پژوهشگران در پشتی جدیدی با الهام از بدافزار لورفتهی NSA ساختند
یکی از پژوهشگران سرشناس در حوزهی امنیت شبکهها با الهام از بدافزار NSA (آژانس امنیت ملی آمریکا) که راز آن در بهار۲۰۱۷ در فضای عمومی اینترنت افشا شد، در پشتی (Back Door) جدیدی طراحی کرد تا بهعنوان شاهدی بر این مثال، عملکرد بدافزار نامبرده را بهتر به پژوهشگران فعال در این حوزه معرفی کند.
بدافزار جدید «اسامبیدور» (SMBdoor) نامیده میشود. شان دیلون (Sean Dillon)، پژوهشگر شرکت ریسکسنس (RiskSense)، این بدافزار را ساخته و آن را طوری طراحی کرده که بهعنوان درایور کرنل در ویندوز عمل و پس از نصب روی کامپیوترهای شخصی، با سوءاستفاده از APIهای مستندنشده در فرایند srvnet.sys، خود را بهعنوان هندلر مجاز برای ارتباطات SMB (بلوک پیامرسان سرور) ثبت کند.
این بدافزار مخرب بسیار محرمانه عمل میکند؛ چراکه به هیچکدام از سوکتهای محلی یا پورتهای باز یا توابع فعال موجود متصل نمیشود و بدین ترتیب، از تحریک سیستمهای هشداردهندهی آنتیویروسها اجتناب میکند. طراحی این بدافزار مخرب از رفتارهای مشابه مشاهدهشده در دابلپولسار (DoublePulsar) و دارکپولسار (DarkPulsar) تأثیر گرفته است. اینها دو نمونه از ابزارهای در پشتی هستند که NSA طراحی کرد و گروهی از هکرهای خرابکار بهنام The Shadow Brokers آن را در فضای مجازی منتشر کردند.
بدافزاری که قابلیت استفادهی جنگافزاری ندارد
شاید برخی از کاربران از خودشان بپرسند: چرا فردی که خودش مشغول انجام پژوهشهایی روی موضوعات امنیتی است، باید بدافزار طراحی کند؟ دیلون در مصاحبه با ZDNet گفت کد اسامبیدور قابلیت تسلیحاتی ندارد و در GitHub نیز منتشر نمیشود تا تبهکاران سایبری همانطورکه به دابلپولسار NSA دست یافتند، این کد را هم دانلود و کاربران دیگر را به آن آلوده کنند.
او هدف خود را از این کار کمک به پژوهشگران میداند و میگوید:
اسامبیدور با چند محدودیت عملی مواجه است که باعث میشود بیشتر اکتشافی علمی باشد؛ اما فکر کردم شاید بهاشتراکگذاشتن آن با دیگران کار جالبی باشد و این کد چیزی [مانند یک آنتیویروس] است که باید بیشتر بررسی شود.
وی دربارهی محدودیتهای بدافزار خود اینگونه توضیح میدهد:
محدودیتهایی در اثبات این ادعا وجود دارد که مهاجمان اول باید بر آن غلبه کنند. از همه مهمتر، نسخههای جدید ویندوز تلاش میکنند کدهای تأییدنشدهی کرنل را مسدود کنند. همچنین، باید پیامدهای ثانویهی این درهای پشتی در طول فرایند بارگیری بارهای ثانویه را نیز در نظر گرفت تا بتوان از حافظهی صفحهبندیشده استفاده کرد و سیستم را دچار وقفه نکرد. هرکدام از این مسائل، راهکارهای جنبی شناختهشدهای دارند؛ ولی وقتی راهحلهای تعدیلکنندهی مدرنی مانند Hyper-V Code Integrity را بهکار می بریم، استفاده از آن راهکارها مشکلتر میشود.
دیلون میگوید این بدافزار تجربی را بدون دستکاری کدهای منبع نمیتوان برای حملههای بدافزاری احتمالی بهکار گرفت و استفاده از آن فقط درصورتی برای مهاجمان مفید خواهد بود که مخفی نگهداشتن کارهایشان بیشتر از نوع کارهای موردنیاز برای اصلاح اسامبیدور برای آنها اهمیت داشته باشد. درغیر اینصورت، این کدها فایدهی چندانی برای کسی ندارد.
