• صفحه نخست
  • اخبار
  • ShadowPad: بدافزاری که می تواند از درب پشتی به نرم افزاری که صدها سازمان از آن استفاده می کنند، نفوذ کند

ShadowPad: بدافزاری که می تواند از درب پشتی به نرم افزاری که صدها سازمان از آن استفاده می کنند، نفوذ کند

۱۳۹۶/۶/۲۱امنیت اطلاعات

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران) محققان لابراتوار کسپرسکی یک درب پشتی را در یک محصول نرم افزاری مدیریت سرور که توسط صدها کسب و کار در سراسر جهان مورد استفاده قرار می گیرد، کشف کردند.

در زمانی که نرم افزار فعال می شود، درب پشتی به مجرمان این اجازه را می دهد که ماژول های مخرب را دانلود کنند و یا که داده های یک سازمان را به سرقت ببرند. لابراتوار کسپرسکی اخطارهای لازم را درباره ی  NetSarang (عرضه کننده ی نرم افزار آلوده) به کاربران سراسر جهان داد و تاکید کرد که کدهای مخرب به سرعت از روی نرم افزار حذف شده است و به روزرسانی برای کاربران این نرم افزار منتشر شده است.

ShadowPad یکی از بزرگترین حملات زنجیره ای در سراسر جهان است. این تهدید به سختی شناسایی شد و استراتژی قوی برای آن درنظر گرفته شده بود.  ShadowPad می توانست صدها سازمان در سراسر جهان را مورد هدف قرار بدهد و آن ها را به روز سیاه بنشاند.

در ماه ژوئیه سال 2017، تیم تحقیقاتی و تحلیل جهانی لابراتوار کسپرسکی (GReAT) با یکی از پارتنرهای خود (موسسات مالی) رویکردی را بررسی کردند. متخصصان امنیتی سازمان در مورد DNS ( سرور نام دامنه) مشکوک که درخواست های عجیبی را برای پردازش معاملات مالی ارسال می کرد، ابراز نگرانی کردند و تمرکز خود را بر روی این موضوع گذاشتند.

تحقیقات بیشتر در این باره نشان داد که منبع این درخواست ها، نرم افزار مدیریت سرور بود که توسط یک کمپانی کاملا مشروع و قانونی ایجاد شده بود و مورد استفاده ی صدها کاربر در صنایع مختلف همانند خدمات مالی، آموزشی، مخابرات، تولید، انرژی و حمل و نقل قرار گرفته بود. نگران کننده ترین یافته های تیم امنیتی این بود که این درخواست ها از جانب فروشندگان این نرم افزار نبود و آن ها می دانستند که طبق معمول مجرمان سایبری هستند که خود را پنهان کرده اند.

علاوه بر این تیم آنالیزگر لابراتوار کسپرسکی متوجه شدند که درخواست های مشکوک در واقع نتیجه ای از فعالیت های یک ماژول مخرب در آخرین نسخه ی مشروع نرم افزار است. با نصب آپدیت نرم افزار آلوده، ماژول مخرب درخواست های DNS به دامنه های خاص (سرور command and control) با فرکانس یک بار در هر هشت ساعات ارسال می کرد. اما درخواستی که مصرانه ارسال می شد شامل اطلاعات اولیه در مورد سیستم قربانی نام کاربری، نام دامنه و نام هاست بود. در صورتی که مجرمان سیستم مورد حمله را جالب و کاربردی می دیدند، سرور رمان به آن پاسخ می داد و یک پلت فرم درب پشتی به طور کامل فعال می شد و به طور کاملا بی صدا به درون کامپیوتر حمله ور می شد. پس از آن بر اساس فرمان مجرمان، پلت فرم قادر به دانلود و اجرای کدهای مخرب بیشتری خواهد بود.

پس از کشف این آسیب پذیری محققان امنیتی لابراتوار کسپرسکی فورا با NetSarang تماس گرفتند و موضوع را با آن ها در میان گذاشتند. این کمپانی نیز به سرعت واکنش نشان داد و نسخه ی به روز شده ی نرم افزار را بدون کدهای مخرب منتشر ساخت.

طبق یافته های لابراتوار کسپرسکی همچنان بسیاری از کسب و کارها هستند که آپدیت را انجام نداده اند و این بی اهمیتی می تواند همانن یک بمب کارگذاشته شده اما فعال نشده عمل کند و یک مجموعه را به نابودی بکشاند.

محققان لابراتوار کسپرسکی تکنیک های استفاده شده در این حمله را تجزیه و تحلیل کردند و به ای نتیجه رسیدند که برخی از این تکنیک ها بسیار شبیه عملکرد مخرب گروه های PlugX و Winnti بوده که در حملات خود از آن ها استفاده می کردند. این دو تیم یکی از گروه های جاسوسی چینی بود که شهرت بسیار زیادی را یافتند. با وجود این شباهات ها باز هم نمی توان قضاوتی دقیق در مورد اینکه این گروه پشت این حمله بوده اند را داشت.

