کارشناسان در مورد بدافزارهای فوق‌العاده پنهان آینده هشدار می‌دهند!

کارشناسان امنیتی در مورد بدافزارهای اخیراً کشف شده‌ای که اعتبارنامه‌ها را سرقت می‌کنند و اولویت خود را پنهان‌کاری می‌دانند هشدار داده‌اند. این بدافزارها در سامانه VirusTotal نرخ کشف صفر درصد را داشته‌اند.
بر اساس گزارش محقق شرکت enSilo، به نام تویام گتسمن، بدافزار فورتیم (Fortim) که یک واژه‌ی لاتین برای پنهان‌کاری است، اولین بار توسط یک محقق با شناسه @hFireF۰X کشف شد و شامل یک راه‌انداز، یک بارگیری‌کننده و سه بار داده بود.
این بار داده‎ها عبارتند بودند از: یک ابزار تنظیمات صرفه‌جویی در انرژی که تضمین می‌کند دستگاه قربانی همیشه روشن باشد و با کارگزار C&C فورتیم ارتباط برقرار کند؛ Pony Stealer که یک ابزار سرقت‌کننده‌ی قدرتمند اعتبارنامه‌های تجاری است و پرونده سوم که با کارگزار ارتباط را برقرار می‌کند ولی هنوز به طور کامل مورد تجزیه و تحلیل قرار نگرفته است.
گوتسمن ادعا می‌کند؛ جالب توجه این است که فورتیم به شدت راه پنهان‌کاری را طی می‌کند و بسیار فراتر و بدتر از سایر بدافزارها در بررسی‎های انجام شده توسط ۴۰۰ ابزار امنیتی برای کشف آن روی دستگاه هدف عمل می‌کند.
این بدافزار دسترسی نزدیک به ۲۵۰ وب‌گاه بررسی امنیتی را با جایگزین کردن پرونده میزبانی ویندوز مسدود می‌کند و با بررسی و جایگزین کردن همه‌ی نام‎های کارگزار پالایش‎کننده‌ی شناخته شده از میان اسامی کارگزارهای عمومی، از سرویس پالایش DNS جلوگیری می‌کند.
این محقق شرکت enSolo ادامه می‌دهد که به محض اینکه این بدافزار نصب شود، هر نوع برنامه‌ای را جهت خاموش و روشن کردن دستگاه لغو می‌کند تا مطمئن شود که بار داده بارگیری شده اجرا خواهند شد و اعلان‌های ویندوز را غیرفعال می‌کند و مانع از دسترسی کاربر به خط فرمان و مدیریت وظیفه می‌شود و بنابراین آن‎ها نمی‌توانند هیچ فرآیند بدافزاری مخرب را از کار بیاندازند.
همچنین کارگزار C&C تنها این بار داده را یک بار به یک دستگاه خاص ارسال می‌کند تا مانع از این شود که محققان نمونه‌ها را از کارگزار جمع‌آوری کنند.
ادعا شده است که مشخص نیست این بدافزار در اصل برای چه هدفی طراحی شده است، اگر چه مؤلفه‌ی Pony Stealer به خوبی در مرحله‌ی حرکت جانبی آن در حملات صورت گرفته کار می‌کند.
گوتسمن نتیجه می‌گیرد: «با توجه به اقدامات دفاعی که از سوی فورتیم صورت می‌گیرد، ما می‌توانیم تصور کنیم که این بدافزار بیشتر یک بارگیری کننده است که توسط کلاهبرداران استفاده می‌شود. عوامل تهدیدی که پشت فورتیم هستند، می‌دانند که بهتر و مهم‎تر است که به صورت پنهانی حرکت کنند، حتی اگر بتوانند در صورت حرکت آشکار اهداف بیشتری را مورد هدف قرار دهند. ما می‌دانیم که کارگزار C&C آن در دامنه‌های روسی میزبانی می‌شود که از چند نشانی IP اوکراینی استفاده می‌کند. علاوه بر این، ارتباطات آن به گونه‌ای پیکربندی شده‌ است که تماس با روس‌ها را بپذیرد».
بن جانسون، کارمند ارشد امنیتی شرکت Carbon Black ادعا کرده است که نفوذگران در ساخت و دور زدن شرایط بررسی سنتی بیشتر شبیه به مأموران مخفی عمل می‌کنند تا سارقان بانک‌های امروزی.
او اضافه می‌کند: «دقیقاً به همین دلیل است که سازمان‌ها باید به بررسی دائم و پیوسته روی تمام دستگاه‌های نقطه پایانی خود بپردازند، چرا که این تنها راه مطمئن برای مهار «زنجیره‌ی کشنده‌ی» حملات موفق است و به وسیله‌ی آن می‌توانند به ترسیم وضعیت موجود پرداخته و با حملات مقابله کنند. همچنین این موضوع یک یادآوری دیگر برای ماست تا بدانیم چرا به انجام فعالیت‌هایی خارج از فرایندهای معمول نیاز داریم و فعالانه شروع به شکار تهدیدها کنیم به طوری‎که بتوانیم هر نوع مشابه از تهدیدهای مخفیانه را که به صورت ناشناس روی سامانه‌ها قرار دارند، شناسایی کنیم».

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.