ساخت بدافزار کنترل از راه دور

تاریخ انتشار : ۰۸ آبان ۱۳۹۱

یک محقق امنیتی موفق به طراحی و ساخت یک بدافزار شده که از راه دور قابل کنترل است و دارای قابلیت‌های تخریبی متعددی است تا حدی که می‌توان آن را یک سوپر بدافزار نامید.

ساخت بدافزار کنترل از راه دور
به گزارش گرداب به نقل از شبکه‌گستر، این بدافزار به عنوان یک برنامه جانبی (extension) به مرورگر اضافه می‌شود و می‌تواند صفحات وب را تغییر دهد، انواع فایل‌ها را دریافت و اجرا کند، اطلاعات شخصی کاربر را جمع‌آوری کند، امکانات امنیتی سایت‌ها را دور بزند و …

به گفته "زُلتان بالاز"، محقق و مشاور امنیتی اهل مجارستان، وی این نمونه از بدافزار را برای هشدار و آگاهی درباره خطرات و نقاط ضعف امنیتی برنامه‌های جانبی مرورگرها تهیه کرده است. او امیدوار است شرکت‌های امنیتی هشدار و توصیه‌های وی را جدی گرفته و اقدام کنند.

این محقق امنیتی قصد دارد نتیجه تحقیقات و نمونه بدافزار خود را در سمینار امنیتی Hacker Halted که ماه آینده در شهر میامی آمریکا برگزار خواهد شد، به عموم ارائه نماید. تا آن زمان نیز وی در حال همکاری با شرکت‌های ضد ویروس است تا آنها بتوانند خود را در مقابل این سوپر بدافزار آماده کنند.

در گذشته موارد متعددی بوده که از برنامه‌های جانبی مرورگرها برای عملیات مخرب استفاده شده است. همین اواخر، یک برنامه جانبی که به مرورگر کُروم اضافه می‌شد، تبلیغات جعلی در صفحات سایت ویکیپدیا ایجاد می‌کرد. همچنین مواردی بوده که از برنامه‌های جانبی مخرب برای مرورگرها جهت دستکاری نتایج جستجوگرهای اینترنتی سوء استفاده می‌شده است. ولی اکنون این سوپر بدافزار قادر است عملیات مخرب گسترده‌تر و متنوع‌تری را انجام دهد.

این محقق امنیتی تا به حال نمونه بدافزار خود را برای مرورگرهای کروم، فایرفاکس و سَفَری تهیه کرده است و در حال تهیه برای مرورگر اینترنت اکسپلرر (IE) است.

از جمله عملیات مخربی که این سوپر بدافزار قادر به انجام آن‌ها در مرورگرهای کروم و فایرفاکس است، می‌توان به این موارد اشاره کرد: دریافت و اجرای فایل، تغییر محتوای صفحات وب، گرفتن عکس با استفاده از دوربین کامپیوتر از طریق یک نرم‌افزار از نوع فِلَش که از یک سایت دریافت و اجرا می‌شود و اجرای نقش به عنوان HTTP Proxy برای ایجاد دسترسی به شبکه داخلی از بیرون.

یک مرورگر وقتی‌که دارای برنامه‌های جانبی مخرب باشد، مانند یک کامپیوتر (Bot) تسخیر شده در یک شبکه مخرب (Botnet) قابل کنترل و مدیریت از راه دور است. برنامه جانبی مخرب می‌تواند اطلاعات جمع آوری شده را به مرکز و سرور فرماندهی ارسال کند و دستورات جدید از آن دریافت نماید. تمام این ارتباطات نیز عادی و طبیعی به نظر خواهد رسید، چون از مرورگر سرچشمه می‌گیرد و برای دیواره‌های آتش هم تفکیک و جلوگیری آن دشوار خواهد بود.

به غیر از سوپر بدافزاری که این محقق امنیتی به عنوان نمونه آزمایشگاهی ساخته است، در حالت واقعی، انتشار برنامه‌های جانبی مرورگر و نصب و فعال ساختن آنها، امری دشوار است و شرایط برای هر مرورگر نیز متفاوت می‌باشد.

مرورگر فایرفاکس اجازه نصب برنامه‌های جانبی ثالث را می‌دهد و بسیاری از کاربران نیز به طور دستی اقدام به نصب این برنامه‌های جانبی در فایرفاکس می‌کنند. لذا برای این مرورگر، جهت انتشار و بکارگیری بدافزار به عنوان برنامه جانبی مرورگر، استفاده از شیوه‌های فریب و وسوسه کاربر که اصطلاحاً به آنها مهندسی اجتماعی گفته می‌شود، شاید بهترین راه باشد.

مرورگر کروم تنها از طریق فروشگاه مجازی خود اجازه نصب برنامه‌های جانبی مرورگر را می‌دهد. لذا باید به نحوی، مجوز لازم را برای افزودن بد‌افزار به فروشگاه مجازی کروم به دست آورد.

اغلب مرورگرها در زمان راه‌اندازی، درباره برنامه‌های جانبی نصب شده به کاربر اطلاع می‌دهند. برنامه‌هایی هم که به تازگی نصب شده باشند، قبل از فعال شدن باید تاییدیه کاربر را داشته باشند. برای دور زدن اینگونه پیام‌ها و جلوگیری از آگاه شدن کاربر از نصب غیر مجاز برنامه‌های جانبی مرورگر، در این سوپر بدافزار شیوه‌های نوینی به کار گرفته شده است.

قبل از همکاری این محقق با شرکت های ضد ویروس، هیچ‌یک از ضدویروس‌های فهرست شده در سایت Virus Total قادر به شناسایی سوپر بدافزار نبودند. بعد از اینکه این بدافزار در اختیار سازندگان ضد ویروس قرار گرفت و ضد ویروس‌ها قادر به تشخیص آن شدند، اکنون نیز با کوچک‌ترین تغییر در بدافزار، ضد ویروس‌ها دوباره سردر‌گم شده و قابلیت تشخیص خود را از دست می‌دهند.

در حال حاضر کارشناسان امنیتی و علاقمندان به حوزه امنیت آی تی، مشتاقانه درانتظار ارائه گزارش "زُلتان بالاز" در سمینار امنیتی ماه آینده هستند تا اطلاعات بیشتری درباره این سوپر بدافزار به دست آورند.