درحالیکه به پایان سال 2018 نزدیک میشویم، خوب است نگاهی بیندازیم به حملات، بدافزارها و Exploitهایی که پژوهشگران SophosLabs در طول این سال کشف کردهاند. در این گزارش سه مفهوم کلی از روند حملات سایبری بررسی میگردد که به نظر میرسد بیشتر مورد استفاده قرار گرفتهاند: استفاده از تکنیکهای حملهی دستی به جای دیگر مکانیزمهای ارائه برای نصب باجافزار؛ اتخاذ بیشتر تکنیکهای به اصطلاح Living Off The Land توسط بخش گستردهای از شبکههای توزیع بدافزار که در واقع یک نوع حملات هدفمند سایبری است و در آن مهاجم از ابزارهایی که قبلا روی سیستم هدف نصب شده استفاده می کند و کمترین فایل ممکن را سرقت می کند تا شناسایی نشود؛ و همچنین افزایش تهدید استخراج ارزهای دیجیتال و Botnetهایی که روی پلتفرمهای تکنولوژی غیرمعمول مانند دستگاههای موبایل یا سختافزارهای درون شبکه مانند Routerها تاثیر میگذارند.
حملات هدفمند و دستی
گزارش در مورد SamSam که در سال 2018 منتشر شده بود، نتیجهی تقریبا سه سال مشاهده، تجزیهوتحلیل و اعمال پشتیبانی توسط تیمی تشکیل شده از بخشهای مختلف Sophos بود. در این پژوهش به این مسئله توجه شد که در آن زمان، توجه خاصی به تواناییهای یک مدیر سیستم باتجربه وجود داشت و همچنین در هنگام تست نفوذپذیری، Red Team ابتدا وارد یک شبکهی سازمانی میگردد، Credentialهای مدیر را به دست میآورد و سپس، از دسترسیهای مدیریتی برای دستکاری تنظیمات امنیتی داخلی آن شبکه استفاده مینماید. در این روش، با اینکه حملات کمتری رخ میداد، اما نتیجهها بسیار مخربتر بود و مهاجم میتوانست باج بسیار بیشتری درخواست کند. نسلهای پیاپی بدافزارها نیز، تدریجا تکامل یافته و در طول زمان کارآمدتر و مخربتر شدند.
پس از انتشار آن گزارش، به نظر میرسید که مهاجم سازنده SamSam سرعت حملات را کاهش داد، اما تعدادی از مهاجمان از همین تکنیکها استفاده نمودند و همچنان شبکههای بزرگی را برای حمله هدف قرار دادند. نکتهی مشترک بین تمامی این مهاجمان این بود: تمام گروههای حملهکننده با پیدا کردن یک کلاینت ویندوزی واحد که از اینترنت قابلیت دسترسی و ورود به آن وجود داشت و با استفاده از Remote Desktop Protocol، حملهی خود را آغاز میکردند.
استفاده از ابزارهای ویندوز در دسترس
مدت زیادی است که برخی مهاجمان منتشرکنندهی بدافزار از تکنیکهایی که در تمام رایانههای ویندوز مدرن متداول است به عنوان یک راه برای ارسال بدافزار استفاده مینمایند. اما در سال 2018 مهاجمانی که ایمیلهای مخرب را ارسال میکردند بهجای استفاده از یک فایل اجرایی مخرب، مجموعهای از لینکها، اسکریپتهای غیرقابل اجرا، مستندات مایکروسافت آفیس آلودهشده و Office Document Macros برای انجام حملاتی زنجیرهوار که پیچیدگی و تنوع آن مشکلات زیادی برای تشخیص آنها به وجود میآورد، را ارسال میکنند.
حملات کنونی معمولا از ترکیبی از PowerShell، Windows Script Host و Mal-Docs برای ساختن زنجیرهی از حملات مخرب ساخته و طراحی شدهاند، تا از سد دفاعی بگذرند و از متداولترین روشهایی که میتوان با آنها حملات را متوقف کرد و جلوی پیشرفتشان را بگیرد، عبور کنند.
پلتفرمهای موبایل و IoT به عنوان Cryptojackerهای سطح پایین
ارزش ارزهای دیجیتال، مانند Bitcoin یا Monero نوسانات شدیدی دارد، اما مجرمان همچنان خواهان پولی هستند که از کاربران نصیبشان میشود، به همین دلیل افزایشی در حجم Payloadهای ناشی از بدافزار برروی دستگاه کاربران مشاهده شده است که از قدرت رایانهها (هر چقدر هم که اندک باشد) استفاده مینمایند تا به آرامی محاسبات پیشرفتهای را که برای دادهکاوی Cryptocurrency مورد استفاده قرار میگیرد انجام دهند. این فعالیت را با عنوان Cryptojacking، برای فعالیتهای دستگاههایی که با این هدف به آنها نفوذ شده است، مینامند و همچنین شاهد روندی بودهایم که در آن Cryptojacking روی دستگاههای غیرمعمولی مانند Routerهای خانگی، Storage متصل به شبکه و دوربینها یا DVRهای شبکه تاثیرگذار بوده است.
گوشیهای موبایل از اهمیت ویژهای برخوردار هستند زیرا کدهای Cryptojacking به طور مخربی عمر باتری و عملکرد دستگاههای موبایل را کاهش میدهد و این چیزی است که کاربران گوشی به احتمال زیاد متوجه آن میشوند، اما آن را به این نوع حملات ارتباط نمیدهند. به طور کلی، Cryptojacking هزینههای دادهکاوی را (هم از نظر عملکرد و هم استهلاک) به قربانیان منتقل نموده و برای هیچ فردی به غیر از Cryptojacker که نتیجه کار Minerها (دادهکاوها) به آرامی در حساب بانکیاش جمع میشود، مزیتی ندارد.
