شروع استفاده از فايل‌هاي صوتي WAV براي مخفي كردن كد‌هاي مخرب

دو گزارش منتشر شده در چند ماه گذشته نشان مي‌دهد كه اپراتورهاي بدافزار در تلاش هستند تا از فايل‌هاي صوتي WAV براي مخفي كردن كد‌هاي مخرب استفاده كنند. اين روش به‌عنوان استگانوگرافي «Steganography» شناخته مي‌شود، هنر پنهان كردن اطلاعات در يك رسانه داده ديگر است.

استفاده از استگانوگرافي بيش از يك دهه است كه در بين اپراتورهاي مخرب محبوب است. نويسندگان نرم افزارهاي مخرب از استگانوگرافي براي نقض يا آلوده كردن سيستم‌ها استفاده نمي كنند بلكه از آن به‌عنوان روشي جهت انتقال كدها استفاده مي‌كنند. اين روش به فايل‌ها اجازه مي‌دهد تا كد مخرب را براي عبور از نرم‌افزارهاي امنيتي  در فرمت‌ فايل‌هاي قابل اجرا «مانند فايل‌هاي چندرسانه‌اي» پنهان كنند.

نكته‌ي جديد گزارش‌هاي منتشر شده استفاده از فايل‌هاي صوتي WAV است كه تا قبل از سال جاري، در عمليات بدافزار‌ها مورد سوء استفاده قرار نگرفته است .

دومين كمپين مخرب در ماه جاري توسط BlackBerry Cylance مشاهده شد. سيلنس «Cylance» در گزارشي كه امروز و هفته گذشته با ZDNet به اشتراك گذاشته شد، اظهار داشت كه چيزي شبيه به آنچه كه سيمانتك از چند ماه قبل ديده بود، مشاهده كرده است.

در حالي كه گزارش سيمانتك يك عمليات جاسوسي سايبري را توصيف مي‌كند، سيلنس گفت كه آن‌ها شاهد استفاده از تكنيك استگانوگرافي WAV در يك عمليات بدافزار مخفي رمزنگاري شده بوده‌اند.

سيلنس گفت اين بازيگر تهديد ويژه در حال مخفي كردن DLL ها در فايل‌هاي صوتي WAV بود. بدافزارهاي موجود در ميزبان آلوده، فايل WAV را بارگيري مي‌كند و مي‌خواند، DLL را استخراج مي‌كنند و سپس آن را اجرا مي‌كنند و در ادامه يك برنامه رمزنگاري ماينر به نام XMRrig را نصب مي‌كند.

جوش لموس «Josh Lemos»، مدير تحقيقات و اطلاعات BlackBerry Cylance، روز گذشته در رايانامهي به ZDNet گفت كه اين گونه بدافزارها با استفاده از استگانوگرافي WAV در هر دو نمونه دسكتاپ و سرور مشاهده شده‌اند.

علاوه بر اين، لموس گفت:

به انديشه متخصصين مي‌رسد اين اولين باري باشد كه يك نوع بدافزار مخفي رمزنگاري با استفاده از استگانوگرافي سوء استفاده ديده مي‌شود، صرف‌انديشه متخصصين از اينكه اين يك فايلPNG و JPEG يا WAV باشد.

اين موضوع نشان مي‌دهد كه نويسندگان بدافزارهاي مخفي رمزنگاري در حال پيشرفت هستند، زيرا آن‌ها از ساير عمليات‌ها مي آموزند.

لموس در ين خصوص به ZDNet گفت:

استفاده از تكنيك‌هاي stego نياز به درك عميق از قالب فايل هدف دارد. اين روش به‌طور كلي توسط بازيگران تهديد پيچيده استفاده مي‌شود كه مي‌خواهند براي مدت طولاني پنهان بمانند. توسعه يك تكنيك stego به زمان نياز دارد و چندين وبلاگ به تفصيل توضيح داده‌اند كه چگونه بازيگران تهديداتي مانند OceanLotus يا Turla را اجرا مي‌كنند.

به عبارت ديگر ، عمل مستند سازي و مطالعه‌ي استگانوگرافي با يك اثر گلوله برفي همراه است كه اين روش را نيز براي اجراي بدافزارهاي كم مهارت ترسيم مي‌كند.

در حالي كه كار سيمانتك و سيلنس در مستندسازي استگانوگرافي مبتني بر WAV ممكن است به ديگر اپراتورهاي بدافزار كمك كند، فايل‌هاي WAV ،PNG و JPG تنها انواعي نيستند كه مي‌توانند از آن‌ها سوء استفاده كنند. لموس گفت:

Stego مي‌تواند تا زماني‌كه مهاجم به ساختار و محدوديت هاي اين قالب پايبند باشد و هرگونه تغييراتي كه در فايل هدف قرار گرفته باشد، يكپارچگي آن را از بين نبرد با هر فرمت مورد استفاده قرار گيرد.

به عبارت ديگر ، دفاع از استگانوگرافي با مسدود كردن قالب هاي آسيب پذير فايل راه‌حل صحيحي نيست، زيرا شركت‌ها در نهايت بارگيري بسياري از قالب‌هاي محبوب مانند JPEG ، PNG ،BMP ،WAV ،GIF ،‌WebP ،TIFF را قطع خواهند كرد كه امكان حركت به سوي اينترنت مدرن را غيرممكن مي‌كند.

از آنجا كه stego فقط به‌عنوان يك روش انتقال داده مورد استفاده قرار مي‌گيرد، شركت‌ها بايد در تشخيص نقطه ورود يا عفونت بدافزار سوءاستفاده‌گر با استفاده از استگانوگرافي يا اجراي كد غيرمجاز كه توسط اين فايل‌ها استفاده مي‌شود، تمركز كنند.