اخبار فناوری اطلاعات
CrossRAT؛ بدافزاری پیچیده و غیرقابل تشخیص
در صورتی که از کاربران لینوکس یا سیستم عامل اپل هستید و همیشه تصور می کنید که احتمال آلودگی سیستم شما وجود ندارد بیشک نظر شما پس از مطالعه این مقاله تغییر خواهد کرد.
به گزارش ایتنا از کسپرسکی آنلاین، حدود یک هفته گذشته، محققان امنیتی فناوری اطلاعات در OutLook به همراه گروه حقوق مدنی EFF مقاله ای منتشر ساختند که در این مقاله یک تهدید پیشرفته توسط هکرهایی با نام ِDark Caracal از لبنان در یک کمپین جاسوسی جهانی موبایل دست داشته اند و علیه روزنامه نگاران و مقامات دولتی در 21 کشور جهان دست به حمله شده اند، گزارش شده است.
محققان همچنین در یافته های خود، یک بدافزار خطرناک دیگر را که CrossRAT نامیده و به زبان جاوا نوشته شده است یافتند. طبق بررسی محققان و شواهد بدست آمده این بدافزار توسط Dark Caracal و برای مورد حمله قرار دادن دستگاههای OSX، Linux و دستگاههای مبتنی بر ویندوز طراحی شده است.
نکته قابل توجه در این بدافزار این است که میتواند عملکرد آنتیویروسها و نرمافزارهای امنیتی را غیر فعال کند و از این رو برای آنها غیر قابل شناسایی شود. CrossRAT همچنین میتواند DLLهای دلخواه را برای آلودگی در ویندوزها و ماندگاری خود در سیستم آلوده اجرا کند.
با این حال Patrick Wardle یک محقق امنیتی و هکر سابق NSA گزارش دقیقی در مورد CrossRAT منتشر کرده است که در آن گفته شده که بدافزار پس از آلودگی، اسکن کاملی را بر روی دستگاه انجام میدهد. این بدافزار قادر است کرنل را که اساسی ترین لایه است و سیستم را با سختافزار ادغام می کند، شناسایی کند. هدف از این کار نصب برنامه ای خاص با توجه به نوع نرم افزار است.
CrossRAT بدافزاری پیچیده است که می تواند از طریق لینوکس برای شناسایی توزیع سیستم هایی همانند Arch Linux، Centos، Debian، Kali، Linux، Fedora و غیره مورد استفاده قرار بگیرد.
علاوه بر این CrossRAT دارای یک کی لاگر داخلی، نرمافزاری که تمام موارد تایپ شده را ضبط و به مرکز فرمان و کنترل (C & C) ارسال میکند، است.
همچنین طبق گفته Wardle سیستم های ویندوز و لینوکس بیش تر مستعد آلودگی هستند. علت آن هم این است که این بدافزار به زبان جاوا نوشته شده است و نیاز است که کاربر این زبان را بر روی سیستم خود داشته باشد. هنگامی که Wardle نمونه فایل hmar6.jar را که بدافزار CrossRAT آن را بر روی سیستم نصب کرده است اجرا می کند، متوجه میشود که تنها یکی از 58 برنامههای آنتی ویروس قادر است بدافزار را شناسایی کند. البته در زمان انتشار مقاله اوضاع کمی تغییر می کند و 28 نرمافزار امنیتی از بین 58 نرمافزار قادر به شناسایی فایل مخرب میشوند.
چگونه متوجه شویم سیستم دچار آلودگی شده است؟
ازآنجاکه CrossRAT در سیستم عاملهای مختلفی قابل اجرا است، تشخیص دادن این بدافزار به نوع سیستمعامل شما بستگی دارد. پس با توجه به دستورات پایین سیستم خود را بررسی نمایید:
- برای سیستم عامل ویندوز، آدرس رجیستری روبرو را بررسی نمایید:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
در صورتی که سیستم شما دچار آلودگی شده باشد، شما دستوری را با نوشتههای java، -jar و jar مشاهده خواهید کرد.
- برای سیستم عامل مک خود، در آدرس ~/Library به دنبال فایل jar باشید. علاوه بر این می توانید به دنبال یک launch agent در آدرس /Library/LaunchAgents یا ~/Library/LaunchAgents باشید که نامش plist است، باشید.
برای سیستم عامل لینوکس در آدرس /usr/var به دنبال فایل jar باشید. همچنین می توانید در آدرس ~/.config/autostart به دنبال یک فایل autostart به نامdesktop باشید.
چگونه میتوان در برابر بدافزار CrossRAT محافظت شد؟
همانطور که در بالا به آن اشاره کردیم تنها تعداد کمی از 58 محصول آنتیویروس مورد آزمایش قرار گرفته شده قابلیت شناسایی CrossRAT را داشتهاند که این نتیجه نشان میدهد که به احتمال زیاد آنتی ویروس شما محافظ سیستم شما نخواهد بود.
همچنین گفتیم که سیستم عامل مک به علت اینکه نسخههای جدید جاوا را ارائه نمیدهد میتواند بیشتر از دو نسخههای ویندوز و لینوکس باشد اما در صورتی که کاربر مک برنامه ی جاوا را بر روی سیستم به صورت اضافی نصب کرده باشد یا که مجرم بتواند به صورت مخفیانه این نرم افزار را بر روی سیستم نصب کند، CrossRAT به راحتی قابل اجرا خواهد بود.
به کاربران توصیه میشود که از آنتیویروسهای قوی جهت تشخیص تهدید مبتنی بر رفتار استفاده کنند. کاربران مک نیز میتوانند از ابزار BlockBlock که توسط Wardle به تازگی توسعه یافته است استفاده کنند. این ابزار به گونهای است که اگر چیزی به صورت مداوم بر روی سیستم نصب شود حتما به کاربر هشدار لازم را می دهد.
منبع : ایتنا