گرگ در لباس میش

بدافزار چگونه کاربران و آنتی ویروس را فریب می‌دهد

اخبار داغ فناوری اطلاعات و امنیت شبکه

از ترفندهایی که توزیع‌کنندگان بدافزار جهت آلوده‌کردن سیستم‌ها استفاده می‌کنند، فریب دادن قربانیان به دانلود و اجرای فایل‌های مخرب است که این مقاله به بررسی آنها می‌پردازد.

برخی از این ترفندها شامل مخفی کردن فایل‌های اجرایی بدافزار در قالب برنامه‌های کاربردی متداول، امضای آن‌ها با گواهی‌نامه‌های معتبر یا حتی هک نمودن سایت‌های قابل اعتماد جهت سوءاستفاده و بکارگیری از آنها به عنوان نقاط توزیع فایل‌های مخرب می‌باشد.

به گزارش سایت پویش و تحلیل بدافزار VirusTotal، برخی از این ترفندها در مقیاسی بسیار بزرگتر از آنچه در ابتدا تصور می‌شد اتفاق می‌افتند. سایت VirusTotal هر فایل ارسالی از سوی کاربران را در اکثر ضدویروس‌های مطرح بررسی کرده و گزارش شناسایی یا عدم شناسایی آن‌ها را در اختیار کاربر قرار می‌دهد.

سایت VirusTotal، گزارشی را در بازه زمانی ۱۲ دی ۱۳۹۹ تا ۱۰ تیر ۱۴۰۱ بر اساس دو میلیون فایل ارسالی از سوی کاربران در روز، گردآوری نموده و روند نحوه توزیع بدافزار را نشان می‌دهد.

بهره‌جویی از دامنه‌های معتبر

توزیع بدافزار از طریق ‌سایت‌های معتبر، محبوب و با رتبه بالا به مهاجمان این امکان را می‌دهد تا فهرست‌های مسدود شده مبتنی بر IP را دور بزنند و همواره در دسترس باشند و سطح اعتماد بیشتری را جلب کنند.

سایت VirusTotal، بر اساس فهرست هزار سایت محبوب و برتر (Alexa top 1000 websites) و از میان ۱۰۱ دامنه متعلق به این سایت‌ها، ۲.۵ میلیون فایل مشکوک دانلود شده را شناسایی کرد. قابل‌توجه‌ترین موردی که از آن بیشترین سوءاستفاده صورت گرفته، Discord است که به کانون توزیع بدافزار تبدیل شده است. پس از آن سرویس‌دهنده میزبانی کننده سرورها و خدمات ابری Squarespace و Amazon در رتبه‌های بعدی قرار دارند.

استفاده از گواهی‌‌نامه‌های معتبر سرقت شده

امضای نمونه‌های بدافزاری با گواهی‌نامه‌های معتبر سرقت شده، روشی دیگر جهت فرار از تشخیص توسط ضدویروس‌ها و هشدارهای صادر شده از سوی راهکارهای امنیتی است.

در میان تمام نمونه‌های مخرب آپلود شده در VirusTotal در بازه زمانی مذکور، بیش از یک میلیون مورد امضاء شده و ۸۷٪ از آنها از یک گواهی‌نامه‌ معتبر استفاده کرده‌اند. گواهی‌نامه‌های رایج بکارگرفته شده در امضای نمونه‌های مخرب ارسال شده به سایت مذکور عبارتند از Sectigo ،DigiCert ،USERTrust و Sage South Africa.

مخفی شدن در قالب نرم‌افزارهای معتبر و محبوب

مخفی کردن یک بدافزار قابل اجرا در قالب یک برنامه‌کاربردی معتبر و محبوب در سال ۲۰۲۲ روند صعودی داشته است.

قربانیان با تصور اینکه برنامه‌های مورد نیاز خود را دریافت می‌کنند، این فایل‌ها را دانلود کرده، اما با اجرای فایل‌های نصب‌کننده نرم‌افزار، سیستم‌های خود را به بدافزار آلوده می‌کنند. برنامه‌های کاربردی که مهاجمان بیشترین سوءاستفاده را از آنها کرده‌اند اغلب دارای نشان (Icon) مربوط به محصولات Skype ،VLC ، Adobe Acrobat و ۷zip می‌باشند.

