در سال ۲۰۲۴، تنها کمتر از دو ماه از آغاز سال گذشته است که شاهد انفجار حملات باجافزاری بودهایم که با بهرهگیری از ابزارهای دومنظوره انجام میشوند. ابزارهای دومنظوره به نرمافزارهایی اشاره دارند که برای انجام وظایف مشخصی در زمینههای تجاری و فناوری اطلاعات ساخته شدهاند؛ اما توسط مهاجمان به منظور انجام حملات باجافزاری نصب و مورد سوءاستفاده قرار میگیرند. هرچند در گذشته اکثر گروههای باجافزاری از این ابزارها به نحوی استفاده کردهاند، اما تعداد ابزارهایی که اکنون مورد استفاده قرار میگیرند به طرز چشمگیری افزایش یافته است.
این گسترش سریع استفاده از ابزارهای دومنظوره در حملات باجافزاری، بر نقش سوءاستفاده از نرمافزارهای قانونی در تشدید اپیدمی باجافزارها تأکید دارد. سیمانتک در گزارش اخیر خود تحت عنوان «چشمانداز تهدید باجافزار در ۲۰۲۴»، نشان داده است که مهاجمان به طور فزایندهای از نرمافزارهای قانونی که به عنوان «زندگی در بستر سیستم» (Living Off the Land یا به اختصار LOTL) شناخته میشوند، در حملات باجافزاری استفاده میکنند تا وابستگی خود به بدافزارها را به حداقل برسانند. این رویکرد به مهاجمان اجازه میدهد که با تکیه بر ابزارهای موجود در سیستم قربانی، حملات خود را پیش ببرند و از شناسایی توسط سامانههای امنیتی مرسوم جلوگیری کنند.
سازمان امنیت ملی ایالات متحده (NSA)، آژانس امنیت سایبری و زیرساختهای ایالات متحده (CISA)، دفتر تحقیقات فدرال (FBI) و مرکز ملی امنیت سایبری بریتانیا (NCSC) به تازگی با همکاری یکدیگر، گزارشی با عنوان «شناسایی و کاهش تکنیکهای زندگی در بستر سیستم» منتشر کردهاند تا به مدافعان شبکهها کمک کنند این نوع حملات را بهتر شناسایی و از آنها محافظت کنند.
چالشهای امنیتی ناشی از ابزارهای دومنظوره و زندگی در بستر سیستم
در مقالهای با عنوان «پیشرفتهای امنیت نقطه پایانی»، دیو گروبر، تحلیلگر ارشد در گروه استراتژی سازمانی (ESG)، بیان میکند که بیش از نیمی از رهبران امنیتی (۵۲٪) گزارش دادهاند که عملیات امنیتی نسبت به دو سال گذشته پیچیدهتر شده است. این پیچیدگی ناشی از افزایش سطح حمله و تغییرات سریع در چشمانداز تهدیدات است. به ویژه، استفاده بیشتر از ابزارهای LOTL به این چالشها افزوده است.
خطرات ناشی از ابزارهای دومنظوره و LOTL تنها به باجافزار محدود نمیشود. به گفته CISA، FBI، NCSC و NSA، این تکنیکها اغلب توسط بازیگران دولتی برای فرار از شناسایی استفاده میشوند. به عنوان مثال، گروه بازیگران BlackTech از تکنیکهای زندگی در بستر سیستم برای همگام شدن با فعالیتهای عادی سیستمعامل و شبکه استفاده میکنند تا از شناسایی توسط محصولات تشخیص و پاسخ نقطه پایانی (EDR) فرار کنند.
تفاوت میان حملات LOTL و ابزارهای دومنظوره
بیشتر ابزارهای LOTL نرمافزارهای قانونی هستند که پیشتر بر روی دستگاه نصب شدهاند و اغلب بخشی از سیستمعامل ویندوز محسوب میشوند، مانند PowerShell، WMI و Vssadmin. تحلیلهای سیمانتک نشان میدهند که بیشتر گروههای باجافزار روشهای از پیش تعیین شدهای برای استفاده از این ابزارها در حملات خود دارند.
در مقابل، ابزارهای دومنظوره نرمافزارهایی هستند که مهاجمان آنها را به طور مستقل به شبکههای هدف وارد میکنند. نرمافزارهای کنترل از راه دور یا مدیریت از راه دور از جمله رایجترین ابزارهای دومنظورهای هستند که برای کنترل نقاط پایانی به جای نصب بدافزارها مورد استفاده قرار میگیرند. به عنوان نمونه، گروه باجافزاری LockBit اخیراً با استفاده از نرمافزار مدیریت و پایش از راه دور توانست جای پای خود را در شبکههای هدف تقویت کند.
