پژوهشگران در پشتی جدیدی با الهام از بدافزار لورفته‌ی NSA ساختند

پژوهشگران حوزه‌ی امنیت شبکه در پشتی آزمایشی جدیدی با اهداف پژوهشی طراحی کرده‌اند. این در پشتی به بخشی از سیستم‌عامل اشاره می‌کند که نرم‌افزارهای آنتی‌ویروس از آن غافل مانده‌اند.

 

یکی از پژوهشگران سرشناس در حوزه‌ی امنیت شبکه‌ها با الهام از بدافزار NSA (آژانس امنیت ملی آمریکا) که راز آن در بهار۲۰۱۷ در فضای عمومی اینترنت افشا شد، در پشتی (Back Door) جدیدی طراحی کرد تا به‌عنوان شاهدی بر این مثال، عملکرد بدافزار نام‌برده را بهتر به پژوهشگران فعال در این حوزه معرفی کند.

بدافزار جدید «اس‌ام‌بی‌دور» (SMBdoor) نامیده می‌شود. شان دیلون (Sean Dillon)، پژوهشگر شرکت ریسک‌سنس (RiskSense)، این بدافزار را ساخته و آن را طوری طراحی کرده که به‌عنوان درایور کرنل درویندوز عمل و پس از نصب روی کامپیوترهای شخصی، با سوء‌استفاده از API‌های مستندنشده در فرایند srvnet.sys، خود را به‌عنوان هندلر مجاز برای ارتباطات SMB (بلوک پیام‌رسان سرور) ثبت کند.

این بدافزار مخرب بسیار محرمانه عمل می‌کند؛ چراکه به هیچ‌کدام از سوکت‌های محلی یا پورت‌های باز یا توابع فعال موجود متصل نمی‌شود و بدین ترتیب، از تحریک سیستم‌های هشداردهنده‌ی آنتی‌ویروس‌ها اجتناب می‌کند. طراحی این بدافزار مخرب از رفتارهای مشابه مشاهده‌شده در دابل‌پولسار (DoublePulsar) و دارک‌پولسار (DarkPulsar) تأثیر گرفته است. این‌ها دو نمونه از ابزارهای در پشتی هستند که NSA طراحی کرد و گروهی از هکرهای خراب‌کار به‌نام The Shadow Brokers آن را در فضای مجازی منتشر کردند.

بدافزاری که قابلیت استفاده‌ی جنگ‌افزاری ندارد

اس ام بی دور / SMBdoor

شاید برخی از کاربران از خودشان بپرسند: چرا فردی که خودش مشغول انجام پژوهش‌هایی روی موضوعات امنیتی است، باید بدافزار طراحی کند؟ دیلون در مصاحبه‌ با ZDNet گفت کد اس‌ام‌بی‌دور قابلیت تسلیحاتی ندارد و در GitHub نیز منتشر نمی‌شود تا تبهکاران سایبری همان‌طورکه به دابل‌پولسار NSA دست یافتند، این کد را هم دانلود و کاربران دیگر را به آن آلوده کنند.

او هدف خود را از این کار کمک به پژوهشگران می‌داند و می‌گوید:

اس‌ام‌بی‌دور با چند محدودیت عملی مواجه است که باعث می‌شود بیشتر اکتشافی علمی باشد؛ اما فکر کردم شاید به‌اشتراک‌گذاشتن آن با دیگران کار جالبی باشد و این کد چیزی [مانند یک آنتی‌ویروس] است که باید بیشتر بررسی شود.

وی درباره‌ی محدودیت‌های بدافزار خود این‌گونه توضیح می‌دهد:

محدودیت‌هایی در اثبات این ادعا وجود دارد که مهاجمان اول باید بر آن غلبه کنند. از همه مهم‌تر، نسخه‌های جدید ویندوز تلاش می‌کنند کدهای تأییدنشده‌ی کرنل را مسدود کنند. همچنین، باید پیامدهای ثانویه‌ی این درهای پشتی در طول فرایند بارگیری بارهای ثانویه را نیز در نظر گرفت تا بتوان از حافظه‌ی صفحه‌بندی‌شده استفاده کرد و سیستم را دچار وقفه نکرد. هرکدام از این مسائل، راهکارهای جنبی شناخته‌شده‌ای دارند؛ ولی وقتی راه‌حل‌های تعدیل‌کننده‌ی مدرنی مانند Hyper-V Code Integrity را به‌کار می بریم، استفاده از آن راهکارها مشکل‌تر می‌شود.

دیلون می‌گوید این بدافزار تجربی را بدون دست‌کاری کدهای منبع نمی‌توان برای حمله‌های بدافزاری احتمالی به‌کار گرفت و استفاده از آن فقط درصورتی برای مهاجمان مفید خواهد بود که مخفی نگه‌داشتن کارهایشان بیشتر از نوع کارهای موردنیاز برای اصلاح اس‌ام‌بی‌دور برای آن‌ها اهمیت داشته باشد. درغیر این‌صورت، این کدها فایده‌ی چندانی برای کسی ندارد.

