
حداقل از ماه می 2020، نوعی بدافزار به نام “WinTapix.sys” از درایورهای هسته ویندوز استفاده می کند و احتمالا کشورهای خاورمیانه را هدف قرار می دهد. WinTapix.sys در واقع یک بوت لودر است و هدف اصلی آن تولید و اجرای مرحله بعدی حمله است. برای این منظور از Shellcode استفاده می شود. فعالیت های این بدافزار عمدتاً در عربستان سعودی، اردن، قطر و امارات متحده عربی متمرکز شده است. تاکنون این فعالیت ها به گروه یا فرد شناخته شده ای مرتبط نبوده است.
این بدافزار از درایورهای حافظه هسته برای نفوذ بیشتر به سیستم هدف و انجام فعالیت های بیشتری در یک حمله چند مرحله ای استفاده می کند. این درایورها با استفاده از حافظه هسته کار می کنند و بنابراین می توانند هر تعداد عملیات از جمله تغییر مکانیسم های امنیتی کلیدی و اجرای کد دلخواه با بالاترین امتیازات را انجام دهند.
اقدامات امنیتی در برابر WinTapix
یکی از اقدامات امنیتی کلیدی برای مقابله با درایورهای مخرب، اجرای امضای درایور است که در آن فقط درایورهای امضا شده توسط مایکروسافت بارگذاری می شوند. شرکت فناوری مایکروسافت همچنین سیاستهای مسدود کردن راننده را برای محافظت در برابر درایورهای آسیبپذیر شناخته شده حفظ میکند.
از طرف دیگر، WinTapix.sys دارای یک امضای نامعتبر است که نشان می دهد تهدید ابتدا باید یک درایور قانونی اما آسیب پذیر را برای اجرای WINTAPIX بارگیری کند.
اما پس از بارگذاری در هسته، WinTapix.sys به گونهای پیکربندی میشود که پوستهکد تعبیهشده را به یک فرآیند حالت کاربر معمولی مناسب تزریق کند، که به نوبه خود یک بار داتنت رمزگذاریشده را اجرا میکند. علاوه بر این، WinTapix شامل قابلیتهای درب پشتی و پروکسی است که اجازه اجرای دستورات و دانلود را میدهد. و آپلود فایل ها و عمل به عنوان یک پروکسی برای انتقال داده ها بین دو نقطه ارتباطی.
از آنجایی که تهدیدهای ایرانی به استفاده از سرورهای Exchange برای استقرار بدافزارهای اضافی معروف هستند، ممکن است این درایور علاوه بر حملات Exchange نیز مورد استفاده قرار گیرد. گروه باج افزار ALPHV همچنین از یک درایور دارای امضای بدافزار برای فرار از سیستم های امنیتی موجود و ناشناخته ماندن برای مدت طولانی استفاده می کند.
به طور کلی، استفاده از درایورهای مخرب برای دسترسی با اولویت بالا به سیستم عامل ویندوز، روشی است که تهدیدات فعال از طریق فناوریهای پلتفرم حفاظت نقطه پایان (EPP) و تشخیص و پاسخ نقطه پایانی (EDR) استفاده میکنند و با افزایش حفاظت از کاربر و فرآیند مبارزه میکنند.
منبع: thehackernews