Stegano – کیت جدید نقض و آسیب‌پذیری (exploit kit)

Stegano Exploit Kit

محققان لابراتوارهای ESET یک کیت جدید نقض و آسیب‌پذیری (exploit kit) را بانام Stegano کشف کرده‌اند که از طریق تبلیغات از طریق برخی از سایت‌های معتبر، که درStegano – کیت جدید نقض و آسیب‌پذیری (exploit kit):  روز میلیون‌ها بازدیدکننده دارند، توزیع می‌گردد. مجرمین این نقض از اکتبر 2016 کاربران Internet Explorer را هدف قرار داده‌اند و کامپیوترهای آن‌ها را برای آسیب‌پذیری Flash Player اسکن نموده‌اند. هکرها با نقض از طریق کد سعی بر دانلود کردن و اجرا انواع بدافزار داشته‌اند. این حملات بدافزاری تبلیغات مخرب (malvertising) به شمار می‌آیند چون کد مخرب از طریق banner های تبلیغاتی توزیع می‌گردد.
علاوه بر این حمله‌کننده از روش‌های بسیار زیرکانه، مخفی و پیچیده استفاده می‌کند که تحلیل را پیچیده ساخته و کار سخت می‌شود چون تحلیل نیاز به گزارش‌نویسی گسترده دارد. در حالت ساده این exploit kit به شرح ذیل است. Stegano – کیت جدید نقض و آسیب‌پذیری (exploit kit)
Banner های تبلیغاتی دارای پیکسل‌های آلوده (poisoned pixels) هستند که exploit kit های جدید به وجود می‌آورند و مجرمین را قادر به نصب از راه دور بدافزار روی سیستم قربانیان می‌سازد. حتی نیاز نیست که قربانی بر روی محتوای مخرب تبلیغات کلیک کند و فقط باید در وب‌سایت موردنظر دیده شود. اگر سیستم قربانی یک نسخه آسیب‌پذیر Flash Player داشته باشد، سیستم به‌طور خودکار آلوده می‌شود.
سپس هکرها قادر خواهند بود که بدافزار دلخواه خود را دانلود و اجرا کنند. برخی از payload های تحلیل‌شده شامل تروجان های بانکی (banking Trojans)، درب پشتی (backdoors) و جاسوس‌افزار (spyware) بودند و امکان ارسال باج افزار (ransomware) نیز وجود دارد. این تهدید گوشزد می‌کند که به‌روز نگاه‌داشتن سیستم، داشتن پچ های کامل برای برنامه‌ها و داشتن یک‌راه حل امنیتی معتبر از ضرورت بالایی برخوردار است.
Stegano روشی است که در آن قسمتی از کد مخرب در پیکسل banner های تبلیغاتی پنهان می‌شود (مخصوصاً در” پارامترهای کنترل Transparency” هر پیکسل). این امر تغییرات بسیار کمی در تون (tone) تصویر ایجاد می‌کند و با چشم غیر مصلح دیده نخواهد شد. با دور زدن اقدامات شناسایی و بلوک کردن محتوای مخرب در پلتفرم‌های تبلیغاتی، حمله‌کنندگان از سایت‌های معتبر برای آلوده کردن محتوا و ارسال آن به بیش از میلیون‌ها کاربر استفاده می‌کنند.
در ضمن نسخه های مخرب تبلیغات فقط به گروه‌های خاص ارسال می‌گردد که توسط سرور مجرمین تعیین می‌گردد. منطق این کار و انتخاب اهداف مشخص نیست، اما به مجرمین کمک می‌کند که زمانی بیشتر در پلتفرم تبلیغاتی پنهان بمانند. Stegano و مجرمین نیز سعی دارند از تیم‌های محقق امنیت سایبری و جستجو برای بدافزارها پنهان بمانند. پنهان‌سازی کد در پیکسل به‌تنهایی برای پنهان‌سازی کافی نیست و یک سری مراحل برای شناسایی بررسی بر روی کد اجرا می‌شود. اگر کد در حال بررسی باشد، فعالیت‌های کیت قطع می‌شود و محتوای مخرب ارائه نمی‌گردد.
Exploit kit بیشتر سعی دارد شناسایی کند که آیا در یک Sandbox قرارگرفته است یا بر روی یک ماشین مجازی (virtual machine) مخصوص شناسایی اجرا می‌شود. این بدافزار نیز هرگونه راه‌حل امنیتی موجود را شناسایی می‌کند و اطلاعات را به سرور کنترل خود ارسال می‌کند.
سیستم‌های شناسایی ESET نشان می‌دهد که در دو ماه گذشته آگهی‌های مخرب به بیش از یک‌میلیون کاربر در چند سایت محبوب نشان داده‌شده است و این درواقع فقط از بررسی‌های اولیه منشأ گرفته است که یعنی این آمار ممکن است بسیار بالاتر باشد.
افرادی که سیستم‌ها و کامپیوترهای به‌روز شده، با پچ ها و برنامه‌های به‌روز داشته باشند مشکلی نخواهند داشت. برای دیگر کاربران تبلیغات مخرب خطری جدی به شمار می‌رود و می‌توانند امیدوار باشند که دچار بدافزار نشده‌اند.

Stegano – کیت جدید نقض و آسیب‌پذیری (exploit kit)