ابزارهای دومنظوره محبوب در حملات باجافزاری
در حملات باجافزاری، سیمانتک برخی از ابزارهای دومنظوره را شناسایی کرده که به طور مکرر توسط مهاجمان مورد استفاده قرار میگیرند. از جمله این ابزارها میتوان به موارد زیر اشاره کرد:
PsExec: ابزاری از مجموعه Sysinternals مایکروسافت که برای اجرای فرآیندها بر روی سیستمهای دیگر استفاده میشود. مهاجمان عمدتاً از این ابزار برای حرکت جانبی در شبکههای قربانی استفاده میکنند.
NetScan: نرمافزار SoftPerfect Network Scanner که ابزاری عمومی برای کشف نامهای میزبان و خدمات شبکه است. این ابزار به طور گسترده توسط مهاجمان برای شناسایی میزبانهای موجود در شبکه هدف استفاده میشود.
AdFind: ابزاری عمومی که برای جستجو در دایرکتوریهای فعال (Active Directory) به کار میرود. اگرچه کاربردهای قانونی دارد، اما به طور گسترده توسط مهاجمان برای نقشهبرداری از شبکهها مورد استفاده قرار میگیرد.
Rclone: ابزاری متنباز که به طور قانونی برای مهاجرت محتوا به فضای ابری استفاده میشود، اما مهاجمان باجافزار از آن برای انتقال دادههای سرقت شده از دستگاههای قربانی به ابر سوءاستفاده میکنند.
AnyDesk: یک برنامه قانونی کنترل از راه دور که اخیراً دچار نفوذ هکرها شد. AnyDesk و نرمافزارهای مشابه به طور گسترده توسط مهاجمان برای دسترسی به رایانهها از راه دور استفاده میشوند.
چالشهای پیش روی مدافعان شبکه
CISA در گزارش اخیر خود به دقت به چالشهای امنیتی بسیاری که مدافعان شبکه با آنها مواجهاند اشاره کرده است. مهاجمان در حملات LOTL از ابزارهای شناختهشده و قانونی استفاده میکنند که باعث میشود علائم مرسوم تهدید (Indicators of Compromise یا IOC) به طور معمول در شبکه شناسایی نشود. این موضوع تلاشهای مدافعان برای شناسایی، پیگیری و دستهبندی رفتارهای مخرب را پیچیدهتر میکند. از آنجا که این ابزارها قانونی و بخشی از سیستمهای معمولی هستند، روشهای امنیتی سنتی مانند آنتیویروسها یا دیوارهای آتش در شناسایی و مقابله با این تهدیدات ناکارآمدند.
ابزارهای دومنظوره نیز پیچیدگیهای خاص خود را دارند. به طور معمول، این ابزارها به عنوان بخشی از برنامههای مجاز به شبکه هدف وارد میشوند و از آنجایی که استفاده از آنها برای کاربردهای قانونی است، تشخیص اینکه چه زمانی از آنها برای مقاصد مخرب استفاده میشود بسیار دشوار است.
به عنوان مثال، نرمافزارهای کنترل از راه دور مانند AnyDesk و نرمافزارهای مدیریت شبکه مانند NetScan به طور گسترده برای اهداف قانونی مورد استفاده قرار میگیرند. با این حال، هنگامی که مهاجمان از آنها برای گسترش جای پای خود در شبکه قربانی استفاده میکنند، شناسایی این موضوع توسط سامانههای امنیتی معمول دشوار است. این ابزارها، به جای آنکه مانند بدافزارها علائم تهدید مشخصی از خود نشان دهند، به طور مخفیانه و در بستر سیستم به فعالیت ادامه میدهند.
راهحلهای پیشنهادی
برای مقابله با این تهدیدات، استفاده از رویکردهای نوین امنیتی ضروری است. مدافعان باید به جای تکیه صرف بر روشهای سنتی، به سمت استفاده از ابزارهای تشخیص پیشرفته، مانند سیستمهای تحلیل رفتار شبکه و سامانههای مبتنی بر هوش مصنوعی حرکت کنند که توانایی شناسایی رفتارهای غیرمعمول و مشکوک را دارند. همچنین، آموزش کارکنان و افزایش آگاهی آنان در مورد روشهای نفوذ و سوءاستفاده از ابزارهای قانونی میتواند به کاهش خطرات کمک کند.
همکاری بینالمللی میان سازمانهای امنیت سایبری از جمله NSA، CISA، FBI و NCSC در ارائه راهکارها و گزارشهای امنیتی میتواند به سازمانها کمک کند تا بهتر از شبکههای خود محافظت کنند و ابزارهای دومنظوره و LOTL را در مراحل ابتدایی حملات شناسایی و مقابله کنند.