مراقب باشید: بدافزار غیرقابل شناسایی crossRAT ، سیستم‌های ویندوزی ، MacOS و لینوکس را مورد هدف قرار می‌دهد!

آیا شما از کاربران لینوکس یا سیستم عامل Mac هستید؟ فکر می‌کنید سیستم شما قابلیت ویروسی شدن را ندارد؟

پس این مطلب را بخوانید...

طیف وسیعی از مجرمان سایبری در حال استفاده از یک بدافزار جاسوسی غیر قابل شناسایی هستند که سیستم های ویندوزی ، Mac ، Solaris و لینوکس را مورد هدف قرار می‌دهد.

هفته گذشته مقاله‌ای از گزارش EFF/Lookout منتشر شد، در این مقاله گروه جدیدی از APT (Advanced Persistent Threat) به نام Dark Caracal آشکار شد که در کمپین‌های جاسوسی موبایل مشغول به کار هستند.

اگرچه این گزارش بیشتر عملیات هک موفقیت‌آمیز گروه‌ها را در زمینه تلفن‌های همراه نشان می‌دهد تا کامپیوتر، اما بخش جدیدی از بدافزار cross-platform به نام crossRAT (نسخه ۰.۱) را نیز آشکار نمود که گمان می‌رود توسط گروه Dark Caracal توسعه یافته باشد.

crossRAT یک تروجان برای دسترسی از راه دور است که تمامی چهار سیستم عامل محبوب دنیا (windows, MacOS ,Solaris, Linux) را مورد هدف قرار می‌دهد. به این صورت که با فعالسازی حملات راه دور، امکان دسترسی و اداره کردن سیستم‌فایل، گرفتن عکس از صفحه نمایش و اجرای برنامه‌های اجرایی دلخواه در سیستم آلوده را فراهم می‌کند.

به گفته محققان، هکرهای Dark Caracal به هیچ اکسپلویتی (zero-day-exploits) برای انتشار بدافزار خود متکی نیستند، و عوض آن، از مهندسی اجتماعی بهره می‌برند. به این صورت که پست‌های خود را در گروه‌های Facebook وپیام‌های WhatsApp قرار می‌دهند که کاربران را برای دیدن سایت تقلبی که توسط هکر کنترل می‌شود و دانلود برنامه‌های مخرب ترغیب کنند.

crossRAT به زبان java نوشته شده و کار را برای مهندسی معکوس و دیکامپایل آسان می‌کند.

از آنجا که فقط دو نوع از ۵۸ نوع آنتی ویروس توانستند crossRAT را شناسایی کنند (طبق VirusTotal)، بنابراین Patrick Wardle، هکر سابقِ ،NSA تصمیم گرفت به تحلیل و انالیز این بدافزار بپردازد و یک مطلب جامع و فنی شامل مکانیزم پایداری آن، ارتباط دستورات و کنترل و همچنین توانایی‌های آن ارائه دهد.

crossRAT – بدافزار نظارت مداوم بر Cross-Platform

زمانی که این بدافزار برای اولین بار در سیستم هدف اجرا شد، ابتدا ایمپلنت (hmar6.jar) سیستم عامل را چک نموده و سپس مطابق با آن خود را نصب می‌کند.

علاوه بر آن، ایمپلنت crossRAT تلاش می‌کند اطلاعاتی درباره سیستم آلوده جمع آوری کند، از جمله این اطلاعات ورژن سیستم عامل نصب شده ، ساختار و معماری هسته می‌باشد.

