خاورمیانه در دستان هکرها! بد افزار جدید WinTapix

اخبار امنیت شبکه
Avatar
نویسنده: دارا رستگار
سه‌شنبه 2 خرداد 1402
مطالعه: ۳ دقیقه ۰ نظر ۴۶۱ بازدید

در این مقاله میخوانید

از حداقل ماه مه سال 2020، یک نوع نرم‌افزار مخرب به نام “WinTapix.sys” از درایورهای هسته ویندوز استفاده می‌کند و احتمالاً هدف آن کشورهای خاورمیانه است.WinTapix.sys در واقع یک loader است و هدف اصلی آن تولید و اجرای مرحله بعدی حمله است. برای این منظور از یک Shellcode استفاده می‌شود. فعالیت‌های این نرم‌افزار مخرب عمدتاً در عربستان سعودی، اردن، قطر و امارات متحده عربی تمرکز دارد. تاکنون، این فعالیت‌ها به هیچ گروه یا فرد معروفی ارتباط نداشته‌اند.

این نرم افزار مخرب، برای نفوذ عمیق‌تر به سیستم هدف و اجرای فعالیت‌های بیشتر در چارچوب یک حمله چند مرحله‌ای، از درایورهای بدافزار هسته (Kernel memory) استفاده می‌کند. این درایورها با استفاده از حافظه هسته عمل می‌کنند و به همین دلیل می‌توانند هر عملیاتی را انجام دهند، از جمله تغییر مکانیسم‌های امنیتی کلیدی و اجرای کد دلخواه با بالاترین دسترسی‌ها.

اقدامات امنیتی در برابر WinTapix

یکی از اقدامات امنیتی کلیدی برای مقابله با درایورهای مخرب، اجرای امضای درایور است که فقط درایورهایی که توسط مایکروسافت امضا شده‌اند، بارگذاری می‌شوند. شرکت تکنولوژی مایکروسافت همچنین قوانین مسدودسازی درایور را حفظ می‌کند تا در برابر درایورهای آسیب‌پذیر معروف محافظت کند.
از سوی دیگر، WinTapix.sys دارای یک امضای نامعتبر است که نشان می‌دهد عامل تهدید باید ابتدا یک درایور قانونی اما آسیب‌پذیر را برای راه‌اندازی WINTAPIX بارگیری کند.

اما هنگامی که در هسته بارگذاری شد، WinTapix.sys به گونه‌ای پیکربندی می‌شود که یک شل کد جاسازی شده را به یک فرآیند حالت کاربر عادی و مناسب تزریق کند که در نتیجه یک بارنامه .NET رمزنگاری شده را اجرا می‌کند.علاوه بر این، WinTapix شامل قابلیت‌های Backdoor و پروکسی است که اجازه اجرای دستورات، دانلود و آپلود فایل و عمل به عنوان یک پروکسی برای انتقال داده‌ها بین دو نقطه ارتباطی را فراهم می‌کند.

از آنجا که معروف است که عوامل تهدید ایرانی از سرورهای Exchange برای استقرار بدافزارهای اضافی استفاده می‌کنند، امکان استفاده از این درایور در کنار حملات Exchange نیز وجود دارد. گروه باج افزار ALPHV نیز از یک درایور امضا شده بدافزاری بهره برده تا از سیستم‌های امنیتی موجود دوری کند و برای مدت زمان طولانی، تشخیص داده نشود.

به طور کلی، استفاده از درایورهای مخرب به منظور کسب دسترسی با اولویت بالا به سیستم‌عامل ویندوز روشی است که توسط عوامل تهدید فعال به کار گرفته می‌شود تا از طریق پلت فرم محافظت از نقطه پایانی (EPP) و فناوری های تشخیص و پاسخ نقطه پایانی (EDR)، با افزایش حفاظت از کاربران و فرآیندها مبارزه کنند.

منبع: thehackernews

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


ارسال دیدگاه در وبلاگ پارس‌پک را مطالعه کرده و آن‌ها را می‌پذیرم.