برنامه محبوب بهینه‌سازی Windows به نام CCleaner که اخیراً در کارزاری مورد بهره‌جویی قرار گرفته نیز یکی از گزینه‌های محبوب هکرها است و نسبتاً آلودگی و توزیع فوق العاده بالایی را به دنبال داشته است.

مهاجمان در کارزار مذکور از تکنیک‌های موسوم به Black Hat SEO پیروی کردند تا ‌سایت‌های بکارگرفته شده جهت توزیع بدافزار خود را در نتایج جستجوی Google در رتبه‌بندی بالایی قرار دهند و به این ترتیب افراد بیشتری فریب خورده و فایل‌های اجرایی مخرب را دانلود کنند.

فریب کاربران از طریق فایل‌های نصب معتبر

در نهایت، ترفند دیگر پنهان کردن بدافزار در فایل‌های نصب برنامه‌های معتبر و اجرای پروسه هک در پس‌زمینه (Background) در حالی که برنامه‌های واقعی در پیش‌زمینه (Foreground) در حال اجرا هستند، می‌باشد. این تکنیک ضمن فریب قربانیان منجر به بی‌اثر شدن برخی موتورهای ضدویروس که ساختار و محتوای فایل‌های اجرایی را بررسی نمی‌کنند، می‌شود.

بر اساس آمار VirusTotal، به نظر می‌رسد که این روش امسال نیز در حال افزایش است و از Google Chrome ،Malwarebytes ،Windows Updates ،Zoom ، Brave ،Firefox ،ProtonVPN و Telegram به عنوان طعمه استفاده می‌کنند.

چگونه ایمن بمانیم؟

هنگامی که به دنبال دانلود نرم‌افزار هستید، یا از فروشگاه موجود در سیستم‌عامل خود استفاده کنید یا آن را از صفحه دانلود رسمی برنامه، دریافت نمایید. همچنین، مراقب تبلیغاتی که در نتایج جستجو ممکن است رتبه بالاتری داشته باشند، باشید زیرا سایت‌ها به راحتی توسط مهاجمان قابل جعل هستند و کاملاً شبیه سایت‌های معتبر به نظر می‌رسند.

پس از دانلود یک فایل نصب‌کننده نرم‌افزار، همیشه قبل از اجرای فایل، یک پویش ضدویروس بر روی آن انجام دهید تا مطمئن شوید که حاوی بدافزار نیستند. در نهایت، از بکارگیری نسخه‌های کرک شده، نرم‌افزارهای قفل شکسته و غیرمجاز خودداری کنید زیرا معمولاً منجر به انتقال بدافزار می‌شوند.

 

بیشتر بخوانید

حملات بزرگتر و قدرتمندتر DDoS توسط بات‌نت کوچک Mantis

بات‌نت Mantis، سه هزار حمله DDoS را در یک ماه تنها با استفاده از ۵۰۰۰ بات کوچک راه‌اندازی کرده و از آن پس، Cloudflare این بات‌نت را به عنوان “قوی‌ترین بات‌نت که تا به امروز شناخته شده” نامید.

بر اساس شبکه توزیع محتوای Cloudflare، یک بات‌نت که تحت نام یک میگوی کوچک که بسیار قدرتمند است نامگذاری شده، بزرگترین حملات DDoS را انجام داده است. این بات‌نت که Mantis نامیده می‌شود، تا کنون حدود ۱۰۰۰ مشتری Cloudflare را در چند هفته گذشته هدف قرار داده است.

این شرکت فاش کرد که یک حمله DDoS کوتاه اما رکوردشکنی را که در ژوئن به اوج خود با عدد ۲۶ میلیون rps (درخواست در ثانیه) رسید، خنثی کرد. از زمان آن حمله، شرکت زیرساخت اینترنتی مانتیس را ردیابی کرده است.

اگر تعجب می‌کنید که چرا Cloudflare آن را به نام Mantis لیزر‌لگ نامگذاری کرده است، این شرکت فاش کرد که این بات‌نت شبیه مریس (Meris) است، بنابراین این نام منشأ آن و قابلیت ضربه محکم و سریع را نشان می‌دهد.