محرمانگی ناشی از روشهای طراحی
اسامبیدور به هیچ سوکت محلی یا پورت باز یا تابعی متصل نمیشود
استفاده از توابع مستندنشدهی API و نیز اصول طراحی که دیلون برای دورماندن اسامبیدور از چشمها از آنها بهره برده، توجه خیلی از پژوهشگران این حوزه را به خود جلب کرده است. کوین بیومانت (Kevin Beaumont)، یکی از کارشناسان فعال در حوزهی امنیت شبکه، در توییتر خود نوشت:
کار جذابی بهنظر میرسد. این نرمافزار متنباز درست به همان روش دابلپولسار، اقدام به پیگیبک (Piggy-backing) در SMB میکند و بدینترتیب، هیچ پورت جدیدی بازنمیشود.
در اصطلاح امنیت شبکهها، حملهی پیگیبک زمانی اتفاق میافتد که مهاجم با استفاده از فواصل غیرفعال موجود در اتصال مجاز کاربر دیگری که هویت او قبلا به تأیید سیستمعامل رسیده، به بخشهای محرمانه و کنترلشدهی آن دسترسی پیدا میکند و آن را دستکاری میکند. جویی اسلاویک (Joe Slowik)، یکی دیگر از کارشناسان حوزهی امنیت، هم کار دیلون را جالب توصیف کرده است.
دیلون در جای دیگری از مصاحبهی خود گفته است:
این در پشتی نیز مانند دابلپولسار، در منطقهای محرمانه از سیستمعامل پنهان میشود. گوشدادن به ترافیک شبکه در پورت محدود، بهگونهای که سوکتی لمس نشود، در روشهای فعلی بهخوبی جا نیفتاده و بخشی از حوزهی پژوهشی درحالگسترش است. شاید محلهایی در سیستم وجود داشته باشد که کد درونبرنامهای عمومی بتواند بر آنها تأثیری مشابه عملکرد مدنظر ما بگذارد؛ ولی بدافزار ما بهدلیل عملکرد عادی و اصلی SMB از چشم دیگران پنهان میماند و این عامل جذابیت است. بدافزار مذکور نوعی ناهنجاری است که شناسایی آن نیاز به کدهای خاص و سفارشی دارد.
کدهای اسامبیدور با محدودیتهایی روبهرو هستند و تبهکاران سایبری نمیتوانند از آن استفاده کنند
دیلون امیدوار است کارش موجب شود ارائهدهندگان نرمافزارهای امنیتی برای بهبود اقدامات تشخیصی خود بیشتر تلاش کنند و دراینزمینه، از امنیت کاربران ویندوز دربرابر تهدیدهای ناشی از بدافزارهای مخربی مانند دابلپولسار و دارکپولسار و اسامبیدور بیشتر محافظت کنند.
پیشینهی کاری دیلون در تجزیهوتحلیل نرمافزارهای مخرب و لورفتهی NSA، شهرت بسیاری در میان همکارانش دارد. در گذشته نیز، اترنال شامپیون (EternalChampion) و اترنال رومانس (EternalRomance) و اترنال سینرجی (EternalSynergy) را که همگی ازجمله اکسپلویتهای برجستهی NSA هستند، دیلون روی همهی نسخههای ویندوز ۲۰۰۰ بهبعد، بررسی کرده و تطبیق داده بود.
ازجمله کارهای مهم دیگر دیلون، تجزیهوتحلیل و تطبیق عملکرد بدافزار دابلپولسار روی دستگاههای مجهز به اینترنت اشیای مبتنیبر ویندوز و بررسی عملکرد بدافزار اترنالبلو اسامبی (EternalBlue SMB) روی نسخههای جدید ویندوز ۱۰ است. اترنالبلو اسامبی همان اکسپلویت توسعهیافتهی NSA است که در حملههای جهانی باجافزارهای واناکرای (WanaCry) و ناتپتیا (NotPetya) در سال ۲۰۱۷ استفاده شد.