شناسایی BITSLOTH بکدور جدید سیستمهای ویندوزی
- چهارشنبه, ۱۷ مرداد ۱۴۰۳، ۱۱:۱۶ ق.ظ
بکدور (Backdoor) نوعی نرمافزار یا روش دسترسی به یک سیستم کامپیوتری است که به کاربر اجازه میدهد بدون نیاز به تأییدیههای امنیتی معمول، وارد سیستم شود. در زمینه امنیت سایبری، بکدور معمولاً به کدی اشاره دارد که به طور مخفیانه در نرمافزار یا سیستم تعبیه میشود تا به مهاجم اجازه دسترسی غیرمجاز به سیستم را بدهد.
محققان اخیراً یک بکدور جدید به نام BITSLOTH در ویندوز کشف کردهاند که سیستمهای ویندوزی را هدف قرار میدهد و از سرویس Background Intelligent Transfer Service (BITS) برای عملیات فرمان و کنترل (C2) بهره میبرد.
عملیات فرمان و کنترل (C2) فرآیندی است که در آن مهاجمان سایبری، پس از نفوذ به یک سیستم، ارتباطات خود را با سیستمهای آلوده حفظ میکنند و از طریق آن، دستورات خود را ارسال و اطلاعات را دریافت میکنند. این کانال به مهاجم امکان میدهد تا دستورات مختلفی مانند اجرای بدافزارهای جدید، جمعآوری اطلاعات حساس یا دستکاری فایلها را صادر کند.
BITS یک سرویس ویندوزی است که برای انتقال فایلها به صورت غیرهمزمان بین دستگاهها طراحی شده است. این سرویس بهویژه برای دانلود بهروزرسانیها و انتقال دادهها با کمترین تأثیر بر عملکرد شبکه کاربرد دارد. BITS قابلیت مدیریت قطعیهای شبکه را نیز داراست و میتواند انتقالها را پس از بازگشت اتصال ادامه دهد، حتی اگر سیستم مجددا راهاندازی شده باشد.
BITSLOTH از یک پروژهی بارگذاری شلکد برای اجرای مخفیانه و عبور از مکانیزمهای امنیتی سنتی استفاده میکند. در حین حرکت جانبی در شبکه، BITSLOTH به عنوان یک فایل DLL (به نام flengine.dll) وارد سیستم شده و با استفاده از تکنیک Side-Loading، این فایل مخرب را از طریق یک برنامه به نام FL Studio بارگذاری و اجرا میکند. FL Studio یک برنامهی معتبر برای تولید موسیقی است که نصب آن برای کاربران متداول است. مهاجمان به نحوی با استفاده از این برنامه کد مخرب BITSLOTH را اجرا میکنند، که این فرآیند به عنوان بخشی از عملکرد معمولی نصب FL Studio به نظر میرسد.
در توضیح حرکت جانبی (Lateral Movement) باید گفت این روش به فرآیندی اشاره دارد که در آن مهاجم پس از به دست آوردن دسترسی اولیه به یک سیستم، تلاش میکند به سایر سیستمهای موجود در شبکه دسترسی پیدا کند تا دامنهی نفوذ خود را در شبکه گسترش داده و به منابع ارزشمندتر، مانند سرورها، پایگاههای داده و سیستمهای مدیریتی، دسترسی یابد.
BITSLOTH دارای 35 فرمان مختلف است و از جمله قابلیتهای کلیدی آن میتوان به این موارد اشاره کرد:
- جمعآوری دادهها: شامل ضبط کلیدهای فشرده شده (keylogging)، عکسبرداری از صفحه نمایش و جمعآوری اطلاعات سیستم.
- Keylogging، یک روش جاسوسی دیجیتال است که در آن هر چیزی که کاربر روی صفحهکلید خود تایپ میکند، ثبت میشود. این اطلاعات میتواند شامل رمزهای عبور، پیامهای شخصی، اطلاعات بانکی و سایر دادههای حساس باشد.
- اجرا و فرماندهی: امکان اجرای دستورات، آپلود و دانلود فایلها.
- پایداری: استفاده از BITS برای حفظ دسترسی مداوم به سیستم.
علاوه بر این، BITSLOTH میتواند حالت ارتباط را به HTTP یا HTTPS تنظیم کند، فرآیندهای دلخواه را خاتمه دهد، کاربران را از سیستم خارج کند، سیستم را مجدداً راهاندازی یا خاموش کند، و حتی خود را بهروزرسانی کرده یا از سیستم میزبان حذف کند.
این بدافزار همچنین با ایجاد و مدیریت کارهای BITS که به ظاهر بیضرر هستند و شبیه به وظایف بهروزرسانی ویندوز به نظر میرسند، از شناسایی شدن اجتناب میکند. به عنوان مثال، کارهای موجود با نامهایی مثل "WU Client Download" را لغو میکند و کارهای جدیدی با نامهای مشابه ایجاد میکند. این کارها به طور مخفیانه با سرورهای فرمان و کنترل(C2) ارتباط برقرار کرده و ترافیک مخرب را با ترافیک عادی شبکه ترکیب میکنند.
به گفتهی محققان، استفاده از BITSLOTH و بهرهبرداری آن از سرویس BITS برای مهاجمان جذاب است، زیرا این سرویس به دلیل کاربردهای مشروعش معمولاً از نظارتهای امنیتی عبور میکند. بسیاری از سازمانها در تشخیص تفاوت بین ترافیک عادی BITS و فعالیتهای مخرب مشکل دارند، که این امکان را به مهاجمان میدهد تا برای مدت طولانی در شبکه باقی بمانند و فعالیتهای خود را پنهان کنند.
محصولات تحت تاثیر
سیستمها و سرورهای ویندوزی، ممکن است هدف این حمله قرار بگیرند.
توصیههای امنیتی
برای جلوگیری از اثرات بدافزاری مانند BITSLOTH، موارد ذیل توصیه میگردند:
- نظارت دقیق و مستمر بر ترافیک سرویس BITS.
- استفاده از ابزارهای تحلیل ترافیک شبکه برای بررسی و تحلیل ترافیک BITS.
- تنظیم مجدد مجوزهای دسترسی به سرویس BITS و غیرفعالسازی آن در سیستمهایی که به آن نیاز ندارند.
- پیادهسازی سامانههای EDR (Endpoint Detection and Response) پیشرفته برای شناسایی رفتارهای مشکوک و و پاسخ به تهدیدات امنیتی در نقاط انتهایی شبکه (مانند رایانههای شخصی و سرورها).
- استفاده از قوانین YARA ارائه شده توسط Elastic Security Labs برای شناسایی BITSLOTH.
- محدودسازی اجرای فایلهای DLL از مسیرهای غیرمجاز.
- محدودسازی مجوزهای دسترسی به سیستمها و اطلاعات حساس.