شروع استفاده از فایل‌های صوتی WAV برای مخفی کردن کد‌های مخرب

دو گزارش منتشر شده در چند ماه گذشته نشان می‌دهد که اپراتورهای بدافزار در تلاش هستند تا از فایل‌های صوتی WAV برای مخفی کردن کد‌های مخرب استفاده کنند. این روش به‌عنوان استگانوگرافی «Steganography» شناخته می‌شود، هنر پنهان کردن اطلاعات در یک رسانه داده دیگر است.

استفاده از استگانوگرافی بیش از یک دهه است که در بین اپراتورهای مخرب محبوب است. نویسندگان نرم افزارهای مخرب از استگانوگرافی برای نقض یا آلوده کردن سیستم‌ها استفاده نمی کنند بلکه از آن به‌عنوان روشی جهت انتقال کدها استفاده می‌کنند. این روش به فایل‌ها اجازه می‌دهد تا کد مخرب را برای عبور از نرم‌افزارهای امنیتی  در فرمت‌ فایل‌های قابل اجرا «مانند فایل‌های چندرسانه‌ای» پنهان کنند.

نکته‌ی جدید گزارش‌های منتشر شده استفاده از فایل‌های صوتی WAV است که تا قبل از سال جاری، در عملیات بدافزار‌ها مورد سوء استفاده قرار نگرفته است .

دومین کمپین مخرب در ماه جاری توسط BlackBerry Cylance مشاهده شد. سیلنس «Cylance» در گزارشی که امروز و هفته گذشته با ZDNet به اشتراک گذاشته شد، اظهار داشت که چیزی شبیه به آنچه که سیمانتک از چند ماه قبل دیده بود، مشاهده کرده است.

در حالی که گزارش سیمانتک یک عملیات جاسوسی سایبری را توصیف می‌کند، سیلنس گفت که آن‌ها شاهد استفاده از تکنیک استگانوگرافی WAV در یک عملیات بدافزار مخفی رمزنگاری شده بوده‌اند.

سیلنس گفت این بازیگر تهدید ویژه در حال مخفی کردن DLL ها در فایل‌های صوتی WAV بود. بدافزارهای موجود در میزبان آلوده، فایل WAV را بارگیری می‌کند و می‌خواند، DLL را استخراج می‌کنند و سپس آن را اجرا می‌کنند و در ادامه یک برنامه رمزنگاری ماینر به نام XMRrig را نصب می‌کند.

جوش لموس «Josh Lemos»، مدیر تحقیقات و اطلاعات BlackBerry Cylance، روز گذشته در ایمیلی به ZDNet گفت که این گونه بدافزارها با استفاده از استگانوگرافی WAV در هر دو نمونه دسکتاپ و سرور مشاهده شده‌اند.

علاوه بر این، لموس گفت:

به نظر می‌رسد این اولین باری باشد که یک نوع بدافزار مخفی رمزنگاری با استفاده از استگانوگرافی سوء استفاده دیده می‌شود، صرف‌نظر از اینکه این یک فایلPNG و JPEG یا WAV باشد.

این موضوع نشان می‌دهد که نویسندگان بدافزارهای مخفی رمزنگاری در حال پیشرفت هستند، زیرا آن‌ها از سایر عملیات‌ها می آموزند.

لموس در ین خصوص به ZDNet گفت:

استفاده از تکنیک‌های stego نیاز به درک عمیق از قالب فایل هدف دارد. این روش به‌طور کلی توسط بازیگران تهدید پیچیده استفاده می‌شود که می‌خواهند برای مدت طولانی پنهان بمانند. توسعه یک تکنیک stego به زمان نیاز دارد و چندین وبلاگ به تفصیل توضیح داده‌اند که چگونه بازیگران تهدیداتی مانند OceanLotus یا Turla را اجرا می‌کنند.

به عبارت دیگر ، عمل مستند سازی و مطالعه‌ی استگانوگرافی با یک اثر گلوله برفی همراه است که این روش را نیز برای اجرای بدافزارهای کم مهارت ترسیم می‌کند.

در حالی که کار سیمانتک و سیلنس در مستندسازی استگانوگرافی مبتنی بر WAV ممکن است به دیگر اپراتورهای بدافزار کمک کند، فایل‌های WAV ،PNG و JPG تنها انواعی نیستند که می‌توانند از آن‌ها سوء استفاده کنند. لموس گفت:

Stego می‌تواند تا زمانی‌که مهاجم به ساختار و محدودیت های این قالب پایبند باشد و هرگونه تغییراتی که در فایل هدف قرار گرفته باشد، یکپارچگی آن را از بین نبرد با هر فرمت مورد استفاده قرار گیرد.

به عبارت دیگر ، دفاع از استگانوگرافی با مسدود کردن قالب های آسیب پذیر فایل راه‌حل صحیحی نیست، زیرا شرکت‌ها در نهایت بارگیری بسیاری از قالب‌های محبوب مانند JPEG ، PNG ،BMP ،WAV ،GIF ،‌WebP ،TIFF را قطع خواهند کرد که امکان حرکت به سوی اینترنت مدرن را غیرممکن می‌کند.

از آنجا که stego فقط به‌عنوان یک روش انتقال داده مورد استفاده قرار می‌گیرد، شرکت‌ها باید در تشخیص نقطه ورود یا عفونت بدافزار سوءاستفاده‌گر با استفاده از استگانوگرافی یا اجرای کد غیرمجاز که توسط این فایل‌ها استفاده می‌شود، تمرکز کنند.