شناسایی APT مخرب جاسوسی TunnelSnake
به گزارش خبرنگار حوزه دنیای ارتباطات گروه فضای مجازی باشگاه خبرنگاران جوان، گروهی از مهاجمان سایبری از سال ۲۰۱۹ در در کارزاری بنام TunnelSnake با به کارگیری حداقل یک روت کیت اختصاصی، به آلوده سازی سامانه های با سیستم عامل Windows اقدام کرده اند و جاسوسی و سرقت اطلاعات از آن ها را همچنان ادامه می دهند.
روت کیت ها (Rootkit) ابزارهای مخربی هستند که با اجرا شدن در سطح سیستم عامل، ضمن در اختیار گرفتن کنترل دستگاه، خود را از دید محصولات امنیتی مخفی نگاه می دارند. این روت کیت که کسپرسکی آن را Moriya نام گذاری کرده یک درب پشتی (Backdoor) منفعل است که مهاجمان را به جاسوسی از ترافیک شبکه ای قربانی و ارسال فرمان های موردنظر آنان قادر می کند.
به طور خلاصه Moriya به گردانندگان TunnelSnake اجازه می دهد تا ترافیک ورودی را در سطح هسته (Kernel Space) رصد و تحلیل کنند. سطح هسته یا همان Kernel Space جایی است که هسته سیستم عامل در آن قرار دارد و به طور معمول تنها کدهای مورد تأیید و دارای سطح دسترسی ویژه، اجازه اجرا شدن را در آن دارند.
تلاش مهاجمان سایبری برای ماندگار در شبکه قربانی
روت کیت Moriya فرمان های مهاجمان را از طریق بسته های دست کاری شده خاصی دریافت می کند که در نتیجه آن نیازی به برقراری ارتباط با یک سرور فرماندهی وجود ندارد. این ترفندها محدود به Moriya نیست و روند رو به افزایش تعداد مهاجمان نشان می دهد که آنان تلاش می کنند در مجموعه ابزارهای خود (با متفاوت و پیچیده ساختن تکنیک ها) برای مدت ها بدون جلب توجه در شبکه قربانی ماندگار بمانند.
در کارزار TunnelSnake، برای از کار انداختن و متوقف کردن اجرای پروسه های ضدویروس، از بدافزاری با عنوان ProcessKiller بهره گرفته و همچنین برای گسترش دامنه آلودگی و شناسایی دستگاه های آسیب پذیر، از ۴ ابزار دیگرکمک گرفته شده است. تعداد سازمان هایی که کسپرسکی، Moriya را در شبکه آنها شناسایی کرده است کمتر از ۱۰ مورد هستند و همه آن ها سازمان های مطرحی چون نهادهای دیپلماتیک در آسیا و آفریقا بوده اند.
نشانه های آلودگی، لینک مشروح گزارش کسپرسکی و همچنین منابع آشنایی با کارزار TunnelSnake در پایگاه اینترنتی مرکز مدیریت راهبردی افتا به آدرس : https://www.afta.gov.ir/portal/home/?news/۲۳۵۰۴۶/۲۳۷۲۶۶/۲۴۳۶۱۳/ قابل دریافت و مطالعه است.
بیشتر بخوانید
انتهای پیام/
روت کیت ها (Rootkit) ابزارهای مخربی هستند که با اجرا شدن در سطح سیستم عامل، ضمن در اختیار گرفتن کنترل دستگاه، خود را از دید محصولات امنیتی مخفی نگاه می دارند. این روت کیت که کسپرسکی آن را Moriya نام گذاری کرده یک درب پشتی (Backdoor) منفعل است که مهاجمان را به جاسوسی از ترافیک شبکه ای قربانی و ارسال فرمان های موردنظر آنان قادر می کند.
به طور خلاصه Moriya به گردانندگان TunnelSnake اجازه می دهد تا ترافیک ورودی را در سطح هسته (Kernel Space) رصد و تحلیل کنند. سطح هسته یا همان Kernel Space جایی است که هسته سیستم عامل در آن قرار دارد و به طور معمول تنها کدهای مورد تأیید و دارای سطح دسترسی ویژه، اجازه اجرا شدن را در آن دارند.
تلاش مهاجمان سایبری برای ماندگار در شبکه قربانی
روت کیت Moriya فرمان های مهاجمان را از طریق بسته های دست کاری شده خاصی دریافت می کند که در نتیجه آن نیازی به برقراری ارتباط با یک سرور فرماندهی وجود ندارد. این ترفندها محدود به Moriya نیست و روند رو به افزایش تعداد مهاجمان نشان می دهد که آنان تلاش می کنند در مجموعه ابزارهای خود (با متفاوت و پیچیده ساختن تکنیک ها) برای مدت ها بدون جلب توجه در شبکه قربانی ماندگار بمانند.
در کارزار TunnelSnake، برای از کار انداختن و متوقف کردن اجرای پروسه های ضدویروس، از بدافزاری با عنوان ProcessKiller بهره گرفته و همچنین برای گسترش دامنه آلودگی و شناسایی دستگاه های آسیب پذیر، از ۴ ابزار دیگرکمک گرفته شده است. تعداد سازمان هایی که کسپرسکی، Moriya را در شبکه آنها شناسایی کرده است کمتر از ۱۰ مورد هستند و همه آن ها سازمان های مطرحی چون نهادهای دیپلماتیک در آسیا و آفریقا بوده اند.
نشانه های آلودگی، لینک مشروح گزارش کسپرسکی و همچنین منابع آشنایی با کارزار TunnelSnake در پایگاه اینترنتی مرکز مدیریت راهبردی افتا به آدرس : https://www.afta.gov.ir/portal/home/?news/۲۳۵۰۴۶/۲۳۷۲۶۶/۲۴۳۶۱۳/ قابل دریافت و مطالعه است.
بیشتر بخوانید
انتهای پیام/
گفتگو با هوش مصنوعی
💬 سلام! میخوای دربارهی «شناسایی APT مخرب جاسوسی TunnelSnake» بیشتر بدونی؟ من اینجام که راهنماییت کنم.