همچنین بدافزار در سیستم‌های لینوکسی نیز تلاش می‌کند که با جستجوی فایل‌های سیستمی، نوع توزیع لینوکس را پیدا کند، مانند : Arch لینوکس، CentOS، Debian، Kali-linux، Fedora ، لینوکس Mint و بسیاری دیگر.

crossRAT پس از جایگیری در سیستم، مکانیزم‌های پایداری (ثبات) مخصوص سیستم عامل را پیاده‌سازی می‌کند تا هر زمان که سیستم آلوده ریستارت شد به طور خودکار دوباره اجرا گردد و خود را در سرور C&C ثبت نماید، که این به هکران راه دور اجازه می‌دهد با ارسال دستوراتی داده‌ها را به صورت مخفیانه خارج نمایند.

crossRAT شامل ماژول غیرفعال keylogger است

این بدافزار با برخی قابلیت‌های نظارتی پایه طراحی شده است و زمانی تریگر می‌شود که دستورات از پیش تعریف شده مربوطه، از سرور C&C دریافت شوند.

نکته جالبی که Patrick متوجه آن شد این بود که crossRAT برای استفاده از 'jnativehook' که یک کتابخانه متن باز در جاوا است، و به منظور شنود رویدادهای مربوط به کیبورد و ماوس مورد استفاده قرار می‌گیرد برنامه‌نویسی شده است، اما این بدافزار هیچ دستور از پیش تعریف شده‌ای برای فعال کردن این keylogger ندارد.

Patrick می‌گوید: " با این وجود من هیچ کدی در داخل این ایمپلنت ندیدم که به پکیج 'jnativehook' اشاره کند. همانطور که در گزارش آمده است، این بدافزار بعنوان نسخه ۰.۱ معرفی شده، شاید این موضوع بیانگر آن باشد که این کار در حال پیشرفت بوده و هنوز کامل نشده است."

چگونه بفهمیم که به crossRAT آلوده شده‌ایم؟

از آنجا که crossRAT در هر سیستم عامل، رفتار متناسب با آن را دارد ، تشخیص این بدافزار بستگی به سیستم عاملی دارد که در حال اجراست.

برای ویندوز :

• کلید رجیستری در مسیر زیر را بررسی کنید :

'HKCU\Software\Microsoft\Windows\CurrentVersion\Run\'

• اگر سیستمی آلوده باشد حاوی دستوراتی شامل java، -jar و mediamgrs.jar خواهد بود.

در سیستم عامل MacOS :

• وجود فایل jar  به نام  mediamgrs.jarرا در مسیر ~‎/Library بررسی کنید.

• و نیز در مسیر ‎/Library/LaunchAgents یا ~‎/Library/LaunchAgents بدنبال عامل راه‌اندازی با نام mediamgrs.plist بگردید.

در لینوکس :

• در مسیر ‎/usr/var به دنبال فایل jar بنام mediamgrs.jar بگردید.

• همچنین بدنبال فایل ‘autostart’ در مسیر ~/.config/autostart باشید. احتمالاً فایلی به نام mediamgrs.desktop.

چگونه از تروجان crossRAT مصون بمانیم؟

 از ۵۸ نوع محصولات انتی ویروسی تنها دو نوع آن قابلیت شناسایی crossRAT را دارند، این بدان معناست که آنتی ویروس شما به سختی شما را از این تهدید محافظت می‌کند.

Patrick می‌گوید: " از آنجا که crossRAT با جاوا نوشته شده است، برای نصب نیز به جاوا نیاز دارد. خوشبختانه نسخه‌های جدید MacOS با جاوا عرضه نمی‌شوند. بنابراین اکثر کاربران Mac باید در امان باشند، البته اگر کاربران Mac از قبل جاوا را نصب کرده باشند، و یا اگر  هکر با توانایی خود کاربران ساده را مجبور به نصب جاوا کند، در چنین حالتی حتی اگر آخرین نسخه Mac‪(High Sierra)‬ را نیز داشته باشید بازهم  crossRAT به خوبی اجرا خواهد شد.

به کاربران توصیه می‌شود که برنامه‌های تشخیص تهدید مبتنی بر رفتار (behavior-base) را نصب کنند. کاربران Mac می‌توانند از ابزار ساده BlockBlock که توسط Patrick توسعه یافته را نصب کنند، این ابزار هر زمان که چیزی مدام در حال نصب باشد به کاربران هشدار می‌دهد.

منبع: https://thehackernews.com/2018/01/crossrat-malware.html