مراقب باشید: بدافزار غیرقابل شناسایی crossRAT ، سیستمهای ویندوزی ، MacOS و لینوکس را مورد هدف قرار میدهد!
آیا شما از کاربران لینوکس یا سیستم عامل Mac هستید؟ فکر میکنید سیستم شما قابلیت ویروسی شدن را ندارد؟
پس این مطلب را بخوانید...
طیف وسیعی از مجرمان سایبری در حال استفاده از یک بدافزار جاسوسی غیر قابل شناسایی هستند که سیستم های ویندوزی ، Mac ، Solaris و لینوکس را مورد هدف قرار میدهد.
هفته گذشته مقالهای از گزارش EFF/Lookout منتشر شد، در این مقاله گروه جدیدی از APT (Advanced Persistent Threat) به نام Dark Caracal آشکار شد که در کمپینهای جاسوسی موبایل مشغول به کار هستند.
اگرچه این گزارش بیشتر عملیات هک موفقیتآمیز گروهها را در زمینه تلفنهای همراه نشان میدهد تا کامپیوتر، اما بخش جدیدی از بدافزار cross-platform به نام crossRAT (نسخه ۰.۱) را نیز آشکار نمود که گمان میرود توسط گروه Dark Caracal توسعه یافته باشد.
crossRAT یک تروجان برای دسترسی از راه دور است که تمامی چهار سیستم عامل محبوب دنیا (windows, MacOS ,Solaris, Linux) را مورد هدف قرار میدهد. به این صورت که با فعالسازی حملات راه دور، امکان دسترسی و اداره کردن سیستمفایل، گرفتن عکس از صفحه نمایش و اجرای برنامههای اجرایی دلخواه در سیستم آلوده را فراهم میکند.
به گفته محققان، هکرهای Dark Caracal به هیچ اکسپلویتی (zero-day-exploits) برای انتشار بدافزار خود متکی نیستند، و عوض آن، از مهندسی اجتماعی بهره میبرند. به این صورت که پستهای خود را در گروههای Facebook وپیامهای WhatsApp قرار میدهند که کاربران را برای دیدن سایت تقلبی که توسط هکر کنترل میشود و دانلود برنامههای مخرب ترغیب کنند.
crossRAT به زبان java نوشته شده و کار را برای مهندسی معکوس و دیکامپایل آسان میکند.
از آنجا که فقط دو نوع از ۵۸ نوع آنتی ویروس توانستند crossRAT را شناسایی کنند (طبق VirusTotal)، بنابراین Patrick Wardle، هکر سابقِ ،NSA تصمیم گرفت به تحلیل و انالیز این بدافزار بپردازد و یک مطلب جامع و فنی شامل مکانیزم پایداری آن، ارتباط دستورات و کنترل و همچنین تواناییهای آن ارائه دهد.
crossRAT – بدافزار نظارت مداوم بر Cross-Platform
زمانی که این بدافزار برای اولین بار در سیستم هدف اجرا شد، ابتدا ایمپلنت (hmar6.jar) سیستم عامل را چک نموده و سپس مطابق با آن خود را نصب میکند.
علاوه بر آن، ایمپلنت crossRAT تلاش میکند اطلاعاتی درباره سیستم آلوده جمع آوری کند، از جمله این اطلاعات ورژن سیستم عامل نصب شده ، ساختار و معماری هسته میباشد.
همچنین بدافزار در سیستمهای لینوکسی نیز تلاش میکند که با جستجوی فایلهای سیستمی، نوع توزیع لینوکس را پیدا کند، مانند : Arch لینوکس، CentOS، Debian، Kali-linux، Fedora ، لینوکس Mint و بسیاری دیگر.
crossRAT پس از جایگیری در سیستم، مکانیزمهای پایداری (ثبات) مخصوص سیستم عامل را پیادهسازی میکند تا هر زمان که سیستم آلوده ریستارت شد به طور خودکار دوباره اجرا گردد و خود را در سرور C&C ثبت نماید، که این به هکران راه دور اجازه میدهد با ارسال دستوراتی دادهها را به صورت مخفیانه خارج نمایند.
crossRAT شامل ماژول غیرفعال keylogger است
این بدافزار با برخی قابلیتهای نظارتی پایه طراحی شده است و زمانی تریگر میشود که دستورات از پیش تعریف شده مربوطه، از سرور C&C دریافت شوند.
نکته جالبی که Patrick متوجه آن شد این بود که crossRAT برای استفاده از 'jnativehook' که یک کتابخانه متن باز در جاوا است، و به منظور شنود رویدادهای مربوط به کیبورد و ماوس مورد استفاده قرار میگیرد برنامهنویسی شده است، اما این بدافزار هیچ دستور از پیش تعریف شدهای برای فعال کردن این keylogger ندارد.
Patrick میگوید: " با این وجود من هیچ کدی در داخل این ایمپلنت ندیدم که به پکیج 'jnativehook' اشاره کند. همانطور که در گزارش آمده است، این بدافزار بعنوان نسخه ۰.۱ معرفی شده، شاید این موضوع بیانگر آن باشد که این کار در حال پیشرفت بوده و هنوز کامل نشده است."
چگونه بفهمیم که به crossRAT آلوده شدهایم؟
از آنجا که crossRAT در هر سیستم عامل، رفتار متناسب با آن را دارد ، تشخیص این بدافزار بستگی به سیستم عاملی دارد که در حال اجراست.
برای ویندوز :
- کلید رجیستری در مسیر زیر را بررسی کنید :
'HKCU\Software\Microsoft\Windows\CurrentVersion\Run\'
- اگر سیستمی آلوده باشد حاوی دستوراتی شامل java، -jar و mediamgrs.jar خواهد بود.
در سیستم عامل MacOS :
- وجود فایل jar به نام mediamgrs.jarرا در مسیر ~/Library بررسی کنید.
- و نیز در مسیر /Library/LaunchAgents یا ~/Library/LaunchAgents بدنبال عامل راهاندازی با نام mediamgrs.plist بگردید.
در لینوکس :
- در مسیر /usr/var به دنبال فایل jar بنام mediamgrs.jar بگردید.
- همچنین بدنبال فایل ‘autostart’ در مسیر ~/.config/autostart باشید. احتمالاً فایلی به نام mediamgrs.desktop.
چگونه از تروجان crossRAT مصون بمانیم؟
از ۵۸ نوع محصولات انتی ویروسی تنها دو نوع آن قابلیت شناسایی crossRAT را دارند، این بدان معناست که آنتی ویروس شما به سختی شما را از این تهدید محافظت میکند.
Patrick میگوید: " از آنجا که crossRAT با جاوا نوشته شده است، برای نصب نیز به جاوا نیاز دارد. خوشبختانه نسخههای جدید MacOS با جاوا عرضه نمیشوند. بنابراین اکثر کاربران Mac باید در امان باشند، البته اگر کاربران Mac از قبل جاوا را نصب کرده باشند، و یا اگر هکر با توانایی خود کاربران ساده را مجبور به نصب جاوا کند، در چنین حالتی حتی اگر آخرین نسخه Mac(High Sierra) را نیز داشته باشید بازهم crossRAT به خوبی اجرا خواهد شد.
به کاربران توصیه میشود که برنامههای تشخیص تهدید مبتنی بر رفتار (behavior-base) را نصب کنند. کاربران Mac میتوانند از ابزار ساده BlockBlock که توسط Patrick توسعه یافته را نصب کنند، این ابزار هر زمان که چیزی مدام در حال نصب باشد به کاربران هشدار میدهد.
منبع: https://thehackernews.com/2018/01/crossrat-malware.html