منو سایت

  • خانه
  • وبلاگ
  • خاورمیانه در دست هکرها! بدافزار جدید WinTapix

خاورمیانه در دست هکرها! بدافزار جدید WinTapix

 تاریخ انتشار :
/
  وبلاگ
خاورمیانه در دست هکرها! بدافزار جدید WinTapix

حداقل از ماه می 2020، نوعی بدافزار به نام “WinTapix.sys” از درایورهای هسته ویندوز استفاده می کند و احتمالا کشورهای خاورمیانه را هدف قرار می دهد. WinTapix.sys در واقع یک بوت لودر است و هدف اصلی آن تولید و اجرای مرحله بعدی حمله است. برای این منظور از Shellcode استفاده می شود. فعالیت های این بدافزار عمدتاً در عربستان سعودی، اردن، قطر و امارات متحده عربی متمرکز شده است. تاکنون این فعالیت ها به گروه یا فرد شناخته شده ای مرتبط نبوده است.

این بدافزار از درایورهای حافظه هسته برای نفوذ بیشتر به سیستم هدف و انجام فعالیت های بیشتری در یک حمله چند مرحله ای استفاده می کند. این درایورها با استفاده از حافظه هسته کار می کنند و بنابراین می توانند هر تعداد عملیات از جمله تغییر مکانیسم های امنیتی کلیدی و اجرای کد دلخواه با بالاترین امتیازات را انجام دهند.

اقدامات امنیتی در برابر WinTapix

یکی از اقدامات امنیتی کلیدی برای مقابله با درایورهای مخرب، اجرای امضای درایور است که در آن فقط درایورهای امضا شده توسط مایکروسافت بارگذاری می شوند. شرکت فناوری مایکروسافت همچنین سیاست‌های مسدود کردن راننده را برای محافظت در برابر درایورهای آسیب‌پذیر شناخته شده حفظ می‌کند.
از طرف دیگر، WinTapix.sys دارای یک امضای نامعتبر است که نشان می دهد تهدید ابتدا باید یک درایور قانونی اما آسیب پذیر را برای اجرای WINTAPIX بارگیری کند.

اما پس از بارگذاری در هسته، WinTapix.sys به گونه‌ای پیکربندی می‌شود که پوسته‌کد تعبیه‌شده را به یک فرآیند حالت کاربر معمولی مناسب تزریق کند، که به نوبه خود یک بار دات‌نت رمزگذاری‌شده را اجرا می‌کند. علاوه بر این، WinTapix شامل قابلیت‌های درب پشتی و پروکسی است که اجازه اجرای دستورات و دانلود را می‌دهد. و آپلود فایل ها و عمل به عنوان یک پروکسی برای انتقال داده ها بین دو نقطه ارتباطی.

از آنجایی که تهدیدهای ایرانی به استفاده از سرورهای Exchange برای استقرار بدافزارهای اضافی معروف هستند، ممکن است این درایور علاوه بر حملات Exchange نیز مورد استفاده قرار گیرد. گروه باج افزار ALPHV همچنین از یک درایور دارای امضای بدافزار برای فرار از سیستم های امنیتی موجود و ناشناخته ماندن برای مدت طولانی استفاده می کند.

به طور کلی، استفاده از درایورهای مخرب برای دسترسی با اولویت بالا به سیستم عامل ویندوز، روشی است که تهدیدات فعال از طریق فناوری‌های پلتفرم حفاظت نقطه پایان (EPP) و تشخیص و پاسخ نقطه پایانی (EDR) استفاده می‌کنند و با افزایش حفاظت از کاربر و فرآیند مبارزه می‌کنند.

منبع: thehackernews