نزدیک به 7 سال از شناسایی Stuxnet می گذرد، بدافزار یا اگر درست تر بگوییم جنگ افزار سایبری که تجهیزات اتمی کشورمان را هدف گرفت و تصور بر این است تلاش آمریکا-اسرائیل باشد. حالا گونه تازه ای از این بدافزار شناسایی شده که بیش از 140 بانک و موسسه مالی در سراسر دنیا را آلوده کرده، این بدافزار فاقد فایل اجرایی است.
سال 2015 کمپانی امنیتی Kaspersky خبر از شناسایی یک بدافزار در شبکه سازمانی خود داد که هیچ شباهتی با بدافزارهای شناسایی شده تا آن زمان نداشت، Duqu 2.0 کاملاً در حافظه سیستمی (RAM) مقیم می شد که تا پیش از آن چنین رفتاری از هیچ بدافزاری مشاهده نشده بود. Kaspersky معتقد بود این بدافزار توسط همان تیم توسعه دهنده بدافزار RAM مقیم می ماند، دست کم به مدت 6 ماه بدون اینکه شناسایی شود به فعالیت پرداخته است.
Stuxnet و به احتمال قوی با پشتیبانی دولتی (به طور مشخص آمریکا-اسرائیل) توسعه یافته است. از آنجایی که این بدافزار فاقد فایل اجرایی بود و کاملاً در حافظهKaspersky به تازگی یک گزارش جدید منتشر شد کرده که ادعا می کند بدافزارهای فاقد فایل اجرایی دیگر به امری معمول تبدیل شده اند و بر روی شبکه های حداقل 140 موسسه بانکی، مالی، دولتی و فعال در حوزه ارتباطات در بیش از 40 کشور دنیا یافت می شود.
هنگامی که یک سیستم آلوده به بدافزار مورد بحث راه اندازی مجدد (reboot) می شود، این بدافزار تغییر نام می دهد که این کار تشخیص حضور بدافزار را برای متخصصین امنیت بسیار دشوار می کند. این نوع از بدافزارها که موسوم به بدافزارهای فاقد فایل اجرایی هستند، تاکنون فقط یکبار نمونه ای از آنها توسط یک تیم امنیتی بانکی شناسایی شده و تصور می شود اغلب قربانیان از وجود چنین بدافزارهایی بر روی کامپیوترهای خود مطلع نباشند.
در نمونه ای شناسایی شده از بدافزارهای فاقد فایل اجرایی، بدافزار از طریق اجرای فرامین PowerShell مستقیماً به حافظه سیستمی (RAM) دانلود و تزریق می شود، در این تکنیک بدافزار هیچگاه بر روی دیسک سخت ذخیره نمی شود که همین امر تشخیص آن را دشوار می کند. ابزار Msfvenom موجود در کیت Metasploit می تواند برای این هدف استفاده می شود.
Kaspersky معتقد است بدافزار مورد بحث با بدافزار مشهورStuxnet و یا تیم توسعه آن ارتباط تنگاتنگی دارد.
نظر خود را اضافه کنید.
برای ارسال نظر وارد شوید
ارسال نظر بدون عضویت در سایت