قابلیت‌های پیشرفته‌ی بدافزار Furtim علیه بخش انرژی

نوشته شده در تاریخ توسط published

گروه آزمایشگاه شرکت SentimelOne اخیراً یک بدافزار پیچیده را کشف کرده است که Furtim نام دارد و به‌طور خاص دست‌کم یکی از شرکت‌های انرژی اروپایی را مورد هدف قرار داده است.
در ماه می امسال، محقق امنیتی یوتام گوتسام از شرکت enSilo شروع به فعالیت برای کشف راز آن کرد. بدافزار Furtim که اولین بار توسط FireF۰X «تحلیلگر سابق بدافزار»‌ در فدراسیون روسیه گزارش شده بود، و در زبان لاتین به معنی «مخفی‌کاری» است، شروع به ایجاد جریانی در جامعه‌ی امنیتی کرد که موجب شد تا توسعه‌دهندگان بدافزار بتوانند از روش‌های شناسایی بدافزار بگریزند. هنوز مشخص نیست که FireF۰X چگونه به این نمونه‌ی بدافزار دسترسی پیدا کرده است و با وجود تحقیقات یوتام که آن را در پستی در وبلاگ خود تشریح کرده است، هنوز هم به پرسش‌های بسیاری در مورد بدافزار Furtim پاسخ داده نشده است.

جوزف لاندری و اودی شامیر محققان شرکت SentinelOne شروع به قرار دادن قطعات بیشتری از این پازل بر روی ‌هم کردند تا بتوانند راز آن را حل کنند. در وبگاهی که این دو بر روی SentinelOne ایجاد کرده‌اند، لاندری و شامیر به تشریح تعدادی از قابلیت‌های پیشرفته‌ی که در این بدافزار قرار داده است و Furtim را تبدیل به یک اسلحه‌ی بالقوه علیه بخش‌های انرژی کرده است پرداخته‌اند. این دو معتقد هستند که این بدافزار به ‌احتمال‌ زیاد یک ابزار dropper است و به‌صورت بسیار گزینشی علیه بخش‌های انرژی فعالیت می‌کند. dropper به برنامه‌ای گفته می‌شود که برای نصب بدافزارها (ویروس، درپشتی و غیره) بر روی یک سامانه هدف طراحی شده است. به نظر می‌رسد که خود این بهره‌برداری علیه همه‌ی انواع نسخه‌های سامانه‌عامل ویندوز مؤثر است و ضدبدافزارها، دیواره‌های آتش نسل آینده و راه‌حل‌های نقاط انتهایی را که از فنون جعبه‌ی شنی استفاده می‌کنند، دور می‌زند.
قابلیت‌های اضافی Furtim ممکن است بتواند آگاهی بیشتری در مورد کسانی بدهد که پشت این بدافزار بوده و نیت آن‌ها را برای محققان آشکار کند. علاوه بر بهره‌برداری از شبکه، Furtim بررسی می‌کند تا دریابد که آیا سامانه‌های کنترل دسترسی بر روی ایستگاه کاری موجود است، البته نه همه‌ی سامانه‌های کنترل دسترسی بلکه نرم‌افزار ZKAccess از ZKTco. اگر این نرم‌افزار موجود باشد، Furtim اجرای خود را متوقف می‌کند. جزییات مربوط به آلوده کردن سامانه‌ها به اینجا ختم نمی‌شود.
Furtim با استفاده از cmd.exe به شکلی هوشمندانه خود را به‌عنوان یک روال طبیعی در سامانه پنهان می‌کند. هنگامی‌که این بدافزار اجرا می‌شود شروع به یک شناسایی گسترده در دستگاه می‌کند و به شمارش طیف وسیعی از پارامترها در آن می‌پردازد با این هدف که درصورتی‌که شرایط خاصی در سامانه مورد هدف موجود باشد، اجرای خود را متوقف کند.

