
این بدافزار دارای ویژگیهای جالبتوجه دیگری است. برای مثال قابلیت اتصال DLL دارد. بارگذاریِ پویای DLL یک روش عمومی است که بهوسیلهی محصولات ضدبدافزاری برای تشخیص رفتارهای مخرب به کار گرفته میشود. Furtim به جستجوی DLLهای تزریقشده بر روی ایستگاه کاری قربانی میپردازد. اگر یک بدافزار که از این قابلیت استفاده میکند کشف شود، نتیجه برای استفادهی آتی ذخیرهشده تا در آینده برای بهبود عملکردهای این بدافزار به کار گرفته شود.
با بررسی دستی، یک روند دوم اتصال DLL نیز به در این بدافزار کشف شده است. بررسیهای بیشتر نیز شامل بررسی دیسکهای سخت جهت کشف سازندهی آنها برای تشخیص دیسکهای سخت مجازی نظیر Vmware و همینطور بررسی BIOS برای تشخیص مجازیسازی میشوند.
با تمام ویژگیهای خاصی که ابزار dropper بدافزار Furtim دارا میباشد، موجب تعجب خواهد شد اگر بتوان یک هدف مشخص از این ویژگیها استخراج کرد. SentinelOne تمایلی ندارد تا به کسانی که در پشت این بدافزار قرار دارند اشاره کند و فقط اشاره کرده است که روشها و پیچیدگیهای Furtim «قابلملاحظه» هستند.
این احتمال وجود دارد که منابع موردنیاز برای تحقیق، توسعه یا کامل کردن Furtim در سطح توانایی یک گروه وابسته به یک دولت باشند اما با هشدارهای اخیر جامعه امنیت در مورد اینگونه استنادها، عاقلانه است که آنچه را که در اختیار داریم بررسی کرده و منتظر تصمیمگیری تحلیلگران شویم.
به گفتهی SentinelOne بدافزار Furtim در حالی کشف شده است که دستکم به یکی از شرکتهای انرژی در اروپا حمله کرده است. بنابراین جای تعجب ندارد که تصور کنیم حملات به بخش انرژی رفته رفته به میزان بیشتری شایع میشوند. جالب توجه است که در تحلیلهای گذشته که توسط یوتام گوتسمن صورت گرفته است گفته شده که اطلاعات رمزنگاریشده در مورد اهداف آن به یک دامنهی روسی فرستاده شده که به تعدادی از نشانیهای آیپی اوکراینی تجزیه میشود. اما همچنان که یوتام اشاره میکند، شما هرگز نمیتوانید مطمئن باشید که این یک اتصال درست به یک منطقهی خاص است و یا اینکه ترفندی برای حقه زدن به تحلیلگران بدافزار است.
منبع: asis
درباره نماد امنیت وب
“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.