اکسپلویتی غیر معمول که بانک های آسیایی را مورد حمله قرار داد
شنبه, 23 بهمن,1395
در سپتامبر 2016، توانستیم تعداد زیادی از حملات را که آفریقا و آسیا را مورد هدف خود قرار داده بودند، شناسایی کنیم. در میان قربانیان این حملات، سازمان های دولتی و بانک های مختلف هم درگیر شده بودند. تمام این حملات با استفاده از اکسپلویت های صفرروزه برای ارسال InPage ( نرم افزار درخواست کار است که به زبان های فارسی، اردو، پشتو و عربی نوشته شده است) از طریق ایمیل انجام می گرفت.
ایمیل های مخربی که در این حمله ارسال شده بود کشورهای Myanmar، Sri-Lanka و Uganda مورد هدف قرار داده بود که شامل اسناد آلوده با فرمت های مختلف و InPage بود. اکسپلویت ها را همه به خوبی می شناسیم و می دانیم شناسایی آن ها بارها اتفاق افتاده است اما جالب توجه است که اکسپلویت InPage تا به حال شناسایی نشده بود و این اولین بار است که توسط یک راهکار قوی یافت می شود. نرم افزار امنیتی کسپرسکی این اکسپلویت را از طریق شل کد1 ایجاد شده در بدافزار با عنوان HEUR:Exploit.Win32.Generic شناسایی کرد.
این اولین بار نیست که یک اکسپلویت بخش های حساس کشورهای مختلف را مورد حمله قرار می دهد و از آن ها سوء استفاده می کند. یکی دیگر از نمونه های برجسته ی اکسپلویت ها Hangul Word Processor (پردازشگر متن کره جنوبی) بود که در کمپین Icefog گسترش یافت.
یک نرم افزار تخصصی با دقت را می توان در صنایع خاص به گونه ای به کار برد که به هدفمندان اجازه دهد حملاتی محدودتر و در نهایت کنترل بیشتری بر کمپین های مخرب داشته باشند. در مورد InPage هم، صنایع خاص بانک ها و سازمان های دولتی بودند که به دام مجرمان افتادند و همین متد را پیش گرفتند.
برخلاف حملات صفر روزه در نرم افزارهای مانند Flash و ویندوز که سرعت پتچ آن ها بالا است، اکسپلویت ها اینگونه نیست و برای نرم افزارهای غیر معمول مثل InPage می توانند در مدت زمان طولانی تری پتچ شوند. استفاده ی کم و حداقل کاربرد نرم افزارهای این چنینی می تواند به این معنی باشد که آن ها به سختی شناسایی می شوند و بازیابی آن ها زمانبر است.
خوشبختانه انواع مختلف اکسپلویت ها به لطف نرم افزارهای امنیتی کسپرسکی قابل شناسایی هستند و کاربران کسپرسکی می توانند به راحتی محافظت شوند. با این حال ممکن است در آینده، بسیاری از این اکسپلویت ها غیر قابل شناسایی طراحی شوند، پس بهتر است راه کارهای دیگری را هم لازمه ی فعالیت های خود در نظر بگیرید، به منظور اطمینان از ایمنی خود قواعد کلی زیر را اجرا کنید:
- تمام نرم افزارهایی که مدام در حال استفاده از آن ها هستید (مخصوصا سیستم عامل ) را به موقع و در فاصله زمانی کوتاه آپدیت کنید.
- دسترسی کاربران را در سیستم عامل ها محدود کنید.
- همیشه در حالت آماده باش باشید و لیستی از نقاط حیاتی خود در نظر بگیرید.
- برای ذخیره ی اطلاعات خود از نرم افزارهای امنیتی قوی و ابرها استفاده کنید.
- در خبرنامه ی هفتگی کسپرسکی به منظور دریافت اطلاعات و امنیت سایبری حرفه ای عضو شوید.
- بخش امنیت IT سازمان خود را به روز نگه دارید: امنیت سایبری مدرن اجازه می دهد که حتی تهدیدات ناشناخته را هم شناسایی کنید.
- آموزش اصول اولیه ی امنیت سایبری را به کارمندان خود فراموش نکنید: در نظر بگیرید که یک کارمند معمولی می تواند با باز کردن یک ایمیل مخرب کل سیستم های یک سازمان را آلوده سازد، پس اقدامات لازم را در این باره اجرا نمایید.
1.Shell Code یک تکه کد می باشد که در اکسپلویت کردن برنامه های آسیب پذیر استفاده میشود. به این خاطر گفته میشود Shell Code که به مهاجم اختیار کنترل سیستم را میدهد ، اما هر قسمتی از کد که کاری را انجام دهد شل کد گویند.