شروع استفاده از فایل‌های صوتی WAV برای مخفی کردن کد‌های مخرب

روند بدافزارهای استگانوگرافی در حال انتقال از فایل‌های PNG و JPG به WAV است.

دو گزارش منتشر شده در چند ماه گذشته نشان می‌دهد که اپراتورهای بدافزار در تلاش هستند تا از فایل‌های صوتی WAV برای مخفی کردن کد‌های مخرب استفاده کنند. این روش به‌عنوان استگانوگرافی «Steganography» شناخته می‌شود، هنر پنهان کردن اطلاعات در یک رسانه داده دیگر است.

در زمینه نرم‌افزار، از استگانوگرافی «که به آن stego نیز گفته می‌شود» برای توصیف روند پنهان کردن فایل یا متن در فایل دیگر، با فرمت متفاوت استفاده می‌شود. از نمونه های این روش مخفی کردن متن ساده در قالب باینری یک تصویر است.

استفاده از استگانوگرافی بیش از یک دهه است که در بین اپراتورهای مخرب محبوب است. نویسندگان نرم افزارهای مخرب از استگانوگرافی برای نقض یا آلوده کردن سیستم‌ها استفاده نمی کنند بلکه از آن به‌عنوان روشی جهت انتقال کدها استفاده می‌کنند. این روش به فایل‌ها اجازه می‌دهد تا کد مخرب را برای عبور از نرم‌افزارهای امنیتی  در فرمت‌ فایل‌های قابل اجرا «مانند فایل‌های چندرسانه‌ای» پنهان کنند.

Steganography

نکته‌ی جدید گزارش‌های منتشر شده استفاده از فایل‌های صوتی WAV است که تا قبل از سال جاری، در عملیات بدافزار‌ها مورد سوء استفاده قرار نگرفته است .

تاکنون از فرمت های تصویری مانند  PNG و JPG جهت انتشار بدافزارهای مخرب استفاده می‌شد.

اولین مورد از این دو کمپین مخرب جدید با سوء استفاده از فایل‌های WAV در ماه ژوئن گزارش شد. محققان امنیتی سیمانتک «Symantec» گفتند که آن‌ها یک گروه جاسوسی سایبر روسی موسوم به Waterbug (یا Turla) را با استفاده از فایل‌های WAV برای مخفی کردن و انتقال رمزهای مخرب از سرور خود به قربانیان آلوده مشاهده کردند.

دومین کمپین مخرب در ماه جاری توسط BlackBerry Cylance مشاهده شد. سیلنس «Cylance» در گزارشی که امروز و هفته گذشته با ZDNet به اشتراک گذاشته شد، اظهار داشت که چیزی شبیه به آنچه که سیمانتک از چند ماه قبل دیده بود، مشاهده کرده است.

در حالی که گزارش سیمانتک یک عملیات جاسوسی سایبری را توصیف می‌کند، سیلنس گفت که آن‌ها شاهد استفاده از تکنیک استگانوگرافی WAV در یک عملیات بدافزار مخفی رمزنگاری شده بوده‌اند.

سیلنس گفت این بازیگر تهدید ویژه در حال مخفی کردن DLL ها در فایل‌های صوتی WAV بود. بدافزارهای موجود در میزبان آلوده، فایل WAV را بارگیری می‌کند و می‌خواند، DLL را استخراج می‌کنند و سپس آن را اجرا می‌کنند و در ادامه یک برنامه رمزنگاری ماینر به نام XMRrig را نصب می‌کند.

جوش لموس «Josh Lemos»، مدیر تحقیقات و اطلاعات BlackBerry Cylance، روز گذشته در ایمیلی به ZDNet گفت که این گونه بدافزارها با استفاده از استگانوگرافی WAV در هر دو نمونه دسکتاپ و سرور مشاهده شده‌اند.

سودمندسازی استگانوگرافی

علاوه بر این، لموس گفت:

به نظر می‌رسد این اولین باری باشد که یک نوع بدافزار مخفی رمزنگاری با استفاده از استگانوگرافی سوء استفاده دیده می‌شود، صرف‌نظر از اینکه این یک فایلPNG و JPEG یا WAV باشد.

این موضوع نشان می‌دهد که نویسندگان بدافزارهای مخفی رمزنگاری در حال پیشرفت هستند، زیرا آن‌ها از سایر عملیات‌ها می آموزند.

لموس در ین خصوص به ZDNet گفت:

استفاده از تکنیک‌های stego نیاز به درک عمیق از قالب فایل هدف دارد. این روش به‌طور کلی توسط بازیگران تهدید پیچیده استفاده می‌شود که می‌خواهند برای مدت طولانی پنهان بمانند. توسعه یک تکنیک stego به زمان نیاز دارد و چندین وبلاگ به تفصیل توضیح داده‌اند که چگونه بازیگران تهدیداتی مانند OceanLotus یا Turla را اجرا می‌کنند.

به عبارت دیگر ، عمل مستند سازی و مطالعه‌ی استگانوگرافی با یک اثر گلوله برفی همراه است که این روش را نیز برای اجرای بدافزارهای کم مهارت ترسیم می‌کند.

در حالی که کار سیمانتک و سیلنس در مستندسازی استگانوگرافی مبتنی بر WAV ممکن است به دیگر اپراتورهای بدافزار کمک کند، فایل‌های WAV ،PNG و JPG تنها انواعی نیستند که می‌توانند از آن‌ها سوء استفاده کنند. لموس گفت:

Stego می‌تواند تا زمانی‌که مهاجم به ساختار و محدودیت های این قالب پایبند باشد و هرگونه تغییراتی که در فایل هدف قرار گرفته باشد، یکپارچگی آن را از بین نبرد با هر فرمت مورد استفاده قرار گیرد.

به عبارت دیگر ، دفاع از استگانوگرافی با مسدود کردن قالب های آسیب پذیر فایل راه‌حل صحیحی نیست، زیرا شرکت‌ها در نهایت بارگیری بسیاری از قالب‌های محبوب مانند JPEG ، PNG ،BMP ،WAV ،GIF ،‌WebP ،TIFF را قطع خواهند کرد که امکان حرکت به سوی اینترنت مدرن را غیرممکن می‌کند.

از آنجا که stego فقط به‌عنوان یک روش انتقال داده مورد استفاده قرار می‌گیرد، شرکت‌ها باید در تشخیص نقطه ورود یا عفونت بدافزار سوءاستفاده‌گر با استفاده از استگانوگرافی یا اجرای کد غیرمجاز که توسط این فایل‌ها استفاده می‌شود، تمرکز کنند.

منبع zdnet

از سراسر وب

  دیدگاه
کاراکتر باقی مانده

بیشتر بخوانید