وبلاگ

سیمانتک و تشدید اپیدمی باج‌افزارها: نقش ابزارهای دو‌منظوره و «زندگی در بستر سیستم»

 

در سال ۲۰۲۴، تنها کمتر از دو ماه از آغاز سال گذشته است که شاهد انفجار حملات باج‌افزاری بوده‌ایم که با بهره‌گیری از ابزارهای دو‌منظوره انجام می‌شوند. ابزارهای دو‌منظوره به نرم‌افزارهایی اشاره دارند که برای انجام وظایف مشخصی در زمینه‌های تجاری و فناوری اطلاعات ساخته شده‌اند؛ اما توسط مهاجمان به منظور انجام حملات باج‌افزاری نصب و مورد سوءاستفاده قرار می‌گیرند. هرچند در گذشته اکثر گروه‌های باج‌افزاری از این ابزارها به نحوی استفاده کرده‌اند، اما تعداد ابزارهایی که اکنون مورد استفاده قرار می‌گیرند به طرز چشم‌گیری افزایش یافته است.

 

این گسترش سریع استفاده از ابزارهای دو‌منظوره در حملات باج‌افزاری، بر نقش سوءاستفاده از نرم‌افزارهای قانونی در تشدید اپیدمی باج‌افزارها تأکید دارد. سیمانتک در گزارش اخیر خود تحت عنوان «چشم‌انداز تهدید باج‌افزار در ۲۰۲۴»، نشان داده است که مهاجمان به طور فزاینده‌ای از نرم‌افزارهای قانونی که به عنوان «زندگی در بستر سیستم» (Living Off the Land یا به اختصار LOTL) شناخته می‌شوند، در حملات باج‌افزاری استفاده می‌کنند تا وابستگی خود به بدافزارها را به حداقل برسانند. این رویکرد به مهاجمان اجازه می‌دهد که با تکیه بر ابزارهای موجود در سیستم قربانی، حملات خود را پیش ببرند و از شناسایی توسط سامانه‌های امنیتی مرسوم جلوگیری کنند.

 

سازمان امنیت ملی ایالات متحده (NSA)، آژانس امنیت سایبری و زیرساخت‌های ایالات متحده (CISA)، دفتر تحقیقات فدرال (FBI) و مرکز ملی امنیت سایبری بریتانیا (NCSC) به تازگی با همکاری یکدیگر، گزارشی با عنوان «شناسایی و کاهش تکنیک‌های زندگی در بستر سیستم» منتشر کرده‌اند تا به مدافعان شبکه‌ها کمک کنند این نوع حملات را بهتر شناسایی و از آن‌ها محافظت کنند.

 

چالش‌های امنیتی ناشی از ابزارهای دو‌منظوره و زندگی در بستر سیستم

در مقاله‌ای با عنوان «پیشرفت‌های امنیت نقطه پایانی»، دیو گروبر، تحلیل‌گر ارشد در گروه استراتژی سازمانی (ESG)، بیان می‌کند که بیش از نیمی از رهبران امنیتی (۵۲٪) گزارش داده‌اند که عملیات امنیتی نسبت به دو سال گذشته پیچیده‌تر شده است. این پیچیدگی ناشی از افزایش سطح حمله و تغییرات سریع در چشم‌انداز تهدیدات است. به ویژه، استفاده بیشتر از ابزارهای LOTL به این چالش‌ها افزوده است.

 

خطرات ناشی از ابزارهای دو‌منظوره و LOTL تنها به باج‌افزار محدود نمی‌شود. به گفته CISA، FBI، NCSC و NSA، این تکنیک‌ها اغلب توسط بازیگران دولتی برای فرار از شناسایی استفاده می‌شوند. به عنوان مثال، گروه بازیگران BlackTech از تکنیک‌های زندگی در بستر سیستم برای همگام شدن با فعالیت‌های عادی سیستم‌عامل و شبکه استفاده می‌کنند تا از شناسایی توسط محصولات تشخیص و پاسخ نقطه پایانی (EDR) فرار کنند.

 

تفاوت میان حملات LOTL و ابزارهای دو‌منظوره

بیشتر ابزارهای LOTL نرم‌افزارهای قانونی هستند که پیشتر بر روی دستگاه نصب شده‌اند و اغلب بخشی از سیستم‌عامل ویندوز محسوب می‌شوند، مانند PowerShell، WMI و Vssadmin. تحلیل‌های سیمانتک نشان می‌دهند که بیشتر گروه‌های باج‌افزار روش‌های از پیش تعیین شده‌ای برای استفاده از این ابزارها در حملات خود دارند.

 

در مقابل، ابزارهای دو‌منظوره نرم‌افزارهایی هستند که مهاجمان آن‌ها را به طور مستقل به شبکه‌های هدف وارد می‌کنند. نرم‌افزارهای کنترل از راه دور یا مدیریت از راه دور از جمله رایج‌ترین ابزارهای دو‌منظوره‌ای هستند که برای کنترل نقاط پایانی به جای نصب بدافزارها مورد استفاده قرار می‌گیرند. به عنوان نمونه، گروه باج‌افزاری LockBit اخیراً با استفاده از نرم‌افزار مدیریت و پایش از راه دور توانست جای پای خود را در شبکه‌های هدف تقویت کند.

