بد افزار اینترنتی “Steganos” پس از ۲ سال مخفی ماندن از دست سرویسهای امنیتی سرورهای تبلیغات، بالاخره توسط پژوهشگران Eset شناسایی گردید. البته اگر شما جز آن دسته از افرادی نیستید که همچنان از مرورگر اینترنت اکسپلورر استفاده مینمایند، مشکلی شما را تهدید نخواهد کرد.
به هر حال کشف بد افزار Stegano ضعف سیستمهای امنیت شبکه را به رخ کشید و نشان داد که چگونه هکرهای ماهر توانستند با استفاده کردن از نوع خاصی از تبلیغات اینترنتی (که به نام slipping ads شهرت دارند) به سیستمها نفوذ کرده و از دست آنتی ویروسهای فعال بر روی سرورها جان سالم به در ببرند. این بد افزار که به صورت کاملا مخفیانه بر روی سیستمها وجود داشت و توسط هیچ آنتی ویروسی قابل شناسایی نبود، با هدف دسترسی به اطلاعات مالی شرکتهای بزرگ و گزارشات سیستم بانکی، توانست به مدت ۲ سال بدون هیچ مزاحمتی به فعالیت بپردازد.
این حمله در ابتدا به صورت تبلیغاتی ساده بر روی برنامه Broxu وارد دستگاههای مختلف گردید. پس از آن، تبلیغات جعلی هکرها به وسیله “Browser Defense” در شبکه جهانی تبلیغات قرار داده شد تا بدین ترتیب، آنها بتوانند بدون هیچ هزینهای خود را در معرض دید میلیونها کاربر فعال در اینترنت قرار دهند. طبق اظهارات سرپرست تیم شناسایی این بد افزار، ویروس اینترنتی Steganos حتی از برخی بدافزارهای دیگر مانند Angler و Neutrino (که قبلا شناسایی شده بودند) نیز قویتر بود. کیت مخرب Steganos به راحتی میتوانست راه خود را به وبسایتهای مورد نظرش پیدا کرده و در معرض دید افرادی که به عنوان هدف حمله مشخص شده بودند قرار بگیرد.
حال سوال اینجاست که هکرها چگونه توانستند از تله سیستمهای امنیتی فرار کنند؟ این بد افزار به محض ثبت شدن بر روی سیستمهایی که تبلیغات را نمایش میدهند، در حالت مخفیانه شروع به اجرای کد جاوا اسکریپت از پیش نوشته شده میکرد و شرایط سرور و سیستمهای امنیتی موجود بر روی آن را بررسی مینمود. این بررسیها و جستجوهای صورت گرفته توسط بخش دیگری از کد (که باز هم قبلتر توسط هکر طراحی شده بود)، مشخص میکرد که سیستم توسط چه ماشین مجازیای در حال اجرا عملیات پاک سازی ویروسهاست. در مواقعی که سیستم غیر قابل نفوذ پیش بینی میشد، یک عکس با رزولوشن طبیعی به عنوان پیام به سمت سرور ارسال و سالم بودن تبلیغ را به اطلاع آن میرساند. اما در شرایطی که سیستم مورد حمله، آسیب پذیر به نظر میرسید، بد افزار عکس مشخصی با فرمت GIF را وارد سیستم کرده و اطلاعات دستگاه مورد نظر را Cache میکرد.
همانطور که در تصاویر بالا مشخص است، عکسهای ارسال شده به سیستمهای هدف در نگاه اول، عادی و با کیفیت به نظر میرسند. اما وقتی عکس دقیقتر مورد بررسی قرار میگیرد، مشخص میشود که پیکسلهایی که عکس را ساختهاند، با استفاده از الگوریتمهای خاصی طراحی شدند تا با قرارگیری در کنار یک دیگر، QR-codeهای مخربی را بسازند. اینجاست که بخش دیگری از کد شروع به فعالیت کرده و QR-Codeها را آنالیز و اجرا میکند. همزمان با فعال شدن بخش مذکور و اطمینان از این که سیستم قابلیت حمله را دارد، برنامه دوباره با استفاده از ضعفهای موجود بر روی مرورگر اینترنت اکسپلورر شروع به اجرا کرده و قسمتهای مختلف دستگاه مقصد اعم از ماشینهای مجازی فعال و آنتی ویروسها را مورد وارسی قرار میدهد. علاوه بر این، هکرها بخشی از کد را به بررسی سیستم گرافیکی و درایورهای امنیتی اختصاص داده بودند.
پس از این مرحله، بدافزار با تغییراتی بر روی کد HTML، اقدام به جابهجایی جزیی پیکسلهای عکس کرده و آن را به سمت سایت دیگری Redirect میکند. صفحه HTML بارگذاری شده، ابتدا نوع مرورگر را چک کرده و در صورت اطمینان از این که دستگاه مورد نظر از اینترنت اکسپلورر استفاده میکند، شروع به بارگذاری یک فایل Flash مینماید. فایلی که بر روی صفحه جدید بارگذاری میشود، خود از ۳ زیر شاخه دیگر تشکیل شده و بسته به اطلاعاتی که روی مرورگر ذخیره شده، اقدام به جابه جایی پیام با سرور و دستیابی به رمزهای کاربر میکند.
در آخرین مرحله، بد افزار بار دیگر تک تک گامها را دوباره بررسی کرده تا این اطمینان حاصل شود که سیستمهای امنیتی هیچ جاسوسی را انجام نمیدهند. پس از این که تمام مراحل به درستی انجام شد، برنامه میتواند Payloadها را یکی پس از دیگری دانلود کرده و بر روی دستگاه نصب نماید. ابدین وسیله تمام اطلاعاتی که بر روی سیستم مسموم به ویروس ذخیره میشد، توسط ابزارهای مختلف ضبط و در اختیار هکرها قرار میگرفت.
میتوان Steganos را یکی از موفقترین بد افزارهایی دانست که پس از ۲ سال دزدی اطلاعات و اخاذی از حسابهای بانکی شرکتهای بزرگ اقتصادی، بالاخره کشف و نابود گردید. تمام کارهای این بدافزار به صورت کاملا استادانه طراحی شده بود. مهندسان اعلام کردند راه پیشگیری از قرار گرفتن در معرض چنین حملههایی، استفاده از منابع رسمی جهت نصب و فعالسازی نرم افزارهای گوناگون و همچنین به روز نگه داشتن سیستمهای امنیتی است.
باریکلا به هکراش 🙂