شرکت ایده ارتباط تراشه (نماینده رسمی محصولات کسپرسکی در ایران): مهاجمان از تکنیک پلی گلات (Polyglot) برای پنهان سازی بدافزارها استفاده می کنند. این تکنیک به آن ها اجازه می دهد فایل های مخرب را به گونه ای طراحی کنند که به طور هم زمان به عنوان انواع مختلف فایل شناسایی شوند. این موضوع شناسایی بدافزار را برای سیستم های امنیتی سخت تر می کند. در این مقاله، توضیح می دهیم که این تکنیک چگونه کار می کند و چه اقداماتی برای محافظت از شرکت ها در برابر این نوع حملات باید انجام شود.
مدتی پیش، بلاگ Securelist پستی در مورد حمله به شرکت های صنعتی با استفاده از درب پشتی PhantomPyramid منتشر کرد که کارشناسان ما با اطمینان زیاد آن را به گروه Head Mare نسبت می دهند. این حمله به طور نسبتا استاندارد انجام شده بود: ایمیلی که ادعا می کرد حاوی اطلاعات محرمانه است، به همراه پیوستی که با رمز عبور محافظت می شد. این پیوست یک فایل فشرده شامل بدافزار بود و رمز عبور آن در متن ایمیل قرار داشت. اما روش پنهان سازی کد مخرب توسط مهاجمان در یک فایل به ظاهر بی خطر جالب توجه است؛ چرا که برای این کار از تکنیک پلی گلات (Polyglot) استفاده کرده اند.
تکنیک پلی گلات (Polyglot) چیست؟فایل های پلی گلات (Polyglot) فایل هایی هستند که به طور همزمان می توانند چندین فرمت مختلف را در خود جای دهند. به عبارت دیگر، یک فایل پلی گلات می تواند به طور همزمان یک تصویر، یک سند، یک فایل فشرده یا حتی یک فایل اجرایی باشد. این فایل ها به گونه ای طراحی می شوند که بسته به نرم افزاری که آن ها را باز می کند، به طور متفاوت عمل کنند. برای مثال، زمانی که با یک نمایشگر تصویر باز می شوند، فقط یک تصویر به نظر می رسند، اما وقتی در محیط دیگری اجرا شوند (مثلا به عنوان یک برنامه)، می توانند کد مخربی را فعال کنند. تکنیک پلی گلات برای پنهان سازی بدافزار استفاده می شود. این نوع فایل ها از لحاظ امنیتی بسیار پیچیده هستند، چرا که شبیه به فایل های معمولی به نظر می رسند و شناسایی آن ها توسط کاربران عادی یا برخی از مکانیسم های حفاظتی دشوار است.
مهاجمان از ترکیب های مختلف فرمت ها برای مخفی کردن بدافزارها استفاده می کنند. واحد 42 یک حمله را بررسی کرد که در آن از یک فایل help با فرمت Microsoft Compiled HTML Help (.chm) استفاده شده بود و در عین حال یک برنامه HTML با فرمت hta. هم بود. همچنین پژوهشگران به موردی اشاره کرده اند که در آن یک تصویر jpeg. به ظاهر بی خطر بود، ولی در واقع یک آرشیو .phar PHP درون آن پنهان شده بود. در حمله ای که توسط کارشناسان ما بررسی شد، کد اجرایی درون یک فایل فشرده zip. مخفی شده بود.
فایل پلی گلات (Polyglot) در حمله PhantomPyramidفایلی که مهاجمان ارسال کرده بودند، پسوند zip. داشت و می توانست با یک برنامه آرشیو استاندارد باز شود. اما در واقع، این فایل یک فایل اجرایی باینری بود که به انتهای آن یک آرشیو ZIP کوچک اضافه شده بود. داخل این آرشیو، یک فایل میانبر با پسوند دوگانه pdf.lnk. وجود داشت. اگر قربانی که مطمئن بود با یک فایل PDF معمولی سر و کار دارد، روی آن کلیک می کرد، این میانبر یک اسکریپت PowerShell را اجرا می کرد. اسکریپت به فایل zip. مخرب اجازه می داد تا به عنوان یک فایل اجرایی اجرا شود و همچنین یک فایل PDF فریبنده در دایرکتوری موقت ایجاد می کرد تا به کاربر نمایش داده شود.
چگونه ایمن بمانیم؟برای جلوگیری از اجرای کدهای مخرب، توصیه می کنیم تمامی دستگاه های متصل به اینترنت را با راهکارهای امنیتی پیشرفته و قابل اعتماد تجهیز کنید. برای سازمان ها و شرکت ها، استفاده از راهکارهای کسپرسکی XDR و EDR می تواند با شناسایی تهدیدات پیچیده و پاسخ به حملات در زمان واقعی، امنیت شبکه و سیستم ها را به طور مؤثر تقویت کند. این راهکارها توانایی شناسایی حملات قبل از اجرای آن ها و مدیریت واکنش به تهدیدات را به سازمان ها می دهند. همچنین، برای محافظت از دروازه ایمیل های سازمانی و مقابله با تهدیدات ایمیلی، استفاده از Kaspersky Secure Mail Gateway به عنوان یک راه حل جامع فیلتر و تحلیل ایمیل های ورودی و خروجی می تواند به طور مؤثری از نفوذ بدافزارها و حملات فیشینگ جلوگیری کند.
برای کاربران شخصی، استفاده از آنتی ویروس های خانگی کسپرسکی توصیه می شود. این محصولات با بهره گیری از فناوری های پیشرفته شناسایی تهدیدات، از سیستم ها در برابر تهدیدات آنلاین، بدافزارها و حملات فیشینگ به طور مؤثر محافظت می کنند.
برای مشاوره و خرید آنتی ویروس های خانگی و سازمانی کسپرسکی، می توانید با کارشناسان شرکت ایده ارتباط تراشه تماس بگیرید. تمامی لایسنس های ارائه شده توسط این شرکت، به صورت کاملا اورجینال بوده و همراه با گارانتی و پشتیبانی رایگان می باشند.
