کشف یک درب پشتی سارق اطلاعات در مک OS X

محققان روز چهارشنبه اعلام کردند نسخه مربوط به OS X از خانواده درب پشتی را کشف کرده‌اند که در چند بستر وجود دارد. استفان اورتلوف، یکی از محققان گروه تحلیل و تحقیق جهانی آزمایشگاه Kaspersky، در ماه ژانویه موفق به شناسایی این خانواده‌ی درب‌های پشتی با نام Mokes شد، اما نسخه سامانه‌ی عامل OS X آن، روز سه‌شنبه کشف شد. اورتلوف در مجموعه‌ای از یادداشت‌ها در Securelist، در مورد این درب‌های‌پشتی نوشت که شامل لینوکس و نسخه‌های مختلف از ویندوز و نوع جدید در OS X می‌شد.

در‌پشتی نسخه‌ی OS X همانند انواع نسخه‌های لینوکس و ویندوز، قادر به گرفتن پرونده‌های صوتی و تصویری در هر ۳۰ ثانیه، از دستگاه قربانی است.

Mokes هم‌چنین می‌تواند حافظه‌ی قابل حمل را نیز کنترل کند مانند زمانی که یک USB به رایانه متصل می‌شود، و حتی توانایی نظارت بر پرونده‌ها‌ی سامانه برای آفیس را دارد مانند پرونده‌های docx ،.doc ،.xlsx و .xls.

این درپشتی می‌تواند فرامین دلخواه مهاجم را بر روی سامانه اجرا کند. مهاجم مذکور می‌تواند این فرامین را با اطلاعاتی که از طریق فیلتر‌ها در کارگزار کنترل و فرمان‌دهی درپشتی بدست آورده است مطابق نیاز خود تنظیم کند.

اورتلوف بیان می‌کند که نمونه‌ی OS X ی که مورد تحلیل قرار ‌داده‌، unpacked بوده اما درحالی‌که نسخه لینوکس که در ژانویه مورد تحقیق قرار داده بود، این نسخه عموما packed است. پس‌ از اجرا شدن ، در‌پشتی خود را در مکان‌های مختلف رونویسی می‌کند که شامل فضاهای ذخیره‌ی متعلق به اسکایپ، دراپ‌باکس، گوگل و فایرفاکس است. این روش مشابه با روش لینوکس است که پس از اجراشدن، خودش را در مکان‌های متعلق به دراپ‌باکس و فایرفاکس رونویسی می‌کند.

پس از این‌که از طریق HTTP بر روی TCP و درگاه ۸۰ با کارگزار کنترل و فرمان ارتباط را آغاز می‌کند،‌ این درپشتی از طریق TCP و درگاه ۴۴۳ با استفاده از رمزنگاری AES-۲۵۶ ارتباط برقرار می‌کند.

اورتلوف پس از مشاهده‌ی انواع لینوکس و ویندوز انتظار داشت که نمونه‌ی مک OS X در ژانویه عرضه شود اما آن‌ها هیچ‌گاه پدیدار نشدند.

درست پس از به‌دست‌آوردن نسخه‌ی درپشتی .Linux.Mokes.a بود که اورتلوف قادر به استخراج و کشف نسخه درپشتی ویندوزی Win۳۲.Mokes.imv شد.

اورتلوف به بردار آلودگی درپشتی OS X و این‌که چقدر ردپاهای به جا مانده گسترده هستند را بدست نمی‌آورد. با این‌حال، بر اساس تعریف او، درپشتی Mokes OS X، بدافزاری پیچیده است. درخواستی که روز چهارشنبه برای شرکت اپل در رابطه توضیحات پیرامون این درپشتی فرستاده شد، هنوز پاسخ داده نشده است. از آن‌جا که مهاجمان به دنبال کشف رخنه‌های موجود در OS X و بیشتر بر روی iOS بوده‌اند، درهای پشتی OS X کمتر دیده شده‌اند. در سال ۲۰۱۲ محققان امینی در آزمایشگاه Kasrepsky یک پویش APT را کشف کردند که از یک در پشتی OS X برای هدف قرار دادن فعالان Uyghur استفاده می‌کردند. این درپشتی از طریق رایانامه‌های مورد هدف قرارگرفته که شامل پرونده‌های zip. و jpeg. و برنامه‌های OS X بودند، به گردش در‌می‌آمد؛ و پس از اجرا شدن به کارگزار کنترل و فرمان نرم‌افزار متصل شده و به مهاجم اجازه می‌داد تا فرمان‌های اختیاری خود را انجام دهد و به پرونده‌های دستگاه آلوده‌شده دسترسی داشته باشد.

در مجموع، بدافزار مک به‌عنوان تهدیدی قابل‌لمس در طی سالیان اخیر نمود پیداکرده است. WireLurker که توسط محققین در Palo Alto Networks کشف شد، قادر به سرقت اطلاعات سامانه و اطلاعات ذخیره‌شده در دستگاه‌های تلفن همراهی بود که از iOS استفاده می‌کردند. دو تهدید دیگر نیز توسط شرکت یافت شدند که اولین مورد XcodeGhost است که کد‌های مخرب را به تعدادی از نرم‌افزار‌های محبوب iOS اضافه می‌کرد. تهدید دوم YiSpecter است که از گواهی برنامه‌های پروژه اپل برای آلودگی به تبلیغ‌افزارها استفاده می‌کرد.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.