بررسی حملات Fileless علیه سازمان‌ها

0
130
Fileless

هکرها در این سری حملات، از PowerShell و ابزارهای Open-Source مانند Mimikatz و Meterpreter استفاده کرده‌اند که مستقیما بر روی حافظه اجرا می‌شوند.

احتمال می‌رود مسئول حملات چند ماه گذشته که تا حد زیادی متکی بر PowerShell، ابزارهای Open-Source و تکنیک‌های مرتبط با بدافزارهای Fileless بوده ‌است، تنها گروه خاصی از هکرها بوده باشند.

پس از بررسی ها و تحقیقات بدست آمده از موسسات امنیتی درمورد حملات Email Phishing اخیر، که چندین سازمان‌ معروف را مورد هدف قرار داده بود، مشخص گردید که یک گروه مهاجم این فعالیت‌ها را انجام می‌دهند و این گروه از همان تکنیک‌هایی استفاده می‌کند که طی دو ماه گذشته توسط موسسات امنیتی گوناگون و در گزارشات پراکنده‌‌ ثبت شده است.

در پی این بررسی‌ها، چارچوب یک حمله‌ی پیچیده و Fileless کشف شده است که ظاهرا با سلسه فعالیت‌های گوناگون و بحث‌برانگیز اخیر در ارتباط بوده است. بر اساس یافته‌های تیم‌های تحقیقاتی، تنها یک گروه خاص از مهاجمان، مسئول بسیاری از پیچیده‌ترین حملات علیه موسسات مالی، سازمان‌های دولتی و شرکت‌ها در دو ماه گذشته به شمار می‌روند.

بررسی‌های محققان پس از آن آغاز شد که طی حملات Phishing Email، یک فایل Word حاوی Macro‌های مخرب منتشر گردید. قربانیان پس از بازکردن ایمیل با پیامی روبرو می‌شدند که برای نمایش محتوایی به ظاهر محافظت‌شده تقاضای کلیک برروی گزینه‌ی Enable Content را می‌نمود و پس از اجرای این درخواست کد مخربِ جاسازی‌شده در آن فعال می‌گردد.

از این مرحله‌ به بعد این حمله از Script‌های متوالی PowerShell استفاده می‌کند تا به این وسیله دربرابر Registry Key‌ها ایجاد مقاومت نموده و یک کانال ارتباطی با سرور مهاجم برقرار سازد. سپس مهاجمان ابزارهای Open-Source مختلف مورد نظر خود را دانلود و اجرا ‌می‌کنند که به وسیله‌ی آن محدوده‌ی جستجوی سیستم قربانی را عمیق‌تر کرده و Credential‌هایی را که به صورت Local ذخیره شده می‌رباید و ارتباط Reverse Shell‌ را به سمت سرور خود باز می‌کنند.

برخی از ابزارهای به کارگرفته‌ شده در این حملات شامل Mimikatz، Lazagne و Meterpreter می‌باشند که از ابزارهای موجود در Metasploit (چارچوب پرطرفدار تست نفوذ) به حساب می‌آیند. این برنامه‌ها مستقیما در حافظه کامپیوتر بارگذاری شده و ردی برروی دیسک باقی نمی‌گذارند.

چندی پیش نیز Kaspersky از سری حملات پنهانی و Fileless علیه بیش از ۱۰۰ سازمان و بانک در سراسر جهان گزارش داد. این حملات از تکنیک‌ها و ابزارهای کاملا مشابهی از جمله PowerShell، Mimikatz و Meterpreter استفاده کرده‌اند.

در این حملات مهاجمان از یک PowerShell Script استفاده می‌کنند که با به کارگیری TXT رکوردهای DNS اقدام به ایجاد یک کانال ارتباطی دوطرفه می‌کند. شرکت Cisco نیز اسکریپت مشابهی در حملات ثبت نموده است که آن را DNSMessenger نامیده‌اند.

شرکت FireEye درمورد حملاتی که کارکنان حوزه‌ی ثبت اسناد بورس و اوراق بهادار در سازمان‌های مختلف امریکا را هدف قرار داده و در خصوص تکنیک‌های حملات Fileless و روش‌های مبتنی بر DNS در این حملات، توضیحاتی ارائه داده است. این شرکت حملات فوق را با یک گروه از مهاجمان با اهداف مالی مرتبط می‌داند که مدتها تحت عنوان FIN7، مورد پیگرد این شرکت قرار داشته است.

هرچند محققان موفق به تشخیص هویت این گروه نشدند، اما برای مدتی کوتاه شاهد تبادلات ارتباطی از سوی یکی از اعضای گروه بوده‌اند. یکی از اعضای این گروه در طول Session و انتظار برای ارتباطِ Meterpreter با سیستم قربانی، تا حدودی بسیار زیادی در دسترس قرار گرفته است اما علی‌رغم تلاش محققان برای بهره‌برداری از این فرصت و شناسایی هویت وی، گروه بلافاصله ارتباط را مسدود کرده و سرور C2 را نیز به طور کامل از کار انداخته است تا ارتباط بین سیستم‌ قربانی و سرور مهاجمان از بین رفته و ردیابی غیرممکن گردد.

با در نظرگرفتن حملات صورت‌گرفته و خطرات پیش رو به سازمان‌ها توصیه می‌گردد که سیستم‌های مانیتورینگ مختلفی که می‌تواند بر کارکرد ابزارهای دومنظوره‌ای همچون Mimikatz و Meterpreter نظارت نماید را به کار گیرند. همچنین باید PowerShell Scriptهای بدون مجوز و کدهایی که به طور مستقیم در حافظه اجرا می‌شوند و اثری در دیسک بر جا نمی‌گذارند، نیز بررسی گردند.

بدون دیدگاه

دیدگاهتان را بنویسید

*