شروع استفاده از فایلهای صوتی WAV برای مخفی کردن کدهای مخرب
دو گزارش منتشر شده در چند ماه گذشته نشان میدهد که اپراتورهای بدافزار در تلاش هستند تا از فایلهای صوتی WAV برای مخفی کردن کدهای مخرب استفاده کنند. این روش بهعنوان استگانوگرافی «Steganography» شناخته میشود، هنر پنهان کردن اطلاعات در یک رسانه داده دیگر است.
در زمینه نرمافزار، از استگانوگرافی «که به آن stego نیز گفته میشود» برای توصیف روند پنهان کردن فایل یا متن در فایل دیگر، با فرمت متفاوت استفاده میشود. از نمونه های این روش مخفی کردن متن ساده در قالب باینری یک تصویر است.
استفاده از استگانوگرافی بیش از یک دهه است که در بین اپراتورهای مخرب محبوب است. نویسندگان نرم افزارهای مخرب از استگانوگرافی برای نقض یا آلوده کردن سیستمها استفاده نمی کنند بلکه از آن بهعنوان روشی جهت انتقال کدها استفاده میکنند. این روش به فایلها اجازه میدهد تا کد مخرب را برای عبور از نرمافزارهای امنیتی در فرمت فایلهای قابل اجرا «مانند فایلهای چندرسانهای» پنهان کنند.
نکتهی جدید گزارشهای منتشر شده استفاده از فایلهای صوتی WAV است که تا قبل از سال جاری، در عملیات بدافزارها مورد سوء استفاده قرار نگرفته است .
تاکنون از فرمت های تصویری مانند PNG و JPG جهت انتشار بدافزارهای مخرب استفاده میشد.
اولین مورد از این دو کمپین مخرب جدید با سوء استفاده از فایلهای WAV در ماه ژوئن گزارش شد. محققان امنیتی سیمانتک «Symantec» گفتند که آنها یک گروه جاسوسی سایبر روسی موسوم به Waterbug (یا Turla) را با استفاده از فایلهای WAV برای مخفی کردن و انتقال رمزهای مخرب از سرور خود به قربانیان آلوده مشاهده کردند.
دومین کمپین مخرب در ماه جاری توسط BlackBerry Cylance مشاهده شد. سیلنس «Cylance» در گزارشی که امروز و هفته گذشته با ZDNet به اشتراک گذاشته شد، اظهار داشت که چیزی شبیه به آنچه که سیمانتک از چند ماه قبل دیده بود، مشاهده کرده است.
در حالی که گزارش سیمانتک یک عملیات جاسوسی سایبری را توصیف میکند، سیلنس گفت که آنها شاهد استفاده از تکنیک استگانوگرافی WAV در یک عملیات بدافزار مخفی رمزنگاری شده بودهاند.
سیلنس گفت این بازیگر تهدید ویژه در حال مخفی کردن DLL ها در فایلهای صوتی WAV بود. بدافزارهای موجود در میزبان آلوده، فایل WAV را بارگیری میکند و میخواند، DLL را استخراج میکنند و سپس آن را اجرا میکنند و در ادامه یک برنامه رمزنگاری ماینر به نام XMRrig را نصب میکند.
جوش لموس «Josh Lemos»، مدیر تحقیقات و اطلاعات BlackBerry Cylance، روز گذشته در ایمیلی به ZDNet گفت که این گونه بدافزارها با استفاده از استگانوگرافی WAV در هر دو نمونه دسکتاپ و سرور مشاهده شدهاند.
سودمندسازی استگانوگرافی
علاوه بر این، لموس گفت:
به نظر میرسد این اولین باری باشد که یک نوع بدافزار مخفی رمزنگاری با استفاده از استگانوگرافی سوء استفاده دیده میشود، صرفنظر از اینکه این یک فایلPNG و JPEG یا WAV باشد.
این موضوع نشان میدهد که نویسندگان بدافزارهای مخفی رمزنگاری در حال پیشرفت هستند، زیرا آنها از سایر عملیاتها می آموزند.
لموس در ین خصوص به ZDNet گفت:
استفاده از تکنیکهای stego نیاز به درک عمیق از قالب فایل هدف دارد. این روش بهطور کلی توسط بازیگران تهدید پیچیده استفاده میشود که میخواهند برای مدت طولانی پنهان بمانند. توسعه یک تکنیک stego به زمان نیاز دارد و چندین وبلاگ به تفصیل توضیح دادهاند که چگونه بازیگران تهدیداتی مانند OceanLotus یا Turla را اجرا میکنند.
به عبارت دیگر ، عمل مستند سازی و مطالعهی استگانوگرافی با یک اثر گلوله برفی همراه است که این روش را نیز برای اجرای بدافزارهای کم مهارت ترسیم میکند.
در حالی که کار سیمانتک و سیلنس در مستندسازی استگانوگرافی مبتنی بر WAV ممکن است به دیگر اپراتورهای بدافزار کمک کند، فایلهای WAV ،PNG و JPG تنها انواعی نیستند که میتوانند از آنها سوء استفاده کنند. لموس گفت:
Stego میتواند تا زمانیکه مهاجم به ساختار و محدودیت های این قالب پایبند باشد و هرگونه تغییراتی که در فایل هدف قرار گرفته باشد، یکپارچگی آن را از بین نبرد با هر فرمت مورد استفاده قرار گیرد.
به عبارت دیگر ، دفاع از استگانوگرافی با مسدود کردن قالب های آسیب پذیر فایل راهحل صحیحی نیست، زیرا شرکتها در نهایت بارگیری بسیاری از قالبهای محبوب مانند JPEG ، PNG ،BMP ،WAV ،GIF ،WebP ،TIFF را قطع خواهند کرد که امکان حرکت به سوی اینترنت مدرن را غیرممکن میکند.
از آنجا که stego فقط بهعنوان یک روش انتقال داده مورد استفاده قرار میگیرد، شرکتها باید در تشخیص نقطه ورود یا عفونت بدافزار سوءاستفادهگر با استفاده از استگانوگرافی یا اجرای کد غیرمجاز که توسط این فایلها استفاده میشود، تمرکز کنند.
نظرات