هکرها برای دسترسی به سیستم از Windows Narrator استفاده میکنند
هکرهای چینی در حال جایگزین کردن برنامه قانونی Narrator در سیستمهای ویندوز با اهداف خرابکارانه هستند که امکان دسترسی از راه دور بر روی حساب سیستمعامل را برای آنها فراهم میکند.
محققان امنیتی بلک بری سیلانس (BlackBerry Cylance) امروز در گزارشی بیان کردند، در حالی که این حمله، حمله جدیدی نیست، هکرهای چینی رویکرد جدیدی برای آن دارند.
بیشتر بدافزارها با سوءاستفاده از ویژگیهای دسترسی، رابط Narrator را تکرار کرده و دستکاریهایی در آن انجام میدهند. در این حمله، یک برنامه جعلی جای برنامه مشروع را میگیرد و آن را با یک پنجره با هم پوشانی پنهان راه اندازی میکند که منتظر ورود کلیدهای خاصی است.
به گفته محققان سیلانس: “هنگامی که رمزهای عبور صحیح تایپ شده باشد، بدافزار با نمایش گفتگویی به مهاجم اجازه میدهد تا مسیر را برای اجرای یک پرونده مشخص کند.”
هنگامی که رمزهای عبور درست هک شده در بدافزار به صورت “showmememe” وارد میشوند، این پنجره پنهان قابل مشاهده میشود. به این ترتیب، مهاجم میتواند دستورات یا موارد اجرایی را با امتیازات بالا پیاده سازی کند.
برای اجرای Narrator جعلی روی صفحه ورود به سیستم دسکتاپ، هکرها در ابتدا سیستم را با یک نسخه سفارشی از PcShare با منبع باز به خطر میاندازند.
آنها برای اطمینان از یک عمل پنهانی، به بارگذاری جانبی، تزریق حافظه و تاکتیکهای غلط هدایت، متکی هستند.
اجرای درب پشتی روی سیستم مورد نظر با کمک برنامه مشروع “NVIDIA Smart Maximize Helper Host” انجام میشود، که بخشی از درایورهای گرافیکی NVIDIA است.
محققان هنگام تجزیه و تحلیل درب پشتی، متوجه تفاوت آن با نسخه عمومی میزبانی شده در GitHub است. برخی از قابلیتهای اصلی به احتمال زیاد به دلیل عدم نیاز و برای یک برنامه کوچکتر، حذف شده است.
لیست ویژگیهای مدیریت از راه دوری که محققان به تازگی آن را کشف کردند شامل موارد زیر است:
- فهرست بندی، ایجاد، تغییر نام، حذف پروندهها
- فهرست بندی فرایندها
- ویرایش کلیدها و مقادیر رجیستری
- فهرست بندی خدمات و سرویسها
- شمارش و کنترل پنجره
- اجرای باینریها
- بارگیری فایلهای اضافی از C&C یا URL ارایه شده
- بارگذاری پروندهها در C&C
- اجرای خط فرمان
- هدایت URLها
- نمایش جعبههای پیام
- راه اندازی مجدد یا خاموش کردن سیستم
جدا از این موارد، PcShare سفارشی دارای SSH و سرور Telnet، حالت بهروزرسانی خودکار و همچنین گزینههایی برای بارگیری و بارگذاری فایلها است.
برای محافظت از زیرساختهای C2، هکرها یک پرونده پیکربندی را با متن ساده با آدرس مستقیم به یک پرونده راه دور هدایت میکنند که حاوی جزئیاتی برای دستیابی به C2 واقعی است.
سیلانس عنوان میکند: “این کار به مهاجمان اجازه میدهد تا آدرس C&C مورد نظر را به راحتی تغییر دهند، تصمیم بگیرند که چه زمانی ارتباط برقرار شود، و با استفاده از فیلتر سرور، آدرس واقعی را به درخواستهایی که از مناطق خاص یا در زمانهای خاص محدود است، آشکار کند.”
سیلانس گمان می کند که این حملات کار یک گروه تهدید پیشرفته چینی موسوم به Tropic Trooper یا KeyBoy است که موسسات دولتی و شرکتهای صنعت سنگین را در تایوان و فیلیپین هدف قرار داده است.
اگرچه این انتساب دقیق بر اساس شواهد موجود امکان پذیر نیست، اما آمار قربانیان، موقعیت جغرافیایی آنها و استفاده از PcShare به این مورد اشاره دارد. این حملات به شرکتهای فناوری در جنوب شرقی آسیا نیز صورت گرفته است.