تهدیدهای تروجان پیشرفته Slingshot و راه‌های مقابله با آن‌

کد: 13961220287067693

https://goo.gl/EWTS1R

، تهران ، (اخبار رسمی): یکی از جالب‌ترین اخبار از محققان امنیتی ما در نشست تحلیلگران امنیت کسپرسکی (SAS) گزارش یک کمپین بسیار پیشرفته‌ی جاسوسی با نام Slingshot بود.

تهدیدهای تروجان پیشرفته Slingshot و راه‌های مقابله با آن‌
تهدیدهای تروجان پیشرفته Slingshot و راه‌های مقابله با آن‌

به گزارش کسپرسکی- حمله Slingshot یک بردار منحصربه‌فرد است که بر اساس تحقیقات ما توانسته است بسیاری از روترها را توسط MikroTik موردحمله قرار بدهد. روترها فایل‌های DLL مختلف را در مسیر کسب‌وکار دانلود و اجرا می‌کنند. مجرمان راهی را برای به خطر انداختن دستگاه‌ها با اضافه کردن یک DLL مخرب به یک بسته‌ی DLL مشروع و قابل‌قبول دیگر یافتند. DLL بد و دارای مشکل دانلود کننده‌ی فایل‌های مختلف مخربی بود که در روتر ذخیره می‌شد.

البته گفتنی است که ما این موضوع را به سازنده‌ی روتر گزارش دادیم و متوجه شدیم که MikroTik درگذشته نیز با این مشکل مواجه شده است. بااین‌حال کارشناسان ما MikroTik نام تجاری است که توسط Slingshot مورداستفاده قرارگرفته است و ممکن است دستگاه‌های دیگر را نیز تحت آلودگی و تأثیر خود قرار بدهد.

یکی دیگر از جنبه‌های جالب Slingshot ترفندی بود که برای اجرای نرم‌افزارهای مخرب در حالت کرنل استفاده می‌شد. اجرای این ترفند در سیستم‌عامل‌های به‌روز شده تقریباً غیرممکن است اما این بدافزار دستگاه‌های آسیب‌پذیر را می‌یابد و از آن‌ها برای اجرای کدهای مخرب خود استفاده می‌کند.

ابزارهای مخرب

بدافزار استفاده‌شده در Slingshot شامل دو شاهکار بزرگ بود: اول ماژول حالت کرنل که Cahnadr و GollumApp نامیده می‌شد، دوم از همه ماژول حالت کاربر.

اجرا در حالت کرنل، امکان کنترل کامل را به مجرمان بدون هیچ‌گونه محدودیتی می‌دهد، این کنترل بیش از کنترل بر یک سیستم آلوده است. علاوه بر این برخلاف بدافزارهای مخرب که تلاش می‌کنند تا بر روی حالت کرنل کار کنند این تروجان می‌تواند کدها را بدون ایجاد صفحه‌ی آبی اجرا کند. ماژول دوم GollumApp حتی پیچیده‌تر از ماژول اول است. این ماژول تقریباً شامل 1500 توابع کد است.

توسط این ماژول‌ها Slingshot می‌تواند تصاویر، داده‌های تایپ‌شده روی صفحه‌ی کلید، داده‌های شبکه، رمزهای عبور، فعالیت‌های دیگر دسکتاپ، کلیپ بورد و خیلی چیزهای دیگر را جمع‌آوری کند. تمام این موارد از آسیب‌پذیری روز صفر اکسپلویت می‌شوند.

مکانیزم پیشگیری

به‌راستی‌که Slingshot واقعاً خطرناک است. این تروجان قادر است کلاه‌برداری‌های بسیاری را بدون اینکه قابل‌تشخیص و شناسایی باشد انجام دهد. حتی می‌تواند اجزای آن را خاموش تا بتواند شناسایی هرگونه علائمی را غیرممکن کند. علاوه بر این Slingshot از سیستم رمزنگاری فایل در یک بخش استفاده‌نشده در هارددیسک استفاده می‌کند.

چگونه با حملات پیشرفته همانند Slingshot مقابله کنیم؟

اگر که شما از یک روتر MikroTik و نرم‌افزار مدیریت WinBox استفاده می‌کنید آخرین نسخه‌ی برنامه‌ی خود را دانلود کنید و اطمینان حاصل کنید که روتر به آخرین نسخه‌ی سیستم‌عامل خود آپدیت شده است. با این حساب آپدیت شمارا از بردار حملات پیشرفته نجات خواهد داد.

برای محافظت از کسب‌وکار خود مقابل حملات هدفمند پیچیده شما بایستی یک رویکرد راهبردی را اجرا نمایید. ما به شما یک پلتفرم مدیریت علیه تهدیدات و دفاعی را توصیه می‌کنیم. این پلتفرم می‌تواند Kaspersky Anti Targeted Attack platform باشد که راهکاری جدید برای شناسایی تهدیدات پیشرفته توسط لابراتوار کسپرسکی است.

Kaspersky Anti Targeted Attack به شما این امکان را می‌دهد که ناهنجاری‌های ترافیکی شبکه را بیابید، فرآیندهای مشکوک را شناسایی کنید و رویدادهای بین ارتباطات را دنبال کنید. راهکار امنیتی اندپوینت کسپرسکی از هرگونه جمع‌آوری اطلاعات جلوگیری کرده و فوراً موارد مشکوک را شناسایی می‌کند.

منبع: کسپرسکی آنلاین

 

### پایان خبر رسمی

درباره منتشر کننده:

شرکت گسترش خدمات تجارت الکترونیک ایرانیان

شرکت گسترش خدمات تجارت الکترونیک ایرانیان(ایدکو)؛ بعنوان صاحب امتیاز سایت کی بازار، نه تنها به عنوان یکی از سه نماینده برتر و بزرگ کسپرسکی و نخستین Platinum Partner کسپرسکی در حوزه محصولات شرکتی کسپرسکی در ایران فعالیت می کند

با چند کلیک خبرساز شوید: رایگان شروع کنید
رایگان اخبارتان را در اولین نیوزوایر آنلاین ایران منتشر و لذت همراهی با شبکه‌ای از رسانه‌ها و خبرنگاران را لمس کنید.