مرکز ماهر درباره در پشتی هشدار داد که با کد نام ShadowPad بر روی نرمافزار بهروزرسانی شده برخی محصولات شرکت NetSarang کشف شدهاست.
منبع : مرکز ماهر
مرکز ماهر درباره در پشتی هشدار داد که با کد نام ShadowPad بر روی نرمافزار بهروزرسانی شده برخی محصولات شرکت NetSarang کشف شدهاست.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بر اساس گزارشی که بهتازگی توسط محققان امنیت سایبری کسپرسکی منتشر شدهاست، یک در پشتی (Backdoor) مخفی بر روی یکی از محصولات مهم شبکه قرار داده شدهاست. این در پشتی که با کد نام ShadowPad معرفی شدهاست بر روی نرمافزار بهروزرسانی شده برخی محصولات شرکت NetSarang کشف شدهاست که این محصولات در کشور ما هم بسیار مورد استفاده قرار میگیرد. توسط این در پشتی، نفوذگر میتواند کنترل کامل بر روی شبکه مخفی پشت این محصولات را در دست بگیرد که محصولات این شرکت در شبکههای بانکی، شبکه شرکتهای داروسازی و پزشکی، ارائهدهندگان خدمات مخابراتی، شرکتهای هواپیمایی و غیره... مورد استفاده قرار میگیرند.
بر اساس گزارش منتشر شده توسط کسپرسکی، نفوذگران با دزدیدن مکانیزم بهروزرسانی نرمافزارهای این شرکت، در پشتی کاملا مخفیانه و حرفهای را بر روی سیستم software update قرار داده و بهصورت خودکار، همراه با مجوز کامل و گواهی قانونی امضا شده (legitimate signed certificate) کد مخرب در پشتی را بر روی سیستمهای قربانی ارسال و نصب میکردند. این Backdoor مخفی در کتابخانه nssock۲.dll بر روی نرمافزارهای Xmanager و Xshell قرار داده شدهاست.
شرکت کسپرسکی در چهارم جولای وجود این در پشتی را بر روی محصولات فوق به شرکت NetSarang گزارش داد که این شرکت به سرعت مشکل را بررسی و رفع کرد. محصولاتی که این حمله بر روی آنها صورت گرفتهاست عبارتاند از:
این حمله، یادآور حملهای مشابه توسط سازندگان باجافزار Petya/NotPetya در تیرماه امسال است که توسط تغییراتی در سیستم بهروزرسانی نرمافزاری خاص سیستم امور مالیاتی کشور اوکراین در سطح وسیعی از ساختارهای مالیاتی آن کشور انتشار یافتهاست.
هکرها این در پشتی را توسط چندین لایه رمزنگاری آمادهسازی و بر روی سیستم بهروزرسانی قرار دادهاند که تنها در برخی موارد خاص، رمزگشایی آن صورت میگرفتهاست.
این کار برای بهتر کردن عملکرد در پشتی جهت مخفی ماندن آن است. تا هنگامی که packetهای خاص حاوی دستورالعملهای اجرایی از جانب سرور C&C برای در پشتی ارسال نشود، این backdoor فعالیت خاصی را از خود نشان نمیدهد تا همچنان مخفی بماند. پس از آن، در پشتی هر ۸ ساعت یکبار اقدام به ارسال برخی اطلاعات سیستم قربانی برای سرور خود میکند.
فعالسازی این در پشتی پس از نصب بر روی سیستم قربانی، توسط یک پیغام DNS TXT Record صورت میگیرد که از یک دامنه خاص برای آن ارسال میشود که این دامنه در طول ماه گذشته register شده و عملیات DNS lookup بر روی آن انجام میشود. پس از نصب درب پشتی بر روی سیستم قربانی و معرفی خود به سرور C&C، از طرف سرور کلید رمزگشایی برای انجام قدمهای بعدی عملکرد در پشتی ارسال میشود و در پشتی را فعال میکند. پس از فعالسازی، این در پشتی امکان اجرای دستورات از راه دور و همچنین اجرای فرایندهای جدید را برای هکر بر روی سیستم قربانی از راه دور فراهم میآورد.
اگر از این محصولات در ساختار شبکه خود استفاده میکنید، جهت مشخص شدن این موضوع که آیا این در پشتی بر روی سیستمهای شما وجود دارد یا خیر، میتوانید با چک کردن رکوردهای DNS به دامنههای زیر در داخل شبکه خود، وجود یا عدم وجود در پشتی را مشخص کنید. در صورت وجود اینگونه رکوردها، درخواستها به دامنههای زیر را حتما در شبکه خود مسدود کنید:
به یاد داشتهباشید که حتما نرمافزارهای آسیبپذیر نامبرده را بهروزرسانی کنید، چراکه نسخه بهروز شده که این مشکل در آن رفع شدهاست بر روی وبسایت سازنده برای دانلود قرار داده شدهاست.