Avatar
نویسنده: فرنوش کوهی
سه‌شنبه 2 خرداد 1402
مطالعه: ۳ دقیقه ۰ نظر ۶۹ بازدید
نقش بدافزار جدید WinTapix.sys در حملات چند مرحله ای در سراسر خاورمیانه

خاورمیانه در دستان هکرها! بد افزار جدید WinTapix

در این مقاله میخوانید

از حداقل ماه مه سال 2020، یک نوع نرم‌افزار مخرب به نام “WinTapix.sys” از درایورهای هسته ویندوز استفاده می‌کند و احتمالاً هدف آن کشورهای خاورمیانه است.WinTapix.sys در واقع یک loader است و هدف اصلی آن تولید و اجرای مرحله بعدی حمله است. برای این منظور از یک Shellcode استفاده می‌شود. فعالیت‌های این نرم‌افزار مخرب عمدتاً در عربستان سعودی، اردن، قطر و امارات متحده عربی تمرکز دارد. تاکنون، این فعالیت‌ها به هیچ گروه یا فرد معروفی ارتباط نداشته‌اند.

این نرم افزار مخرب، برای نفوذ عمیق‌تر به سیستم هدف و اجرای فعالیت‌های بیشتر در چارچوب یک حمله چند مرحله‌ای، از درایورهای بدافزار هسته (Kernel memory) استفاده می‌کند. این درایورها با استفاده از حافظه هسته عمل می‌کنند و به همین دلیل می‌توانند هر عملیاتی را انجام دهند، از جمله تغییر مکانیسم‌های امنیتی کلیدی و اجرای کد دلخواه با بالاترین دسترسی‌ها.

اقدامات امنیتی در برابر WinTapix

یکی از اقدامات امنیتی کلیدی برای مقابله با درایورهای مخرب، اجرای امضای درایور است که فقط درایورهایی که توسط مایکروسافت امضا شده‌اند، بارگذاری می‌شوند. شرکت تکنولوژی مایکروسافت همچنین قوانین مسدودسازی درایور را حفظ می‌کند تا در برابر درایورهای آسیب‌پذیر معروف محافظت کند.
از سوی دیگر، WinTapix.sys دارای یک امضای نامعتبر است که نشان می‌دهد عامل تهدید باید ابتدا یک درایور قانونی اما آسیب‌پذیر را برای راه‌اندازی WINTAPIX بارگیری کند.

اما هنگامی که در هسته بارگذاری شد، WinTapix.sys به گونه‌ای پیکربندی می‌شود که یک شل کد جاسازی شده را به یک فرآیند حالت کاربر عادی و مناسب تزریق کند که در نتیجه یک بارنامه .NET رمزنگاری شده را اجرا می‌کند.علاوه بر این، WinTapix شامل قابلیت‌های Backdoor و پروکسی است که اجازه اجرای دستورات، دانلود و آپلود فایل و عمل به عنوان یک پروکسی برای انتقال داده‌ها بین دو نقطه ارتباطی را فراهم می‌کند.

از آنجا که معروف است که عوامل تهدید ایرانی از سرورهای Exchange برای استقرار بدافزارهای اضافی استفاده می‌کنند، امکان استفاده از این درایور در کنار حملات Exchange نیز وجود دارد. گروه باج افزار ALPHV نیز از یک درایور امضا شده بدافزاری بهره برده تا از سیستم‌های امنیتی موجود دوری کند و برای مدت زمان طولانی، تشخیص داده نشود.

به طور کلی، استفاده از درایورهای مخرب به منظور کسب دسترسی با اولویت بالا به سیستم‌عامل ویندوز روشی است که توسط عوامل تهدید فعال به کار گرفته می‌شود تا از طریق پلت فرم محافظت از نقطه پایانی (EPP) و فناوری های تشخیص و پاسخ نقطه پایانی (EDR)، با افزایش حفاظت از کاربران و فرآیندها مبارزه کنند.

منبع: thehackernews

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.


ارسال دیدگاه در وبلاگ پارس‌پک را مطالعه کرده و آن‌ها را می‌پذیرم.

با خدمات ابری پارس پک آشنا شوید

اولین ارائه‌دهنده خدمات رایانش ابری در ایران هستیم

سرور اختصاصی ایران

یک سرور با منابع کاملا اختصاصی در برتریرن مراکز داده داخلی.

سرور مجازی

یک ابزار مدیریتی بسیار کاربردی، با دسترسی‌های بیشتر از یک‌هاست ابری.

خرید هاست وردپرس

سرویس قوی و پایدار که برای نصب و راه‌اندازی سیستم مدیریت محتوای وردپرس بهینه شده است.

خرید هاست

تنها برای آن میزان از منابع سخت‌افزاری که نیاز دارید هزینه می‌پردازید و دیگر نیازی به پرداخت هزینه‌های غیر موجه، در ابتدای فعالیت وب سایت خود، نخواهید داشت.

خرید سرور ابری

با ابرسرورها می‌توانید سرور با سیستم‌عامل دلخواه خود را در چند دقیقه انتخاب و نصب نموده و آزادانه منابع سرور خود را کاهش و افزایش دهید.

خرید سرور اختصاصی

تمام منابع سرور در اختیار شماست و به راحتی می‌توانید تغییرات مدنظرتان را اعمال کنید. امنیت، سرعت و پایداری بالا برای میزبانی پروژه‌های بزرگ.