ITanalyze

پویان افضلی - یکی از مسایل پیش رو در فضای مجازی، بحث بدافزارها بوده که موجب تحت تاثیر قرار گرفتن سیستم‌ها در سراسر جهان است. هر چند وقت یک‌بار یک بدافزار خطرناک منتشر می‌شود و فضای مجازی را درگیر مسایل مربوط به خود می‌کند. شرکت‌های امنیتی همواره با بررسی کدهای بدافزارها سعی می‌کنند از شدت آسیب جلوگیری کرده و پس از انتشار بدافزارها برای آنها راهکارهایی اجرایی ارایه دهند. در این مطلب قصد معرفی یک بد افزار را داریم که خطرناک بوده و کاربر باید متوجه خطرهای آن باشد.

یک تروجان برنامه ظاهرا بدون نویسنده یا به‌عبارتی با یک نویسنده غیرمشخص است که اعمال ناشناخته و حتی ناخواسته‌ای از طرف کاربر انجام دهد. برخی از برنامه‌ها ظاهر مطلوب پسندیده‌ای دارند و دارای یک عملکرد مفید هستند، در‌حالی‌که کدهای برنامه‌نویسی شده‌ای که به‌طور مخفی توسط برنامه‌نویس درون آنها قرار دارد و از نظر کاربر مخفی است، در آن موجود است. این کدها از دید کاربر دور بوده و در پشت پرده اعمال جاسوسی مورد نظر تعریف‌شده را برنامه‌نویس انجام می‌دهد. تروجان‌ها به دو قسمت تقسیم می‌شوند؛ قسمتی Client (خدمات‌گیرنده) و دیگری Server (خدمات‌دهنده). وقتی قربانی ندانسته قسمت Server را روی سیستم خودش اجرا می‌کند. حمله‌کننده به‌وسیله قسمت Client با Server که روی کامپیوتر قربانی است متصل می‌شود و از آن پس می‌تواند کنترل سیستم قربانی را در دست بگیرد. پروتکل TCP/IP که استاندارد معمول برای برقراری ارتباطات است به این تروجان آلوده می‌شود و تروجان از طریق آن کارش را انجام می‌دهد. البته شایان ذکر است که برخی تروجان‌ها نیز از پروتکل UDP استفاده می‌کنند. معمولا زمانی که Server  روی کامپیوتر قربانی اجرا می‌شود خود را در جایی از حافظه مخفی می‌کند تا پیدا کردن یا تشخیص آن مشکل شود و به برخی درگاه‌های خاص (Port) گوش می‌دهد تا ببیند درخواست ارتباطی به سیستم از طرف حمله‌کننده آمده است یا نه. از طرفی رجیستری را نیز به‌گونه‌ای ویرایش می‌کند که برخی از اعمال به‌طور خودکار روی سیستم شروع به کار کنند، به‌طوری‌که کدهای ناشناخته‌ای به آن اضافه شده و اعمال شناخته نشده‌ای را به‌طور ناخواسته از طرف کاربر انجام می‌دهند.

این تروجان در شبکه‌ داخلی یکی از مشتریان شرکت enSilo کشف شده و مشخص نیست چگونه به این شبکه راه پیدا کرده است.

انواع RAT به این دلیل شهرت دارند که در ماشین‌های ویندوزی اغلب شناسایی آنها سخت است،‌ اما Moker  قابلیت‌های دیگری هم دارد که شناسایی را سخت‌تر می‌کند. این تروجان می‌تواند محصولات ضدبدافزاری و سندباکس‌ها را دور بزند. همچنین زمانی که در یک ماشین مجازی اجرا می‌شود، رفتار خود را تغییر می‌دهد. به‌علاوه کد منبع این بدافزار به سازوکارهای جلوگیری از تحلیل مجهز است و حتی در صورتی که پژوهش‌گران موفق به شناسایی کد آن شوند، نمی‌توانند این کد را تحلیل کنند. حتی کد منبع این بدافزار شامل کدهای جعلی و دستورالعمل‌های اشتباه است که پژوهشگران را گمراه می‌کند.

در صورتی که تروجان Moker در سامانه‌ قربانی نصب شود، می‌تواند کنترل کامل دستگاه را به دست گیرد و علاوه بر ضبط فعالیت‌های کاربر، ضبط تصویر صفحه‌نمایش، ضبط کلیدهای فشرده‌شده و گذرواژه‌ها، این بدافزار می‌تواند یک حساب کاربری جدید ایجاد کرده و تنظمیات امنیتی دستگاه قربانی را تغییر دهد.

اگرچه کارگزار فرمان‌دهی و کنترل این بدافزار در کشور صربستان قرار دارد، اما پژوهشگران معتقدند که این مسئله فقط برای گمراهی آنهاست و توسعه‌دهندگان اصلی این بدافزار در کشور دیگری هستند.

نکته‌ جالب دیگری که در این بدافزار وجود دارد، این است که برای دریافت دستورات، لازم نیست این بدافزار حتما به کارگزار فرمان‌دهی و کنترل متصل شود؛ چراکه یک پنل کنترل مخفی در خود بدافزار وجود دارد که می‌تواند دستور ارسال کند. در نهایت مهاجم از راه یک شبکه‌ خصوصی مجازی یا VPN به ماشین‌های قربانیانی که برای وی جذابیت بیشتری دارند، ‌متصل شده و اطلاعات لازم را از این ماشین دریافت می‌کند.

به‌نظر می‌رسد فنون به‌کاررفته در این بدافزار به اندازه‌ای پیشرفته هستند که برای اهداف خاص به‌کار‌ گرفته شود و با توجه به سازوکارهای فرار از شناسایی در این تروجان، می‌توان آن را در دسته‌ بدافزارهایی با اهداف خاص یا‌APTها قرار داد.(منبع:عصرارتباط)