جزئیات یک حمله درب پشتی جدید که سیستم های ویندوز را هدف قرار می دهد

به گزارش ICTNN، Back Door نوعی بدافزار یا آسیب پذیری امنیتی است که به هکرها امکان دسترسی به سیستم های کاربران را می دهد. در این روش هکرها با دور زدن مکانیسم های امنیتی به سیستم کاربران دسترسی غیرمجاز پیدا می کنند، به طوری که کاربران حتی متوجه نفوذ هکر نمی شوند، زیرا در پس زمینه سیستم کاربران فعالیت می کنند و شناسایی آنها برای یک فرد عادی مشکل است. کاربران این دشوار است.

در واقع Back Door به هکرها اجازه می دهد تا به سیستم کاربران نفوذ کنند و اطلاعات آنها را به روش های مختلف دستکاری کنند. هکرها معمولاً از بدافزار برای کنترل سیستم های کاربر استفاده می کنند. آنها می توانند اطلاعات شخصی کاربران را بدزدند یا از راه دور دستکاری کنند.

همچنین می توانند دستورات مختلفی را بر روی سیستم کاربر اجرا کرده و بدون اطلاع کاربران هرگونه تغییر را در سیستم کاربر اعمال کنند. به عنوان مثال، نام کاربری، رمز عبور نرم افزار مورد استفاده و مهمتر از آن، اطلاعات حساسی مانند اطلاعات بانکی کاربران را به روش درب پشتی می دزدند و آنها را افشا می کنند.

در همین راستا کارشناسان امنیتی از یک درب پشتی پیشرفته جدید در نظر گرفته شده برای سیستم های ویندوزی خبر داده اند. محققان به تازگی یک درب پشتی ویندوز جدید به نام BITSLOTH کشف کرده اند که سیستم های ویندوز را هدف قرار می دهد و از سرویس انتقال هوشمند پس زمینه (BITS) برای عملیات فرمان و کنترل (C2) استفاده می کند.

عملیات فرماندهی و کنترل (C2) فرآیندی است که در آن مهاجمان سایبری پس از نفوذ به یک سیستم، ارتباط خود را با سیستم‌های آلوده حفظ کرده و از طریق آنها دستورات خود را ارسال و اطلاعات دریافت می‌کنند. این کانال به مهاجم اجازه می دهد تا دستورات مختلفی مانند اجرای بدافزار جدید، جمع آوری اطلاعات حساس یا دستکاری فایل ها را صادر کند.

BITS یک سرویس ویندوز است که برای انتقال فایل ها به صورت ناهمزمان بین دستگاه ها طراحی شده است. این سرویس به ویژه برای دانلود به روز رسانی ها و انتقال داده ها با کمترین تأثیر بر عملکرد شبکه مفید است. BITS همچنین قادر به مدیریت قطعی شبکه است و می تواند پس از بازیابی اتصال، حتی اگر سیستم راه اندازی مجدد شده باشد، انتقال را ادامه دهد.

BITSLOTH از یک پروژه لودر پوسته برای اجرای مخفیانه و دور زدن مکانیسم های امنیتی سنتی استفاده می کند. با حرکت جانبی در سراسر شبکه، BITSLOTH به عنوان یک فایل DLL (به نام flengine.dll) وارد سیستم می شود و با استفاده از تکنیک sideloading، این فایل مخرب را از طریق برنامه ای به نام FL Studio بارگذاری و اجرا می کند. FL Studio یک برنامه تولید موسیقی قابل اعتماد و با قابلیت نصب آسان برای کاربران روزمره است. مهاجمان به نوعی کد مخرب BITSLOTH را با استفاده از این برنامه اجرا می کنند، که به نظر می رسد بخشی از عملکرد عادی نصب FL Studio باشد.

در توضیح حرکت جانبی باید گفت که این روش به فرآیندی اطلاق می شود که در آن مهاجم پس از دستیابی اولیه به یک سیستم، اقدام به دسترسی به سایر سیستم های موجود در شبکه می کند تا دامنه نفوذ خود را گسترش دهد. وارد شبکه شده و به منابع ارزشمندتری مانند سرورها، پایگاه های داده و سیستم های مدیریتی دسترسی پیدا کنید.

علاوه بر این، BITSLOTH می‌تواند حالت ارتباط را روی HTTP یا HTTPS تنظیم کند، فرآیندهای دلخواه را خاتمه دهد، کاربران را از سیستم خارج کند، سیستم را راه‌اندازی مجدد یا خاموش کند، و حتی خود را از سیستم میزبان به‌روزرسانی یا حذف کند. این بدافزار همچنین با ایجاد و مدیریت وظایف بی‌ضرر BITS که شبیه وظایف Windows Update هستند، از شناسایی جلوگیری می‌کند. به عنوان مثال، وظایف موجود را با نام هایی مانند “WU Client Download” لغو می کند و کارهای جدیدی با نام های مشابه ایجاد می کند. اینها به طور مخفیانه با سرورهای فرمان و کنترل (C2) ارتباط برقرار می کنند و ترافیک مخرب را با ترافیک عادی شبکه ترکیب می کنند.

بیشتر بدانید

چگونه از حملات درب پشتی جلوگیری کنیم؟

به گفته محققان، استفاده از BITSLOTH و بهره برداری آن از سرویس BITS برای مهاجمان جذاب است، زیرا این سرویس به دلیل استفاده مشروع، معمولاً کنترل های امنیتی را دور می زند. بسیاری از سازمان ها در تشخیص ترافیک معمولی BITS و فعالیت های مخرب مشکل دارند، که به مهاجمان اجازه می دهد برای مدت طولانی در شبکه بمانند و فعالیت های خود را پنهان کنند. کسانی که می خواهند اطلاعات بیشتری در مورد جزئیات این بدافزار کسب کنند، می توانند به این دسترسی داشته باشند ارتباط دادن بازدید کنید

بر اساس اعلام مرکز مدیریت و هماهنگی فوریت های حوادث رایانه ای، سیستم ها و سرورهای ویندوز می توانند هدف این حمله قرار گیرند. در این راستا، برای جلوگیری از اثرات این بدافزار، توصیه می‌شود که ترافیک سرویس BITS را با دقت و به طور مداوم رصد کنید و از ابزارهای تحلیل ترافیک شبکه برای بررسی و تحلیل ترافیک BITS استفاده کنید. و دسترسی به سیستم ها و اطلاعات حساس را محدود کنید.

کارشناسان بر این باورند که کاربران برای مقابله با درهای پشتی باید نرم افزار آنتی ویروس و ضد بدافزار را روی سیستم خود نصب کنند. آنتی ویروس مناسب برای امنیت دستگاه بسیار مهم و ضروری است اما کافی نیست و علاوه بر آن یک ضد بدافزار امن برای شناسایی برنامه های مخرب روی سیستم خود نصب کنید. همچنین توصیه می شود از نرم افزارهای متن باز که معمولا رایگان هستند استفاده کنید، زیرا کد این برنامه ها در دسترس عموم است و برخی کارشناسان آن ها را بررسی می کنند تا ببینند درب پشتی یا کد مرجع آنها وجود دارد یا خیر. بنابراین Back Door به سمت برنامه هایی می رود که بسیار ساده تر و مناسب تر برای هک هستند.

ICTNN