تا %60 تخفیف خرید برای 7 نفر با صدور مدرک فقط تا
00 00 00

Sauron بدافزار جاسوسی که 5 سال از 30 کشور جاسوسی کرد!

همه چیز در مورد بدافزار Sauron : بدافزار Sauron، بدافزاری ست که از june سال ۲۰۱۱ تا سال ۲۰۱۶ به مدت 5 سال توانست فعالیت جاسوسی خود را با کشف ارتباطات رمزشده‌ی نهادهای دولتی، مراکز تحقیقات علمی، مراکز نظامی، سرویس‌دهنده‌های مخابراتی، مراکز تجاری و سازمان‌های مختلف و جمع آوری اطلاعات آنها آغاز کند.کشورهایی که مورد حمله قرار گرفتند به تعداد 30 کشور می رسیدند از قبیل روسیه، ایران، روآندا، چین، سوئد و بلژیک بودند که توسط کسپر شناسایی شدند و احتمال اینکه همچنان سیستم‌هایی آلوده وجود داشته باشند که هم‌چنان شناسایی‌نشده و جاسوس‌افزار همچنان به کار خود ادامه می دهد، وجود دارد.

وب سایت توسینسو

نام این جاسوس افزار از کلیدی که در متغیری به نام Sauron در این فایل است گرفته شده و در لغت به معنی تمساح عظیم‌الجسه است و در ابتدا دارای حجمی حدود ۴ الی ۵ کیلوبایت است که در ادامه با تزریق خود به نرم‌افزارهای قانونی موجود در شبکه هدف و اعلام درخواست به‌روزرسانی بدنه‌های اصلی خود را در قالب یک برنامه معتبر دانلود و به‌روزرسانی می‌کند. هم‌چنین این بدافزار دارای حدود ۵۰ ماژول است که دارای نام ، اندازه‌ی متفاوت و معماری خاص خود بوده که توسط الگوریتم‌های قوی رمزنگاری همانند Rc6 ،RC5 ،RC4 ،AES و Salsa20 رمزشده است.

وب سایت توسینسو

این بدافزار علاوه بر سرقت کلیدهای رمزنگاری، فایل‌های پیکربندی و نشانی‌های آی‌پی کارگزارهای حساس، اسناد و کلیدهای فشرده شده توسط کاربر را نیز به سرقت می‌برد.نحوه انتشار این بد افزار از طریق اینترنت و در زیرساخت هایی که اینترنت از اینترانت جدا است، از طریق رسانه‌های قابل حمل صورت می‌گیرد. بدافزار به محض ورود به سیستم ادمین به مدت طولانی در سیستم قربانی به حالت خواب رفته و پس از دریافت دستور از کارگزار فرمان و کنترل بیدار شده و عملیات مخرب خود را آغاز می‌نماید و با تغییر اسکریپت‌های سیستم مرکزی، که وظیفه‌ی به‌روزرسانی نرم‌افزارهای قانونی شبکه‌ی زیرساخت را دارند، به صورت یک به‌روزرسانی معتبر در سطح شبکه گسترش می‌یابد.

این بدافزار یک پارتیشن جدید رمزشده در حدود چند صد مگابایت با فورمت سفارشی و ناشناخته ایجاد کرده و اطلاعات سرقتی را در آن ذخیره می‌کند. این کار باعث می‌شود تا اطلاعات به سرقت برده شده برای کاربر و حتی سیستم‌عامل غیرقابل دسترسی و مشاهده باشد. در نهایت پس از دسترسی بدافزار به سیستم دارای اینترنت، محتوای اطلاعات به سرقت‌رفته به صورت رمزشده از طریق ارسال پست الکترونیکی و تونل بر روی DNS ارسال می‌گردد و همه این عملیات به جهت شناسایی نشدن ، به آهستگی انجام شده این بدافزار با همسان‌سازی نام فایل‌هایش با فایل‌های نرم‌افزارهایی معتبر همانند ماژول های Kavupdate.exe, kavupd.exe شرکت کسپراسکی، AssaWrapper.exe, symnet32.dll شرکت سایمنتک ، KB2931368.exe شرکت مایکروسافت ، Hptcpprnt.dll شرکت Hewlett-Packard و VMwareToolsUpgr32.exe شرکت VMware رفتار خود را پنهان می‌نماید و با بهره‌گیری از ویژگی Windows LSA ویندوز است.

به این صورت که در هر بار ورود کاربر به سیستم‌عامل ویندوز و یا تغییر کلمه عبور آن، کلمه عبور توسط پردازه‌ی Lsass.exe به Windows Filter Driver ارسال شده و در آن‌جا از لحاظ طول و کاراکترهای مجاز اعتبارسنجی می‌شود و در این هنگام است که بدافزار این اطلاعات را به سرقت برده و از آن سو استفاده می‌کند.و پس از پایان کار، اجزای خود را به‌صورت امن پاک کرده و سپس خودکشی یا Melt می‌کند.

وب سایت توسینسو

اکثر قسمت‌های این بدافزار توسط زبان اسکریپتی lua که دارای انعطاف‌پذیری بالایی است ، نوشته شده و بر روی اغلب سیستم‌های عامل ویندوز ۳۲ و ۶۴ بیتی از ویندوز xp تا ویندوز ۱۰ و windows server 2012 قابل اجراست.این بدافزار با اطلاع از ساختار حملات مانای پیشرفته‌ی دیگر همانند همانند flame، Duqu و Regin و سازوکارهای آنها نوشته شده.بعبارتی همانند Duqu : تنها در حافظه اجرا می‌شود و فایلی بر روی دیسک سخت سیستم قرار نمی‌دهد، از چندین روش رمزنگاری متفاوت استفاده می‌کند.

از خط لوله جهت انجام ارتباطات در شبکه محلی استفاده می‌کند و از طریق کاناله‌های توسعه‌ی نرم‌افزارهای قانونی توزیع می‌گردد و همانند بدافزار flame: از زبان lua استفاده می‌کند، به‌صورت امن فایل‌ها را حذف می‌کند و شبکه‌های air-gap را به‌وسیله‌ی removable device دور می‌زنند و همانند بدافزار Equation و Regin : از رمزنگاری RC5/RC6 استفاده می‌کند، Virtual File system ایجاد می‌کند و داده‌ها را بر روی removable device پنهان می‌کند.

وب سایت توسینسو

طبق بررسی های انجام گرفته طراح این بدافزار یک گروه است و از طرفی علائمی چون بکارگیری لغات بسیار بومی انگلیسی‌زبانان و واژه هایی که تنها در سیستم‌عامل یونیکس استفاده می‌شود نشان بر این دارد که نفر اصلی یک انگلیسی با سابقه کار زیاد با سیستم‌عامل یونیکس است.

تنها راه دریافت و تحلیل این بدافزار با توجه به اینکه به طور کامل درون حافظه قرار می گیرد، dump از حافظه‌ی اصلی سیستم آلوده است.

مرجع: مرکز آپای شریف

نویسنده : علیرضا(ARAF)

منبع: ITPRO

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

0 نظر

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر