Image

با دوستان خود به اشتراک بگذارید

درباره تروجان خطرناک Slingshot و قابلیت های آن

یکی از جالب ترین سخنرانی های محققان کسپرسکی در  کنفرانس  Kaspersky Security Analyst Summit امسال، گزارشی بود از خرابکاری سایبری بسیار پیچیده به نام Singleshot .

بردار حمله
اولین بخشی که باید متوجه آن باشید، وسیله نفوذ آلودگی ست. چیزی که این بردار حمله اولیه را خاص می کند این است که با توجه به تحقیقات کسپرسکی خیلی از قربانیان از طریق روتر ساخته شده توسط MikroTik مورد حمله قرار گرفتند. روتر ها فایل های DLL مختلف را در روند های نرمال تجاری دانلود و اجرا می کنند. مهاجمان راهی برای به خطر انداختن دستگاه پیدا کردند، از طریق افزودن یک DLL مخروب به بسته های قانونی DLL . DLL آلوده دانلود کننده فایل های مخرب متفاوتی است که در روتر ذخیره می شوند.
در اینجا ما باید این مشکل را به سازنده روتر گزارش بدهیم و MikroTik  قبلا با این مشکل مواجه بوده است. با اینحال، متخصصان کسپرسکی اعتقاد دارند MikroTik تنها برندی نیست که توسط عاملان Slingshot استفاده می شود، ممکن است دستگاه های قربانی شده دیگری نیز وجود داشته باشند.

یکی دیگر از جنبه های جالب Slingshot ، حقه ای ست که برای اجرای بدافزار در حالت کرنل بکار می گیرد. در سیستم عامل های بروزرسانی شده اینکار تقریبا غیرممکن است، اما این بدافزار کامپیوتر ها را برای درایو های آسیب پذیر جستجو می کند و از آنها برای اجرای کد خود استفاده می کند .

ابزارهای مخرب
در میان تروجان هایی که Slingshot استفاده می کند، دو شاهکار وجود دارند: یک ماژول حالت کرنل Cahnadr و GollumApp و یک ماژول حالت کاربر.

در زمان اجرای حالت کرنل، cahnadr به حمله کنندگان کنترل کامل می بخشد تا بدون هیچ محدودیتی به کامپیوتر آلوده شده دسترسی داشته باشند. علاوه بر این، برخلاف اکثر نرم افزارهای مخرب که تلاش می کنند در حالت هسته کار کنند، می تواند بدون ایجاد یک صفحه آبی، کد را اجرا کند. ماژول دوم GollumApp از اینهم بسیار پیچیده تر است. این ماژول تقریبا شامل 1500 تابع کد کاربر است.

به لطف این ماژول ها، Slingshot  می تواند تصاویر، داده های صفحه کلید، داده های شبکه، رمزهای عبور، فعالیت های دیگر دسکتاپ، کلیپ بورد و خیلی اطلاعات دیگر را جمع آوری کند. همه اینها بدون بهره برداری از آسیب پذیری های Zero-day اتفاق می افتد. حداقل متخصصان کسپرسکی متوجه استفاده Slingshot از آنها نشدند.
 
 
 
مکانیزم ضد شناسایی
چیزی که Slingshot را بسیار خطرناک می کند، حقه های متعددی ست که عاملان آنها برای جلوگیری از شناسایی استفاده می کند. این بدافزار حتی می تواند مولفه های خود را، وقتی نشانه ای از جستجوی فورسنیک تشخیص می دهد، غیرفعال کند.

علاوه بر این، Slingshot از فایل های رمزگذاری شده خود در یک بخش استفاده نشده ازهارد دیسک استفاده می کند. برای کسب اطلاعات بیشتر در مورد Slingshot مجله Secularist را بخوانید

چگونه با APT ها از جمله  Slingshot مقابله کنیم
1-اگر از روتر MikroTik و نرم افزار مدیریت WinBox استفاده می کنید، آخرین نسخه آن برنامه را دانلود کنید و مطمئن شوید که روتر به آخرین نسخه سیستم عامل خود بروز شده است. با این حال، بروزرسانی شما را تنها از یک بردار حمله نه از خود APT محافظت می کند.
  • 2-Kaspersky Anti Targeted Attack: KATA   به شما امکان می دهد، ناهنجاری های ترافیکی شبکه خود را بیابید، فرآیند های مشکوک را جدا کنید و بین حوادث ارتباط برقرار کنید.
  • 3-برای محافظت از کسب و کار خود در برابر حملات پیچیده هدفمند، باید رویکردی راهبردی اجرا کنید. ما پلتفرم مدیریت تهدید و دفاع را ارائه می دهیم. این پلتفرم شامل Kaspersky Anti Target Attack: KATA  و Kaspersky Endpoint Detection and Response solution و  خدمات تخصصی می شود.
  • 4-Kaspersky Endpoint Detection and Response برای جمع آوری و بتصویر کشیدن داده های جمع آوری شده استفاده می شود. و به لطف خدمات تخصصی کسپرسکی، شما می توانید در هر زمان در صورت بروز حوادث خطرناک، کارمندان مرکز نظارت خود را آموزش دهید و آگاهی کارمندان شرکت را به طور کل بالا ببرید. اطلاعات بیشتر در مورد این راهکارها را اینجا مشاهده کنید.
 

با دوستان خود به اشتراک بگذارید