 

ابزارهای دو‌منظوره محبوب در حملات باج‌افزاری

در حملات باج‌افزاری، سیمانتک برخی از ابزارهای دو‌منظوره را شناسایی کرده که به طور مکرر توسط مهاجمان مورد استفاده قرار می‌گیرند. از جمله این ابزارها می‌توان به موارد زیر اشاره کرد:

 

PsExec: ابزاری از مجموعه Sysinternals مایکروسافت که برای اجرای فرآیندها بر روی سیستم‌های دیگر استفاده می‌شود. مهاجمان عمدتاً از این ابزار برای حرکت جانبی در شبکه‌های قربانی استفاده می‌کنند.

 

NetScan: نرم‌افزار SoftPerfect Network Scanner که ابزاری عمومی برای کشف نام‌های میزبان و خدمات شبکه است. این ابزار به طور گسترده توسط مهاجمان برای شناسایی میزبان‌های موجود در شبکه هدف استفاده می‌شود.

 

AdFind: ابزاری عمومی که برای جستجو در دایرکتوری‌های فعال (Active Directory) به کار می‌رود. اگرچه کاربردهای قانونی دارد، اما به طور گسترده توسط مهاجمان برای نقشه‌برداری از شبکه‌ها مورد استفاده قرار می‌گیرد.

 

Rclone: ابزاری متن‌باز که به طور قانونی برای مهاجرت محتوا به فضای ابری استفاده می‌شود، اما مهاجمان باج‌افزار از آن برای انتقال داده‌های سرقت شده از دستگاه‌های قربانی به ابر سوءاستفاده می‌کنند.

 

AnyDesk: یک برنامه قانونی کنترل از راه دور که اخیراً دچار نفوذ هکرها شد. AnyDesk و نرم‌افزارهای مشابه به طور گسترده توسط مهاجمان برای دسترسی به رایانه‌ها از راه دور استفاده می‌شوند.

 

چالش‌های پیش روی مدافعان شبکه

CISA در گزارش اخیر خود به دقت به چالش‌های امنیتی بسیاری که مدافعان شبکه با آن‌ها مواجه‌اند اشاره کرده است. مهاجمان در حملات LOTL از ابزارهای شناخته‌شده و قانونی استفاده می‌کنند که باعث می‌شود علائم مرسوم تهدید (Indicators of Compromise یا IOC) به طور معمول در شبکه شناسایی نشود. این موضوع تلاش‌های مدافعان برای شناسایی، پیگیری و دسته‌بندی رفتارهای مخرب را پیچیده‌تر می‌کند. از آنجا که این ابزارها قانونی و بخشی از سیستم‌های معمولی هستند، روش‌های امنیتی سنتی مانند آنتی‌ویروس‌ها یا دیوارهای آتش در شناسایی و مقابله با این تهدیدات ناکارآمدند.

 

ابزارهای دو‌منظوره نیز پیچیدگی‌های خاص خود را دارند. به طور معمول، این ابزارها به عنوان بخشی از برنامه‌های مجاز به شبکه هدف وارد می‌شوند و از آنجایی که استفاده از آن‌ها برای کاربردهای قانونی است، تشخیص اینکه چه زمانی از آن‌ها برای مقاصد مخرب استفاده می‌شود بسیار دشوار است.

 

به عنوان مثال، نرم‌افزارهای کنترل از راه دور مانند AnyDesk و نرم‌افزارهای مدیریت شبکه مانند NetScan به طور گسترده برای اهداف قانونی مورد استفاده قرار می‌گیرند. با این حال، هنگامی که مهاجمان از آن‌ها برای گسترش جای پای خود در شبکه قربانی استفاده می‌کنند، شناسایی این موضوع توسط سامانه‌های امنیتی معمول دشوار است. این ابزارها، به جای آنکه مانند بدافزارها علائم تهدید مشخصی از خود نشان دهند، به طور مخفیانه و در بستر سیستم به فعالیت ادامه می‌دهند.

 

راه‌حل‌های پیشنهادی

برای مقابله با این تهدیدات، استفاده از رویکردهای نوین امنیتی ضروری است. مدافعان باید به جای تکیه صرف بر روش‌های سنتی، به سمت استفاده از ابزارهای تشخیص پیشرفته، مانند سیستم‌های تحلیل رفتار شبکه و سامانه‌های مبتنی بر هوش مصنوعی حرکت کنند که توانایی شناسایی رفتارهای غیرمعمول و مشکوک را دارند. همچنین، آموزش کارکنان و افزایش آگاهی آنان در مورد روش‌های نفوذ و سوءاستفاده از ابزارهای قانونی می‌تواند به کاهش خطرات کمک کند.

 

همکاری بین‌المللی میان سازمان‌های امنیت سایبری از جمله NSA، CISA، FBI و NCSC در ارائه راهکارها و گزارش‌های امنیتی می‌تواند به سازمان‌ها کمک کند تا بهتر از شبکه‌های خود محافظت کنند و ابزارهای دو‌منظوره و LOTL را در مراحل ابتدایی حملات شناسایی و مقابله کنند.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دو × 2 =