مانتیس از اینترنت‌اشیا استفاده نمی‌کند
مجموعه Cloudflare در پست وبلاگ خود توضیح داد که بات نت Mantis شامل نزدیک به پنج هزار دستگاه در معرض خطر است. عمدتاً به جای استفاده از دستگاه‌های اینترنت‌اشیا با پهنای باند کم مانند روتر‌ها و دستگاه‌های DVR، سرور‌های مجازی و ماشین‌های میزبانی شده توسط شرکت‌های ابری را ربوده است.

لازم به ذکر است که بات نت Meris از دستگاه‌های IoT از جمله روتر‌های MikroTik ربوده شده برای حمله به وب سایت‌های محبوب استفاده می‌کرد. این بات نت همچنین پشت حمله گسترده DDoS به Yandex، یک موتور جستجو و شرکت فناوری محبوب روسی بوده است.

به همین ترتیب، بات‌نت Mantis از طریق «ناوگان کوچکی از بات‌ها» عمل می‌کند که می‌توانند به سرعت نیروی عظیمی ایجاد کنند و حملات HTTP DDoS در مقیاس بزرگ را راه‌اندازی کنند، که در واقع «از لحاظ محاسباتی هزینه‌برتر» هستند زیرا مهاجم باید یک لایه انتقال رمزگذاری شده ایجاد کند. اتصال امنیتی بنابراین، به نظر می‌رسد آغاز مرحله بعدی در تکامل بات نت Meris باشد.

مانتیس به انواع پلتفرم‌های VM منشعب شده و از اجرای پراکسی‌های HTTP مختلف برای انجام حملات پشتیبانی می‌کند.

اهداف بات نت Mantis
مجموعه Cloudflare گزارش داد که در ماه ژوئن، بات‌نت Mantis بیش از ۳۰۰۰ حمله HTTP DDoS را انجام داد و ۳۶ درصد از این حملات علیه بخش‌های مخابراتی و اینترنتی، ناشران بازی و سازمان‌های خبری بوده که هدف قرار گرفته‌اند. علاوه بر این، وب‌سایت‌های سازمان‌های فرانسوی، سایت‌های قمار و پلتفرم‌های تجارت الکترونیک را هدف قرار داده است.

علاوه بر این، نزدیک به ۲۰٪ از اهداف بات نت Mantis سازمان‌هایی در ایالات متحده و ۱۵٪ از سازمان‌های روسی بودند. حدود ۵ درصد از اهداف در موارد زیر شناسایی شدند:

هندوستان
چین
برزیل
لتونی
بوقلمون
فرانسه
لهستان
اوکراین
قبرس
کانادا
سوئد
ویتنام
آلمان
فیلیپین
هنگ کنگ
هلند
انگلستان

مانتیس در مقابل میرای
بات نت جنجال برانگیز Mirai، بار‌ها و بار‌ها به تیتر خبر‌ها تبدیل شده است. بات‌نت Mirai پس از اولین حمله آن که بیش از ۱۰۰۰۰۰ دستگاه را برای راه‌اندازی یک DDoS عظیم علیه Dyn، شرکتی که خدمات DNS را ارائه می‌کند، به جهان معرفی شد. حمله DDoS به Dyn بزرگترین حمله DDoS ثبت شده در آن زمان بود که سرعت آن ۱. ۲ ترابیت بر ثانیه بود.

با این حال، بات‌نت Mantis با Mirai متفاوت است زیرا به جای دستگاه‌های IoT ربوده شده، بر آسیب‌پذیری‌های روتر‌ها و سایر دستگاه‌های متصل متکی است. این امر دفاع در برابر آن را دشوارتر می‌کند، زیرا اهداف بالقوه بسیار بیشتری وجود دارد.

با این حال، Cloudflare توانست ترافیک مخرب را قبل از رسیدن به اهداف خود شناسایی و مسدود کند. این دفاع موفق در برابر بات نت Mantis نشان می‌دهد که شرکت‌ها شروع به یادگیری از حمله Mirai کرده‌اند و اقداماتی را برای محافظت از خود انجام می‌دهند.

بیشتر بخوانید