بارداده‌ی آن با بهره‌برداری از آسیب‌پذیری با شناسه‌های CVE-۲۰۱۴-۴۱۱۳ و CVE-۲۰۱۵-۱۷۰۱ از ابزار UAC (کنترل حساب کاربری) ویندوز گذر می‌کند تا به امتیاز مدیریت در دستگاه هدف دسترسی پیدا کند. اکنون بدافزار شروع به انجام عملیات سنگین خود می‌کند.
بر اساس گزارش‌های تجزیه و تحلیل SentinelOne: «این نمونه به‌گونه‌ای توسعه داده شده است که بتواند از تشخیص‌های ثابت و رفتاری بگریزد. بسیاری از شگردهای ضد جعبه شنی در آن استفاده شده است. تحلیلگران با تکیه‌ی صرف بر راه‌حل‌های جعبه شنی ممکن است از قابلیت‌های کامل این نمونه بدافزار غافل بمانند. دو آسیب‌پذیری شناخته‌شده (CVE-۲۰۱۴-۴۱۱۳ و CVE-۲۰۱۵-۱۷۰۱) در این نمونه یافت شده‌اند که یکی از آن‌ها UAC را دور می‌زند».

SentinelOne یک بررسی جامع انجام داده است تا ابهام‌های موجود در دستگاه میزبان را برطرف کند .اولین بررسی در مورد قابلیت جعبه شنی و ماشین‌های مجازی است تا بتوانند آن را از چشم کنجکاو تحلیلگران نرم‌افزارهای مخرب دور نگه دارند. اگر این بدافزار متوجه آن شود، متوقف شده و بخش .data آن رمزنگاری می‌شود. در زمان‌های مناسب ضدبدافزارها فعال و غیرفعال می‌شوند تا احتمال تشخیص را پایین آورند.
این بدافزار دارای ویژگی‌های جالب‌توجه دیگری است. برای مثال قابلیت اتصال DLL دارد. بارگذاریِ پویای DLL یک روش عمومی است که به‌وسیله‌ی محصولات ضدبدافزاری برای تشخیص رفتارهای مخرب به کار گرفته می‌شود. Furtim به جستجوی DLL‌های تزریق‌شده بر روی ایستگاه کاری قربانی می‌پردازد. اگر یک بدافزار که از این قابلیت استفاده می‌کند کشف شود، نتیجه برای استفاده‌ی آتی ذخیره‌شده تا در آینده برای بهبود عملکردهای این بدافزار به کار گرفته شود.
با بررسی دستی، یک روند دوم اتصال DLL نیز به در این بدافزار کشف شده است. بررسی‌های بیشتر نیز شامل بررسی دیسک‌های سخت جهت کشف سازنده‌ی آن‌ها برای تشخیص دیسک‌های سخت مجازی نظیر Vmware و همین‌طور بررسی ‌BIOS برای تشخیص مجازی‌سازی می‌شوند.
با تمام ویژگی‌های خاصی که ابزار dropper بدافزار Furtim دارا می‌باشد، موجب تعجب خواهد شد اگر بتوان یک هدف مشخص از این ویژگی‌ها استخراج کرد. SentinelOne تمایلی ندارد تا به کسانی که در پشت این بدافزار قرار دارند اشاره کند و فقط اشاره‌ کرده است که روش‌ها و پیچیدگی‌های Furtim «قابل‌ملاحظه» هستند.
این احتمال وجود دارد که منابع موردنیاز برای تحقیق، توسعه یا کامل کردن Furtim در سطح توانایی یک گروه وابسته به یک دولت باشند اما با هشدارهای اخیر جامعه امنیت در مورد این‌گونه استنادها، عاقلانه است که آنچه را که در اختیار داریم بررسی کرده و منتظر تصمیم‌گیری تحلیلگران شویم.
به گفته‌ی SentinelOne بدافزار Furtim در حالی کشف شده است که دست‌کم به یکی از شرکت‌های انرژی در اروپا حمله کرده است. بنابراین جای تعجب ندارد که تصور کنیم حملات به بخش انرژی رفته رفته به میزان بیشتری شایع می‌شوند. جالب‌ توجه است که در تحلیل‌های گذشته که توسط یوتام گوتسمن صورت گرفته است گفته شده که اطلاعات رمزنگاری‌شده در مورد اهداف آن به یک دامنه‌ی روسی فرستاده شده که به تعدادی از نشانی‌های آی‌پی اوکراینی تجزیه می‌شود. اما همچنان که یوتام اشاره می‌کند، شما هرگز نمی‌توانید مطمئن باشید که این یک اتصال درست به یک منطقه‌ی خاص است و یا اینکه ترفندی برای حقه زدن به تحلیلگران بدافزار است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.