کمیته رکن چهارم – بدافزار جدیدی شناسایی شده که از روش هایی پیچیده استفاده کرده و نهایت سعی خود را می کند تا مخفی و پنهان بماند و همزمان بستر مناسبی برای فعالیت های مخرب بیشتر فراهم کند.
به گزارش کمیته رکن چهارم،بدافزار جدید که نام Furtim Parent بر روی آن گذاشته شده، از نوع بدافزارهای “دریافت کننده” است که وظیفه اصلی آن دریافت و نصب اجزای دیگر همین بدافزار و یا بدافزارهای مخرب دیگر می باشد.
بررسی ها و مشاهدات بعمل آمده نشان می دهد که بدافزار Furtim Parent در اوایل بهار سال جاری منتشر شده و حامیان قدرتمندی مانند مراکز امنیتی-اطلاعاتی دولتی داشته است.
هدف بدافزارهای “دریافت کننده” ایجاد بستر مناسب برای نصب و فعالیت اجزای دیگر بدافزار است که هر یک وظائف خاصی را عهده دار می باشند. اولویت بدافزار “دریافت کننده” مخفی ماندن، کسب دسترسی های غیرمجاز و از کار انداختن سرویس و ابزارهای حفاظتی است. بدافزار Furtim Parent همه این وظائف را به نحو احسن انجام می دهد.
وقتی بدافزار Furtim Parent برای اولین بار بر روی ماشینی اجرا می شود، بدافزار با دقت سیستم را برای شناسایی ماشین های مجازی، جعبه های شنی (Sandboxes)، ضدویروسها، دیواره های آتش و ابزارهای تحلیل بدافزار کنترل می کند.
نحوه کنترل کردن بدافزار Furtim Parent بسیار موشکافانه و ریز است. این کنترلها شامل مدل CPU، نام فایلهای سیستم، کتابخانه های DLL، شاخه های خاص، گرداننده های Kernel، سرویس های در حال اجرا، سازنده و مدل دیسک سخت، کارت شبکه، آدرس MAC، اطلاعات BIOS و حتی فایلهای زباله که از اجرای نرم افزارهای کاربردی مختلف به جا می ماند، می شود.
در صورت تشخیص هر مورد مشکوک و ناشناخته بر روی سیستم قربانی، بدافزار Furtim Parent به حالت کما رفته و فعالیت های بدافزار محدود به موارد بسیار خاص و اندک می شود.
عمق و دقت کنترلهایی که این بدافزار در ابتدا بر روی سیستم قربانی می کند، نشان دهنده دانش وسیع و گسترده طراحان و سازندگان بدافزار از سیستم عامل Windows و ابزارهای مختلف امنیتی است. این میزان و تنوع دانش در یک یا چند بدافزارنویس عادی که دور هم جمع می شوند، پیدا نمی شود. بدافزار Furtim Parent توسط گروهی حرفه ای با انواع تخصص ها و با پشتوانه مالی انبوه تهیه شده است.
بدافزار خود را بصورت یک فایل ساده بر روی سیستم قربانی نصب نمی کند، بلکه از روش کمتر شناخته شده NTFS Alternative Data Stream استفاده می کند. بدین روش، در زمان راه اندازی سیستم، در همان مراحل اول اجرا شده و از فرامین Windows که در کمتر جایی درباره آنها توضیح داده شده، بهره برداری می کند تا از دید ابزارهای حفاظتی که رفتارهای مشکوک را شناسایی می کنند، در امان بماند.
بدافزار Furtim Parent از دو نقطه ضعف Windows که در سالهای قبل توسط مایکروسافت اصلاح شده اند، سوء استفاده می کند تا مجوز دسترسی غیرمجاز خود را به سیستم قربانی ارتقاء بدهد. همچنین از یک روش شناخته شده ای برای دور زدن امکان امنیتی UAC سیستم عامل Windows استفاده می کند تا مجوز دسترسی Admin پیدا کتد. به محض دسترسی به مجوز Admin، کاربر جاری را در گروه Admin ثبت می کند تا تحت حساب کاربری این کاربر به فعالیت خود ادامه دهد و کمتر جلب توجه کند.
پس از فعال شدن بدافزار، برخی سرویس های ضدویروس موجود بر روی سیستم را کار می اندازد و با گروگان گرفتن تنظیمات DNS دسترسی به سرورهای به روز رسانی ضدویروس را قطع می کند.
یکی از اولین اقدامات بدافزار Furtim Parent جمع آوری اطلاعات از سیستم قربانی و شبکه متصل به آن است. این اطلاعات به یک مرکز کنترل و فرماندهی ارسال می شود. به نظر می رسد که بدافزار اکنون در مرحله شناسایی است ولی در هر زمان قادر است دست به اقدامات دیگر بزند.
بیشترین سیستم های آلوده به بدافزار Furtim Parent در شرکتها و مرکز تولید و توزیع انرژی در کشورهای اروپایی بوده است.
منبع:رسانه خبری امنیت اطلاعات