کسپرسکی بدافزار KBOT را که میتواند از طریق سیستمهای قابل دسترس در سطح اینترنت، شبکههای محلی و حافظههای جداشدنی (Removable Drives) منتشر شود، نخستین ویروس زنده سالهای اخیر توصیف کرد.
منبع : مرکز مدیریت راهبردی افتا
کسپرسکی، بدافزار KBOT را که میتواند از طریق سیستمهای قابل دسترس در سطح اینترنت، شبکههای محلی و حافظههای جداشدنی (Removable Drives) منتشر شود، نخستین ویروس زنده سالهای اخیر توصیف کرد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بیش از یک دهه از شناسایی ویروس ILOVEYOU میگذرد که صنعت فناوری اطلاعات را در کل جهان به یکباره دچار اختلال کرد. MyDoom که با روش انتشار مبتنی بر Email خود در آن زمان به کابوسی برای کاربران تبدیل شد و ویروس Slammer که در عرض دقایقی دهها هزار دستگاه را آلوده کرد.
گرچه زمانی ویروسها و کرمهای کامپیوتری سهم قابل توجهی از آلودگیها را به خود اختصاص میدادند، اما مدتهاست که انواع دیگر از بدافزارها نظیر استخراجکنندگان رمزارز، تروجانها، باجافزارها و جاسوسافزارها به مراتب حضوری فعالتر در صحنه تهدیدات سایبری دارند؛ اما همچنان بدافزارهای جدیدی هستند که به نوعی یادآور دوران تاریک گذشته باشند. در یکی از تازهترین نمونهها، شرکت Kaspersky از شناسایی بدافزار جدیدی با عنوان KBOT خبر داده که قابلیت آن در تزریق کد مخرب به فایلهای اجرایی در سیستم عامل Windows موجب شده که این شرکت آن را نخستین ویروس زنده سالهای اخیر توصیف کند.
KBOT میتواند از طریق سیستمهای قابل دسترس در سطح اینترنت، شبکههای محلی و حافظههای جداشدنی (Removable Drives) منتشر شود. بهمحض آلوده شدن سیستم با قرار دادن خود در بخش Startup، در کنار بهرهگیری از فرامین زمانبندیشده (Scheduled Tasks) خود را بر روی دستگاه ماندگار کرده و در ادامه سبب آلوده شدن تمامی فایلهای اجرایی ذخیرهشده بر روی درایوها و پوشه اشتراکی بر سر راهش میشود.
همزمان با پویش درایوها، ویروس، کدی چندشکلی (Polymorphic) را در فایلهای اجرایی کپی کرده و توابع IWbemObjectSink را که قابلیتی در Win۳۲ است رونویسی میکند. همچنین KBOT رویدادهای ارتباطی بر روی درایوها را رصد کرده و از توابع NetServerEnum و NetShareEnum برای شناسایی مسیرها و منابع شبکهای با هدف توزیع خود بر روی آنها بهره میگیرد.
همانند بسیاری دیگر از ویروسها، KBOT با دستدرازی به بخش تعیینکننده نقطه شروع اجرا (Entry Point) در کد فایل غیرآلوده موجب اجرای کد چندشکلی خود در زمان اجرای آن فایل میشود. در نتیجه آن نقطه شروع کد اصلی که پیش از آن در فایل قرار داشت از بین رفته و به همین خاطر عملکرد فایل پس از آلوده شدن حفظ نخواهد شد.
KBOT با استفاده از مجموعهای از ابزارها و تکنیکهای مبهمسازی (Obfuscation) از قبیل رمزگذاری رشتهها مبتنی بر RC۴، پویش فایلهای DLL مرتبط با محصولات ضدویروس و از کاراندازی آنها، تزریق کد مخرب به پروسههای معتبر اجراشده، خود را از دید کاربر و محصولات امنیتی مخفی میکند. ویروس به دستدرازی به فایلهای اجرایی بسنده نکرده و در ادامه با هدف سرقت دادههای شخصی قربانی نظیر اصالتسنجیهای استفادهشده در جریان ورود به سرویسهای مالی و بانکی اقدام به تزریق وب میکند.
جعل (Spoofing) صفحات سایت وب اولویت اصلی KBOT است و بدینمنظور ویروس توابعی از مرورگرهایی همچون Chrome و Firefox را در کنار توابع سیستمی مربوط به مدیریت ترافیک مورد دستدرازی قرار میدهد.
قبل از آنکه سرقت قابلتوجهی صورت بپذیرد بدافزار با برقرای ارتباط با با سرور فرماندهی (C۲) خود، فایل hosts.ini را که در آن نام دامنههای مورد نظر مهاجمان درج شده است بهروزرسانی میکند. پیکربندیها و مشخصههای ارتباط، رمزگذاری شده و موجب ارسال شناسه، نام و عنوان سیستم عامل دستگاه تسخیرشده و فهرستی از کاربران محلی و نرمافزارهای امنیتی آن را به سرور فرماندهی میشود.
فرامین ارسالی از سوی سرور فرماندهی شامل بهروزرسانی فایلها از جمله بهروزرسانی ماژولهای بدافزار و حذف فایلها نظیر از کار انداختن ویروس (Self-destruction) است. همچنین KBOT قادر به دریافت ماژولهای بدافزاری دیگر برای استخراج اطلاعات اصالتسنجی، فایلها، اطلاعات سیستمی و دادههای مرتبط با کیفهای ارز رمز (Cryptocurrency Wallet) است.
KBOT به سبب توانایی آن در توزیع سریع بر روی سیستمها و شبکه محلی و آلودهسازی فایلهای اجرایی بدون امکان بازگردانی آنها تهدیدی بسیار جدی تلقی میشود. این ویروس بهطور محسوسی سیستم را در نتیجه تزریق کد مخرب به پروسههای سیستمی کند کرده و گردانندگان خود را قادر به دسترسی یافتن به سیستم آلوده از طریق نشستهای Remote Desktop، استخراج دادههای شخصی قربانی و سرقت دادههای بانکی او – با استفاده از تزریقهای وب – میکند.