محرمانگی ناشی از روش‌های طراحی

اس ام بی دور / SMBdoor

اس‌ام‌بی‌دور به هیچ سوکت محلی یا پورت باز یا تابعی متصل نمی‌شود

استفاده از توابع مستندنشده‌ی API و ‌نیز اصول طراحی که دیلون برای دورماندن اس‌ام‌بی‌دور از چشم‌ها از آن‌ها بهره برده، توجه خیلی از پژوهشگران این حوزه را به خود جلب کرده است. کوین بیومانت (Kevin Beaumont)، یکی از کارشناسان فعال در حوزه‌ی امنیت شبکه، در توییتر خود نوشت:

کار جذابی به‌نظر می‌رسد. این نرم‌افزار متن‌باز درست به همان روش دابل‌پولسار، اقدام به پیگی‌بک (Piggy-backing) در SMB می‌کند و بدین‌ترتیب، هیچ پورت جدیدی بازنمی‌شود.

در اصطلاح امنیت شبکه‌ها، حمله‌ی پیگی‌بک زمانی اتفاق می‌افتد که مهاجم با استفاده از فواصل غیرفعال موجود در اتصال مجاز کاربر دیگری که هویت او قبلا به تأیید سیستم‌عامل رسیده، به بخش‌های محرمانه و کنترل‌شده‌ی آن دسترسی پیدا می‌کند و آن را دست‌کاری می‌کند. جویی اسلاویک (Joe Slowik)، یکی دیگر از کارشناسان حوزه‌ی امنیت، هم کار دیلون را جالب‌ توصیف کرده است. 

دیلون در جای دیگری از مصاحبه‌ی خود گفته است:

این در پشتی نیز مانند دابل‌پولسار، در منطقه‌ای محرمانه از سیستم‌عامل پنهان می‌شود. گوش‌دادن به ترافیک شبکه در پورت محدود، به‌گونه‌ای که سوکتی لمس نشود، در روش‌های فعلی به‌خوبی جا نیفتاده و بخشی از حوزه‌ی پژوهشی در‌حال‌گسترش است. شاید محل‌هایی در سیستم وجود داشته باشد که کد درون‌برنامه‌ای عمومی بتواند بر آن‌ها تأثیری مشابه عملکرد مدنظر ما بگذارد؛ ولی بدافزار ما به‌دلیل عملکرد عادی و اصلی SMB از چشم دیگران پنهان می‌ماند و این عامل جذابیت است. بدافزار مذکور نوعی ناهنجاری است که شناسایی آن نیاز به کدهای خاص و سفارشی دارد.

کدهای اس‌ام‌بی‌دور با محدودیت‌هایی روبه‌رو هستند و تبهکاران سایبری نمی‌توانند از آن استفاده کنند

دیلون امیدوار است کارش موجب شود ارائه‌دهندگان نرم‌افزارهای امنیتی برای بهبود اقدامات تشخیصی خود بیشتر تلاش کنند و دراین‌زمینه، از امنیت کاربران ویندوز دربرابر تهدیدهای ناشی از بدافزارهای مخربی مانند دابل‌پولسار و دارک‌پولسار و اس‌ام‌بی‌دور بیشتر محافظت کنند.

پیشینه‌ی کاری دیلون در تجزیه‌وتحلیل نرم‌افزارهای مخرب و لورفته‌ی NSA، شهرت بسیاری در میان همکارانش دارد. در گذشته نیز، اترنال شامپیون (EternalChampion) و اترنال رومانس (EternalRomance) و اترنال سینرجی (EternalSynergy) را که همگی ازجمله اکسپلویت‌های برجسته‌ی NSA هستند، دیلون روی همه‌ی نسخه‌های ویندوز ۲۰۰۰ به‌بعد، بررسی کرده و تطبیق داده بود.

ازجمله کارهای مهم دیگر دیلون، تجزیه‌وتحلیل و تطبیق عملکرد بدافزار دابل‌پولسار روی دستگاه‌های مجهز به اینترنت اشیای مبتنی‌بر ویندوز و بررسی عملکرد بدافزار اترنال‌بلو اس‌ام‌بی (EternalBlue SMB) روی نسخه‌های جدید ویندوز ۱۰ است. اترنال‌بلو اس‌ام‌بی همان اکسپلویت توسعه‌یافته‌ی NSA است که در حمله‌های جهانی باج‌افزارهای واناکرای (WanaCry) و نات‌پتیا (NotPetya) در سال ۲۰۱۷ استفاده شد.





تاريخ : یک شنبه 8 ارديبهشت 1398برچسب:, | | نویسنده : مقدم |