شناسایی یک بدافزار در زیرساختهای کشور
تیم امداد سایبری مرکز مدیریت راهبردی افتای ریاست جمهوری، با انجام عملیات شکار تهدید در سازمانها بدافزاری را کشف کرد که با توجه به شواهد و بررسیهای انجامشده متعلق به یک گروه هکری سازمانیافته (APT) ناشناخته بوده که در حال حاضر اطلاعاتی از نام و ماهیت این گروه در دست نیست.
تیم امداد سایبری مرکز مدیریت راهبردی افتای ریاست جمهوری، با انجام عملیات شکار تهدید در سازمانها بدافزاری را کشف کرد که با توجه به شواهد و بررسیهای انجامشده متعلق به یک گروه هکری سازمانیافته (APT) ناشناخته بوده که در حال حاضر اطلاعاتی از نام و ماهیت این گروه در دست نیست.
به گزارش ایسنا، این گروه هکری معمولاً سازمانهای دولتی را به قصد جمعآوری اطلاعات هدف قرار میدهد و ورود آن از طریق سوءاستفاده از آسیبپذیریهای سامانههای لبه شبکه (اینترنت) و همچنین از طریق خرید دسترسی اولیه و اکانت معتبر بوده است.
برای افزایش سطح آگاهی راجع به روش عملکرد این گروه گزارش تحلیل بدافزار و TTP حمله و همچنین شاخصهای آلودگی و قواعد شکارتهدید (IOC) مربوط به این گروه در این مقاله در اختیار عموم قرار داده میشود.
با اینکه روش حمله این گروه اشتراکاتی با حملات APT41 و همچنین گروه Oneclik دارد ولی در نوع خود منحصربهفرد بوده است و در گزارشهای بررسیشده با هیچکدام از گروههای شناختهشده مطابقت ندارد.
این گروه از تکنیک پیشرفته AppDomainManager Hijacking (T1574.014) برای اجرای کد مخرب در بستر یک پروسه معتبر ویندوزی استفاده کرده است.
زنجیره حمله با اجرای فرآیند dfsvc.exe آغاز میشود و در انتها با استفاده از ابزار Cobalt اقدام به پایداری دسترسی و اجرای کد مخرب و همچنین استخراج اطلاعات از سازمانها میکند.
این گروه هکری معمولاً سازمانهای دولتی را به قصد جمعآوری اطلاعات هدف قرار میدهد و ورود آن از طریق سوءاستفاده از آسیبپذیریهای سامانههای لبه شبکه (اینترنت) و همچنین از طریق خرید دسترسی اولیه و اکانت معتبر بوده است.
این گروه با استفاده از ابزارهایی مانند dfsvc.exe که دارای امضای دیجیتال معتبر مایکروسافت است و همچنین استفاده از دیالالهای رمز شده تو در تو برای پایداری دسترسی و اجرای شل کد بر روی memory خود را از دید آنتیویروسها مخفی نگه میدارد.
تکنیک AppDomainManager Hijacking با استفاده از dfsvc.exe را در گذشته گروههای APT41 و گروه Oneclik استفاده کرده بودند ولی در روش پیاده سازی این تکنیک تفاوتهایی وجود دارد و به این دلیل نمیتوان این حملات را به این گروهها نسبت داد.
مرکز مدیریت راهبردی افتای ریاست جمهوری بر اساس نتایج حاصل از مهندسی معکوس لایههای بدافزار، استخراج پیکربندی از حافظه و تحلیل ترافیک شبکه، مجموعهای از شاخصهای آلودگی را با دقت بالا (High-Fidelity) استخراج کرده است.
این شاخصها به چهار دسته فایل سیستم، شبکه، میزبان و الگوهای شکار تقسیم میشوند، توصیه مرکز افتا این است که این شاخصها بلافاصله در سامانههای SIEM، EDR و فایروالها اعمال شوند.
برای آشنایی و بهرهبرداری متخصصان، کارشناسان و مدیران فناوری اطلاعات و امنیت سامانههای دستگاههای دارای زیرساخت حیاتی، مشروح گزارش فنی مرکز مدیریت راهبردی افتای ریاست جمهوری در باره شناسایی یک APT در زیرساختهای کشور در فایل پیوست تقدیم شده است.
دیدگاه تان را بنویسید