، تهران , (اخبار رسمی): یکی از جالبترین اخبار از محققان امنیتی ما در نشست تحلیلگران امنیت کسپرسکی (SAS) گزارش یک کمپین بسیار پیشرفتهی جاسوسی با نام Slingshot بود.
به گزارش کسپرسکی- حمله Slingshot یک بردار منحصربهفرد است که بر اساس تحقیقات ما توانسته است بسیاری از روترها را توسط MikroTik موردحمله قرار بدهد. روترها فایلهای DLL مختلف را در مسیر کسبوکار دانلود و اجرا میکنند. مجرمان راهی را برای به خطر انداختن دستگاهها با اضافه کردن یک DLL مخرب به یک بستهی DLL مشروع و قابلقبول دیگر یافتند. DLL بد و دارای مشکل دانلود کنندهی فایلهای مختلف مخربی بود که در روتر ذخیره میشد.
البته گفتنی است که ما این موضوع را به سازندهی روتر گزارش دادیم و متوجه شدیم که MikroTik درگذشته نیز با این مشکل مواجه شده است. بااینحال کارشناسان ما MikroTik نام تجاری است که توسط Slingshot مورداستفاده قرارگرفته است و ممکن است دستگاههای دیگر را نیز تحت آلودگی و تأثیر خود قرار بدهد.
یکی دیگر از جنبههای جالب Slingshot ترفندی بود که برای اجرای نرمافزارهای مخرب در حالت کرنل استفاده میشد. اجرای این ترفند در سیستمعاملهای بهروز شده تقریباً غیرممکن است اما این بدافزار دستگاههای آسیبپذیر را مییابد و از آنها برای اجرای کدهای مخرب خود استفاده میکند.
ابزارهای مخرب
بدافزار استفادهشده در Slingshot شامل دو شاهکار بزرگ بود: اول ماژول حالت کرنل که Cahnadr و GollumApp نامیده میشد، دوم از همه ماژول حالت کاربر.
اجرا در حالت کرنل، امکان کنترل کامل را به مجرمان بدون هیچگونه محدودیتی میدهد، این کنترل بیش از کنترل بر یک سیستم آلوده است. علاوه بر این برخلاف بدافزارهای مخرب که تلاش میکنند تا بر روی حالت کرنل کار کنند این تروجان میتواند کدها را بدون ایجاد صفحهی آبی اجرا کند. ماژول دوم GollumApp حتی پیچیدهتر از ماژول اول است. این ماژول تقریباً شامل 1500 توابع کد است.
توسط این ماژولها Slingshot میتواند تصاویر، دادههای تایپشده روی صفحهی کلید، دادههای شبکه، رمزهای عبور، فعالیتهای دیگر دسکتاپ، کلیپ بورد و خیلی چیزهای دیگر را جمعآوری کند. تمام این موارد از آسیبپذیری روز صفر اکسپلویت میشوند.
مکانیزم پیشگیری
بهراستیکه Slingshot واقعاً خطرناک است. این تروجان قادر است کلاهبرداریهای بسیاری را بدون اینکه قابلتشخیص و شناسایی باشد انجام دهد. حتی میتواند اجزای آن را خاموش تا بتواند شناسایی هرگونه علائمی را غیرممکن کند. علاوه بر این Slingshot از سیستم رمزنگاری فایل در یک بخش استفادهنشده در هارددیسک استفاده میکند.
چگونه با حملات پیشرفته همانند Slingshot مقابله کنیم؟
اگر که شما از یک روتر MikroTik و نرمافزار مدیریت WinBox استفاده میکنید آخرین نسخهی برنامهی خود را دانلود کنید و اطمینان حاصل کنید که روتر به آخرین نسخهی سیستمعامل خود آپدیت شده است. با این حساب آپدیت شمارا از بردار حملات پیشرفته نجات خواهد داد.
برای محافظت از کسبوکار خود مقابل حملات هدفمند پیچیده شما بایستی یک رویکرد راهبردی را اجرا نمایید. ما به شما یک پلتفرم مدیریت علیه تهدیدات و دفاعی را توصیه میکنیم. این پلتفرم میتواند Kaspersky Anti Targeted Attack platform باشد که راهکاری جدید برای شناسایی تهدیدات پیشرفته توسط لابراتوار کسپرسکی است.
Kaspersky Anti Targeted Attack به شما این امکان را میدهد که ناهنجاریهای ترافیکی شبکه را بیابید، فرآیندهای مشکوک را شناسایی کنید و رویدادهای بین ارتباطات را دنبال کنید. راهکار امنیتی اندپوینت کسپرسکی از هرگونه جمعآوری اطلاعات جلوگیری کرده و فوراً موارد مشکوک را شناسایی میکند.
### پایان خبر رسمی