zeynab89
سه شنبه 26 دی 1396, 11:57 صبح
یک محقق امنیتی به تازگی جزئیات نوعی بدافزار غیر قابل تشخیص که توانسته سیستم های مک را مورد حمله قرار بدهد، افشا نموده است. این بدافزار که روند آلودگی آن تقریبا غیر قابل تشخیص است به عنوان اولین بدافزار سیستم عامل اپل در سال 2018 معرفی شده است. بدافزار به OSX/MaMi شناخته شده است و یک Mach-O امضا نشده ی 64 بیتی است که مشابه بدافزار قدیمی DNSChanger که در سال 2012 میلیون ها سیستم را در سراسر جهان مورد هدف قرار داد، عمل می کند.
عملکرد بدافزار DNSChanger چگونه بود؟
این بدافزار قدیمی تنظیمات DNS را بر روی سیستم های آلوده تغییر و امکان انداختن ترافیک بر روی شبکه از طریق سرورهای مخرب را به مجرمان می دهد و از این رو آن ها می توانند داده های حساس را رد گیری کنند. این بدافزار قدیمی در ابتدا توسط Malwarebytes منتشر گشت. یک کاربر در آن سال توانست درخواستی که با یک بدافزار ناشناخته آلوده شده بود را به سیستم دوست خود ارسال کند. این بدافزار به طور مخفیانه تنظیمات DNS را بر روی سیستم عامل مک تغییر می داد.
https://blog.irkaspersky.com/Images/static/Ay-MaMi-1.jpg
در آن سال Wardle که از هکرهای سابق NSA است به تجزیه و تحلیل بدافزار پرداخت و متوجه شد که پشت این بدافزار چه چیزی وجود دارد و توانست مسیر آن را حدس بزند. Wardle دریافت که این بدافزار نوعی Hijacker DNS است که ابزارهای امنیتی را برای نصب یک گواهی روت برای ردیابی ارتباطات رمزنگاری شده ترغیب می کند.
https://blog.irkaspersky.com/Images/static/Ay-MaMi-3.jpg
این هکر در حال حاضر در مورد بدافزار OSX/MaMi می گوید، این نوع پیشرفته ای از بدافزارها محسوب نمی شود اما با توجه به سیستم غیر پیشرفته اش قادر است سیستم های آلوده را به شیوه هایی مخرب و به صورت دائمی تغییر دهد. بدافزار با گواهی روت جدید و سرقت سرورهای DNS شرایطی ایجاد می کند که می تواند مجرمان را برای اقدامات مخربی همانند حمله ی مرد میانی و وارد کردن اسکریپت های ماینینگ به صفحات وب تحریک کند.
https://blog.irkaspersky.com/Images/static/Ay-MaMi-2.jpg
بدافزار OSX/MaMi برای سیستم عامل مک می تواند اختیارات بسیاری از کاربران آلوده شده بگیرد و رسما سیستم آن ها را کنترل نماید. گرفتن اسکرین شات، دانلود و آپلود فایل ها و اجرای دستورات از مواردی است که این بدافزار به راحتی می تواند روی سیستم قربانی پیاده سازی کند. در حال حاضر اختیارات این بدافزار در نسخه ی 1.1.0 مک فعال نیست.در حال حاضر هنوز مشخص نیست که انگیزه ی این بدافزار برای تکثیر چه بوده و با چه هدفی به میان آمده است اما Patrick بر این باور است که مجرمان می توانند از روش هایLame برای ایمیل های مخرب، هشدارهای امنیتی جعلی یا انواع مهندسی های اجتماعی برای هدف قرار دادن کاربران مک حالا به هر دلیلی استفاده کنند.
راه مقابله با بدافزار OSX/MaMi چیست؟
کاربران مک در حال حاضر می توانند یک فایروال اپن سورس برای سیستم عامل مک خود با نام LuLu که توسط Patrick ایجاد و در GitHub قرار داده شده است نصب کنند تا توسط آن ترافیک های مشکوک مسدود و از سرقت اطلاعات آن ها توسط بدافزار OSX/MaMi جلوگیری شود.
https://blog.irkaspersky.com/Images/static/Ay-MaMi.jpg
عملکرد بدافزار DNSChanger چگونه بود؟
این بدافزار قدیمی تنظیمات DNS را بر روی سیستم های آلوده تغییر و امکان انداختن ترافیک بر روی شبکه از طریق سرورهای مخرب را به مجرمان می دهد و از این رو آن ها می توانند داده های حساس را رد گیری کنند. این بدافزار قدیمی در ابتدا توسط Malwarebytes منتشر گشت. یک کاربر در آن سال توانست درخواستی که با یک بدافزار ناشناخته آلوده شده بود را به سیستم دوست خود ارسال کند. این بدافزار به طور مخفیانه تنظیمات DNS را بر روی سیستم عامل مک تغییر می داد.
https://blog.irkaspersky.com/Images/static/Ay-MaMi-1.jpg
در آن سال Wardle که از هکرهای سابق NSA است به تجزیه و تحلیل بدافزار پرداخت و متوجه شد که پشت این بدافزار چه چیزی وجود دارد و توانست مسیر آن را حدس بزند. Wardle دریافت که این بدافزار نوعی Hijacker DNS است که ابزارهای امنیتی را برای نصب یک گواهی روت برای ردیابی ارتباطات رمزنگاری شده ترغیب می کند.
https://blog.irkaspersky.com/Images/static/Ay-MaMi-3.jpg
این هکر در حال حاضر در مورد بدافزار OSX/MaMi می گوید، این نوع پیشرفته ای از بدافزارها محسوب نمی شود اما با توجه به سیستم غیر پیشرفته اش قادر است سیستم های آلوده را به شیوه هایی مخرب و به صورت دائمی تغییر دهد. بدافزار با گواهی روت جدید و سرقت سرورهای DNS شرایطی ایجاد می کند که می تواند مجرمان را برای اقدامات مخربی همانند حمله ی مرد میانی و وارد کردن اسکریپت های ماینینگ به صفحات وب تحریک کند.
https://blog.irkaspersky.com/Images/static/Ay-MaMi-2.jpg
بدافزار OSX/MaMi برای سیستم عامل مک می تواند اختیارات بسیاری از کاربران آلوده شده بگیرد و رسما سیستم آن ها را کنترل نماید. گرفتن اسکرین شات، دانلود و آپلود فایل ها و اجرای دستورات از مواردی است که این بدافزار به راحتی می تواند روی سیستم قربانی پیاده سازی کند. در حال حاضر اختیارات این بدافزار در نسخه ی 1.1.0 مک فعال نیست.در حال حاضر هنوز مشخص نیست که انگیزه ی این بدافزار برای تکثیر چه بوده و با چه هدفی به میان آمده است اما Patrick بر این باور است که مجرمان می توانند از روش هایLame برای ایمیل های مخرب، هشدارهای امنیتی جعلی یا انواع مهندسی های اجتماعی برای هدف قرار دادن کاربران مک حالا به هر دلیلی استفاده کنند.
راه مقابله با بدافزار OSX/MaMi چیست؟
کاربران مک در حال حاضر می توانند یک فایروال اپن سورس برای سیستم عامل مک خود با نام LuLu که توسط Patrick ایجاد و در GitHub قرار داده شده است نصب کنند تا توسط آن ترافیک های مشکوک مسدود و از سرقت اطلاعات آن ها توسط بدافزار OSX/MaMi جلوگیری شود.
https://blog.irkaspersky.com/Images/static/Ay-MaMi.jpg