تروجان های از راه دور و دسترسی انها به سیستم ها
پیشتر در این ماه، سازمان مدیریت کارمندان آمریکا گزارش داده بود که ۵/۲۱ میلیون شمارهی تأمین اجتماعی از شهروندان آمریکایی به همراه سایر اطلاعات حساس آنها در جریان دومین رخنهی اطلاعاتی در پایگاه دادهی OPM به سرقت رفته است. در پی انتشار این خبر، کاترین آرکولتا، مدیر OPM استعفا داد. گفته میشود تروجان دسترسی از راه دور (RAT) سکولا۱ با این حمله مرتبط بوده است.
RATها بسیار رایج بوده و طراحی شدهاند تا به حملهکننده کمک کنند تا کنترل کامل سامانهی قربانی را به دست بگیرند. آنها میتوانند برای سرقت اطلاعات حساس، جاسوسی از قربانیان، و کنترل رایانههای آلوده از راه دور به کار روند.
حملات RAT عموماً در قالب اسپیرفیشینگ۲ و یا مهندسی اجتماعی۳ صورت میگیرند. بیشتر آنها در قالب کدهای باینری هستند که در مراحل بعدی اجرای بدافزار ظاهر میشوند.
اگرچه برخی اوقات، RATها ابزار اصلی حملهکنندگان در حملات سایبری محسوب میشوند، تشخیص و ردیابی آنها به دلایل زیر کماکان مشکل است:
- آنها پورتهای قانونی را روی ماشینهای آلوده باز میکنند. به دلیل اینکه این کار معمول است، از نظر محصولات امنیتی به عنوان اشکال شناسایی نمیشود.
- آنها از ابزارهای مدیریت از راه دور تجاری و قانونی تقلید میکنند.
- آنها از روشهایی استفاده میکنند که بدافزارهای رایج انجام نمیدهند.
در زیربه طور مختصر، به تعدادی از RATهای رایج اشاره شدهاست:
RAT۱
گفته میشود Sakula با حملهی OPM اخیر در ارتباط بوده است. این بدافزار امضاشده۴ است، ظاهرش همانند نرمافزارهای عادی است، و به حملهکننده توانایی مدیریت از راه دور سامانهی قربانی را میدهد. Sakula به هنگام ارتباط با کارگزار کنترل و فرماندهی (C&C) درخواستهای HTTP را آغاز میکند. این بدافزار برای عبور از تصدیق هویت از ابزاری با نام mimkatz استفاده میکند که مقدار درهم۵ را به جای متن رمزگذارینشده ارسال میکند.
RAT۲
گفته میشود KjW۰rm با رخنهی اطلاعاتی اخیر ایستگاههای تلویزیونی در فرانسه مرتبط است. KjW۰rm با VBS نوشته شده است که تشخیص آن را سختتر هم میکند. این تروجان راه گریز امنیتی ایجاد میکند که به حملهکننده امکان میدهد کنترل ماشین را به دست گرفته، اطلاعات را استخراج کرده و آنها را به کارگزار C&C بفرستد.
RAT۳
Havex سامانههای کنترل صنعتی (ICS) را هدف قرار میدهد. این RAT بسیار پیشرفته بوده و کنترل کامل ماشین قربانی را برای حملهکننده فراهم میکند. Havex انواع مختلفی دارد. ارتباطات با کارگزار کنترل و فرماندهیاش را از طریق HTTP و HTTPS برقرار میکند. اثر باقیمانده از این بدافزار در ماشین قربانی حداقل مقدار ممکن است.
RAT۴
Agent.BTZ/ComRat یکی از مشهورترین RATهای موجود است. گفته میشود این RAT توسط دولت روسیه و به منظور هدف قراردادن شبکههای ICS در اروپا تهیه شده است. Agent.BTZ (که با نام Uroburos نیز شناخته میشود) از طریق حملات فیشینگ انتشار مییابد. به منظور جلوگیری از تحلیل، از رمزنگاری پیشرفته استفاده میکند و اطلاعات حساس استخراجشده را به کارگزار C&Cاش میفرستد.
RAT۵
Dark Comet نیز مدیریت جامع روی دستگاه آلوده را امکانپذیر میکند. اولینبار در سال ۲۰۱۱ شناخته شد و هنوز هم هزاران رایانه را آلوده میکند. Dark Comet از Crypter برای مخفیشدن از ابزارهای ضدبدافزار استفاده میکند و کارهای مدیریتی مختلفی را انجام میدهد، از جمله: غیرفعال کردن مدیریت وظیفه۶، دیوار آتش و UAC در ویندوز.
RAT۶
AlienSpy سامانههای عامل OS X اپل را هدف قرار میدهد. این سامانهی عامل تنها از روشهای سنتی محافظت مانند ضدبدافزار استفاده میکند. AlienSpy اطلاعات سامانه را جمع آوری کرده، وبکم را فعال کرده، ارتباطات امن با کارگزار C&C برقرار کرده، و کنترل کامل را روی سامانهی قربانی فراهم میکند. این RAT همچنین از روشهای ضدتحلیل مانند تشخیص حضور ماشینهای مجازی استفاده میکند.
RAT۷
Heseber BOT به عنوان بخشی از کارکردش، رایانش شبکهی مجازی (VNC) را پیادهسازی میکند و از آنجا که VNC یک ابزار مدیریت از راه دور قانونی است، این امر مانع از شناسایی آن توسط ضدبدافزار میشود. Hesber از VNC برای انتقال پروندهها و در اختیار گرفتن کنترل سامانهی قربانی استفاده میکند.
شناسایی RATها کار بسیار دشواری است چرا که آنها شبیهِ نرمافزارهای مدیریت از راه دور مجاز عمل میکنند. به همین دلیل روشهای سنتی محافظت که مبتنی بر امضاهای ایستا هستند در شناسایی انواع RATها ناتواناند. روش کارآمد تشخیصRAT ها نظارت بر فرآیندهای سامانهیاست تا فعالیت بدافزارها ردیابی شود.