Igor Soumenkov کارشناس امنیتی در تیم تحقیق و تحلیل لابراتوار کسپرسکی می گوید:" ShadowPad نمونه ای از حملات خطرناک و گسترده بود که موفق شد حملاتی زنجیره ای را در سراسر جهان به راه اندازد. با توجه به فراهم شدن فرصت ها برای دسترسی و جمع آوری داده ها احتمال حملات بعدی و قویتر را برای ShadowPad می دهند. خوشبختانه NetSarang سریعا نسبت به این مشکل واکنش نشان داد و به لطف اطلاع رسانی کارشناسان امنیتی تیم ما آپدیت جدید نرم افزار مربوط را داد و از صدها حملات پر خطر در سراسر جهان جلوگیری کرد. با این حال نه تنها این حمله بلکه تمامی حملات گذشته نشان می دهند که شرکت های بزرگ و کسب و کارها باید به فکر راه حل های پیشرفته ای که قادر به نظارت بر فعالیت های شبکه و تشخیص فعالیت های مخرب هستند، باشند و بر آن ها تکیه کنند. در این حمله شما متوجه شدید که مجرمان از درب پشتی به نرم افزار NetSarang حمله ور شدند و قادر به اجرای کدهای مخرب خود بودند. پس تمامی این اقدامات به صورت مخفی انجام می شود و در صورت نداشتن راهکار امنیتی به هیچ وجه امکان تشخیص آن ها وجود نخواهد داشت.

شرح NetSarang

برخی از قابلیت های یکی از نسخه های  NetSarang
- مشاهده تمامی سیستم های موجود در شبکه در قسمت دیگر سیستم ها
- مدیریتی کامل بر روی شبکه
- کنترل نرم افزاری تمام قسمت های مختلف کامپیوترهای متصل به شبکه
- مشاهده صفحه نمایش دیگر سیستم ها
- توانایی کنترل اشتراک گذاری فایل ها در سیستم ها
- قابلیت برقراری ارتباط از طریق IP به کمک Address Bar
- پشتیبانی از پروتکل های مختلف اینترنتی
- توانایی اتصال به وسیله TelNet
- قابلیت اتصال به پروتکل های FTP برای انتقال فایل
- مناسب برای شبکه های کوچک خانگی و شبکه های بزرگ تجاری 
- توانایی ساخت پروفایل های مختلف برای سرور و کاربران
- امکان ساخت shortcut دسکتاپ برای دسترسی سریع تر
- قابلیت کنترل تمامی Client های موجود در محیط شبکه از سوی مدیر
- قابلیت کنترل تمامی سیستم ها از سوی مدیریت و اعمال تغییرات دلخواه
- استفاده آسان هم برای مدیر و هم برای کلاینت ها
- قابلیت به اشتراک گذاری فایل ها از سوی کلاینت ها و سرور
- قابلیت به اشتراک کذاری اینترنت در میان کلاینت ها با تعیین حد و مرز استفاده
- شناسایی و سازگاری با پروتوکل های مختلف اینترنتی
- توانایی ارتباط با پروتوکل FTP به منظور ارسال فایل ها بر روی سرور
- امنیت بالا در محیط شبکه
- قابلیت به اشتراک گذاری پرینتر و مدیریت چاپ اسناد
- سرعت بالا در برقراری ارتباط
- و ...

ما نسخه ی جدید این نرم افزار را در 18 ژوئیه 2017 منتشر ساخیتم که متاسفانه در این نسخه یک درب پستی وچود داشت و از این رو مجرمان توانستند نرم افزار را اکسپلویت و به سیستم کاربران نفوذ کنند. امنیت کاربران یکی از اصلی ترین اولیت های ما است و ما آن را در بلندمرتبه ترین درجات اهداف خود در نظر می گیریم و همیشه به آن ها متعهد هستیم.

اما واقعیت اینجا است که مجرمان سایبری و گروه ها و نهادهای مخرب از نرم افزارهای تجاری و البته کاملا رسمی و مشروع برای افزایش دستمزد خود استفاده می کنند و تنها همین موضوع برای آن ها اهمیت دارد. همانطور که مشاهده کردید NetSarang هم به همین ترتیب مورد حمله قرار گرفت و مجرمان نرم افزار محبوبی را یافتند و توانستند از آسیب پذیری که سهوا در این نرم افزار قرار داشت استفاده کنند و امنیت کسب و کارها را به خطر اندازند.

NetSarang نرم افزاری است که به فراهم کردن امنیت کاربرانش متعهد است و سیستمی قوی را به همین منظور برای برقراری امنیت در عملکرد و ارائه ی خدماتش در نظر گرفته است. این نرم افزار برای ارزیابی و بهبود امنیت تلاش خواهد کرد و برای مبارزه با مجرمان سایبری و بدست آوردن مجدد اعتماد کاربرانش وظیفه شناس خواهد بود.

تمام راهکارهای لابراتوار کسپرسکی بدافزار ShadowPad را با عنوان "Backdoor.Win32.ShadowPad.a" شناسایی و در مقابل آن از سیستم محافظت می کند.

لابراتوار کسپرسکی به کاربران توصیه می کند که NetSarang را به آخرین نسخه ی منتشر شده ارتقاء دهند تا نرم افزار از هرگونه کدهای مخرب حذف شود و ارسال درخواست های DNS جایی در آن نداشته باشد. اکیدا پیشنهاد می شود که برای کسب و کار خود از یک راهکار امنیتی که بتواند فعالیت های مخرب را تشخیص و آن ها را مسدود سازد، استفاده کنید.

شما همچنین می توانید از کسب و کار خود به صورت رایگان محافظت کنید. لابراتوار کسپرسکی نسخه ی رایگان محافظت از کسب و کارها را به تازگی منتشر کرده که توسط این لینک قابل دریافت است.

منبع:  کسپرسکی آنلاین(ایدکو)

*  کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.