شروع استفاده از فايلهاي صوتي WAV براي مخفي كردن كدهاي مخرب
دو گزارش منتشر شده در چند ماه گذشته نشان ميدهد كه اپراتورهاي بدافزار در تلاش هستند تا از فايلهاي صوتي WAV براي مخفي كردن كدهاي مخرب استفاده كنند. اين روش بهعنوان استگانوگرافي «Steganography» شناخته ميشود، هنر پنهان كردن اطلاعات در يك رسانه داده ديگر است.
در زمينه نرمافزار، از استگانوگرافي «كه به آن stego نيز گفته ميشود» براي توصيف روند پنهان كردن فايل يا متن در فايل ديگر، با فرمت متفاوت استفاده ميشود. از نمونه هاي اين روش مخفي كردن متن ساده در قالب باينري يك تصوير است.
استفاده از استگانوگرافي بيش از يك دهه است كه در بين اپراتورهاي مخرب محبوب است. نويسندگان نرم افزارهاي مخرب از استگانوگرافي براي نقض يا آلوده كردن سيستمها استفاده نمي كنند بلكه از آن بهعنوان روشي جهت انتقال كدها استفاده ميكنند. اين روش به فايلها اجازه ميدهد تا كد مخرب را براي عبور از نرمافزارهاي امنيتي در فرمت فايلهاي قابل اجرا «مانند فايلهاي چندرسانهاي» پنهان كنند.
نكتهي جديد گزارشهاي منتشر شده استفاده از فايلهاي صوتي WAV است كه تا قبل از سال جاري، در عمليات بدافزارها مورد سوء استفاده قرار نگرفته است .
تاكنون از فرمت هاي تصويري مانند PNG و JPG جهت انتشار بدافزارهاي مخرب استفاده ميشد.
اولين مورد از اين دو كمپين مخرب جديد با سوء استفاده از فايلهاي WAV در ماه ژوئن گزارش شد. محققان امنيتي سيمانتك «Symantec» گفتند كه آنها يك گروه جاسوسي سايبر روسي موسوم به Waterbug (يا Turla) را با استفاده از فايلهاي WAV براي مخفي كردن و انتقال رمزهاي مخرب از سرور خود به قربانيان آلوده مشاهده كردند.
دومين كمپين مخرب در ماه جاري توسط BlackBerry Cylance مشاهده شد. سيلنس «Cylance» در گزارشي كه امروز و هفته گذشته با ZDNet به اشتراك گذاشته شد، اظهار داشت كه چيزي شبيه به آنچه كه سيمانتك از چند ماه قبل ديده بود، مشاهده كرده است.
در حالي كه گزارش سيمانتك يك عمليات جاسوسي سايبري را توصيف ميكند، سيلنس گفت كه آنها شاهد استفاده از تكنيك استگانوگرافي WAV در يك عمليات بدافزار مخفي رمزنگاري شده بودهاند.
سيلنس گفت اين بازيگر تهديد ويژه در حال مخفي كردن DLL ها در فايلهاي صوتي WAV بود. بدافزارهاي موجود در ميزبان آلوده، فايل WAV را بارگيري ميكند و ميخواند، DLL را استخراج ميكنند و سپس آن را اجرا ميكنند و در ادامه يك برنامه رمزنگاري ماينر به نام XMRrig را نصب ميكند.
جوش لموس «Josh Lemos»، مدير تحقيقات و اطلاعات BlackBerry Cylance، روز گذشته در رايانامهي به ZDNet گفت كه اين گونه بدافزارها با استفاده از استگانوگرافي WAV در هر دو نمونه دسكتاپ و سرور مشاهده شدهاند.
سودمندسازي استگانوگرافي
علاوه بر اين، لموس گفت:
به انديشه متخصصين ميرسد اين اولين باري باشد كه يك نوع بدافزار مخفي رمزنگاري با استفاده از استگانوگرافي سوء استفاده ديده ميشود، صرفانديشه متخصصين از اينكه اين يك فايلPNG و JPEG يا WAV باشد.
اين موضوع نشان ميدهد كه نويسندگان بدافزارهاي مخفي رمزنگاري در حال پيشرفت هستند، زيرا آنها از ساير عملياتها مي آموزند.
لموس در ين خصوص به ZDNet گفت:
استفاده از تكنيكهاي stego نياز به درك عميق از قالب فايل هدف دارد. اين روش بهطور كلي توسط بازيگران تهديد پيچيده استفاده ميشود كه ميخواهند براي مدت طولاني پنهان بمانند. توسعه يك تكنيك stego به زمان نياز دارد و چندين وبلاگ به تفصيل توضيح دادهاند كه چگونه بازيگران تهديداتي مانند OceanLotus يا Turla را اجرا ميكنند.
به عبارت ديگر ، عمل مستند سازي و مطالعهي استگانوگرافي با يك اثر گلوله برفي همراه است كه اين روش را نيز براي اجراي بدافزارهاي كم مهارت ترسيم ميكند.
در حالي كه كار سيمانتك و سيلنس در مستندسازي استگانوگرافي مبتني بر WAV ممكن است به ديگر اپراتورهاي بدافزار كمك كند، فايلهاي WAV ،PNG و JPG تنها انواعي نيستند كه ميتوانند از آنها سوء استفاده كنند. لموس گفت:
Stego ميتواند تا زمانيكه مهاجم به ساختار و محدوديت هاي اين قالب پايبند باشد و هرگونه تغييراتي كه در فايل هدف قرار گرفته باشد، يكپارچگي آن را از بين نبرد با هر فرمت مورد استفاده قرار گيرد.
به عبارت ديگر ، دفاع از استگانوگرافي با مسدود كردن قالب هاي آسيب پذير فايل راهحل صحيحي نيست، زيرا شركتها در نهايت بارگيري بسياري از قالبهاي محبوب مانند JPEG ، PNG ،BMP ،WAV ،GIF ،WebP ،TIFF را قطع خواهند كرد كه امكان حركت به سوي اينترنت مدرن را غيرممكن ميكند.
از آنجا كه stego فقط بهعنوان يك روش انتقال داده مورد استفاده قرار ميگيرد، شركتها بايد در تشخيص نقطه ورود يا عفونت بدافزار سوءاستفادهگر با استفاده از استگانوگرافي يا اجراي كد غيرمجاز كه توسط اين فايلها استفاده ميشود، تمركز كنند.
هم انديشي ها