لوگوی ارتباط افزار افق
منو
بستن
۰۲۱۹۱۳۰۵۹۷۹
٠٩٠٢٦٣٤٩٦١٦

بدافزار Qbot نوع جدید چگونه وارد ویندوز می‌شود؟

بدافزار Qbot نوع جدید چگونه وارد ویندوز می‌شود؟​

فهرست مطالب

بدافزار Qbot چیست؟ آپدیت جدید آن چه هدفی را دنبال می کند؟

بدافزار QBot که با نام Qakbot نیز شناخته می‌شود، از جمله بدافزارهای ویندوزی است که در ابتدا به عنوان یک تروجان برای سرقت اطلاعات حساب های بانکی توسعه داده شده بود؛ بعدها قابلیت آلوده کردن سیستم به بدافزارهای دیگر نیز به آن اضافه شد. این بدافزار در پس زمینه ویندوز اجرا می‌شود و با سرقت اطلاعات ایمیل و آلوده کردن سیستم به بدافزارهای بیشتر، بستر لازم برای انجام حملات بیشتر، سرقت اطلاعات و حملات باج گیرها را فراهم می‌کند.

حملات جدید فیشینگ از آسیب پذیری روز صفر ویندوز استفاده می‌کنند تا بدافزار Qbot بدون نمایش هشدارهای امنیتی روی سیستم قربانی نصب گردد. این نوع حمله با ارسال لینک‌های ناشناس به ایمیل کاربران آغاز می‌شود و با کلیک روی لینک دانلود، فایل‌های حاوی کدهای مخرب را بر روی سیستم قربانی بارگذاری می‌کند. بهره‌برداری از این آسیب‌پذیری به سادگی ایجاد یک آرشیو فشرده حاوی یک فایل فقط خواندنی است. البته با ارائه بروزرسانی های امنیتی ماه نوامبر، آسیب پذیری مذکور برطرف گردیده است.

بررسی آسیب پذیری

هنگامی که فایل هایی از منابع ناشناخته روی سیستم دانلود می‌شود، سیستم عامل ویندوز خصوصیت جدیدی به آن دسته از فایل ها اضافه می‌کند که به آن Mark of the Web و یا به اختصار MoTW گفته می‌شود. این خصوصیت، اطلاعاتی را در رابطه با فایل که شامل سطح امنیت منبع فایل، ارجاع دهنده و آدرسی که فایل از آن دانلود شده است، در خود نگه می‌دارد. هنگامی که کاربر قصد باز کردن چنین فایلی را دارد، ویندوز با نمایش پیغام امنیتی، هشدارهای لازم را در خصوص فایل‌هایی با خصوصیت MoTW به کاربر می‌دهد.

بررسی آسیب پذیری

این فایل‌های با پسوند جاوا اسکریپت، مشابه فایل هایی که در وبسایت ها استفاده می‌شود نیستند؛ چراکه توسط Windows Script Host اجرا می‌شوند. محققان بعد از تحقیقات فراوان در زمینه آنالیز آسیب پذیری شرکت ANALYGENCE، دریافتند که مجرمان سایبری از آسیب پذیری جدید در ویندوز سوء استفاده کرده و از نمایش هشدارهای امنیتی در خصوص MoTW جلوگیری می‌کنند.

برای بهره‌برداری از این آسیب‌پذیری، فایل‌ های جاوا اسکریپت (یا فایل های دیگر) می‌توانند شامل امضاهای دیجیتالی باشند. بدین ترتیب، وقتی که فایل مشکوکی با امضا دیجیتالی ناهنجاری باز می‌شود، به جای اینکه توسط SmartScreen ویندوز نشانه گذاری گردد و هشدارهای امنیتی لازم را نمایش دهد، بصورت خودکار فایل آلوده را اجرا می‌کند و بدین ترتیب بدافزار Qbot از طریق اینترنت بر روی سیستم قربانی بارگذاری می‌شود.

نحوه تکثیر و عملکرد آپدیت جدید بدافزار Qbot

تیم فیشینگ بدافزار QBot فایل‌های فشرده ای که با پسورد محافظت می‌شوند و حاوی فایل‌هایی با فرمت ISO هستند را در سطح اینترنت توزیع کرده‌اند، که این فایل‎ها حاوی کدهای مخربی برای نصب بدافزار می‌باشند. اما چرا فایل‌های ISO برای تکثیر بدافزارها استفاده می‌شوند؟ چون سیستم عامل ویندوز به درستی خصوصیت MoTW فایل‌های درون ISO ها را بررسی نمی‌کند و به فایل‌های مخرب اجازه عبور از هشدارهای امنیتی ویندوز را می‌دهد.

این نوع حمله با دریافت ایمیل حاوی لینک دانلود و پسورد فایل آغاز می‌شود که با کلیک روی لینک دانلود، فایل فشرده‌ای حاوی فایل ISO بر روی سیستم قربانی بارگذاری می‌گردد. سیستم عامل ویندوز 10 و نسخه‌های بعد از آن، قابلیت mount کردن فایل‌های ISO به عنوان یک درایو جدید را دارا هستند. محتویات فایل به شرح تصویر زیر می‌باشد.

نحوه تکثیر و عملکرد بدافزار Qbot​

فایل جاوا اسکریپت موجود در تصویر، شامل کدهای ویژوال بیسیک می‌باشد که محتویات فایل data.txt را می‌خواند. فایل data.txt شامل رشته های متنی vR32 است و اضافه کردن آن به پارامترهای پوسته اجرایی، فایل DLL مخرب را بارگذاری می‌کند که پس از مدت کوتاهی DLL به درون پردازه‌های عادی ویندوز (wermgr.exe یا AtBroker.exe) تزریق می‌شود.

راهکار مقابله با این بد افزار

در گذشته باج گیرهای Egregor ،Prolock ،Black Basta توسط بدافزار Qbot درون شبکه‌های سازمانی توزیع شده بودند. پیشنهاد ما این است که برای در امان ماندن سیستم از آلوده شدن به بدافزارهایی از این قبیل و جلوگیری از به سرقت رفتن اطلاعات خود، ویندوز سیستم خود را مرتباً به جدیدترین آپدیت های ارائه شده توسط مایکروسافت ارتقاء دهید. شما می‌توانید برای کسب اطلاعات بیشتر در خصوص اصلاحیه‌های امنیتی ماه نوامبر به وبسایت مایکروسافت مراجعه نمایید. البته لازم به ذکر است که شما به عنوان مدیر یک شبکه با نصب آنتی ویروس سازمانی مناسب مانند نسخه Corporate آنتی ویروس پادویش، ضمن اسکن شبکه از لحاظ وجود بدافزار، امکان یافتن سیستمهای آسیب پذیر و نصب وصله‌های امنیتی نصب نشده را خواهید داشت.

نکته پایانی

نرم‌افزارهای رایانه‌ای با توجه به گستردگی و مکانسیم‌های پیچیده استفاده شده در پیاده سازی آنها، نیاز به نگهداری و توسعه مستمر دارند؛ آسیب پذیری‌های کشف شده باعث توسعه هرچه بهتر و ارتقا سطح امنیت سایبری می‌گردد. این آسیب‌پذیری ها گاها بدلیل اشتباهات طراحی و یا خطاهای انسانی به وجود می‌آیند که با گسترش ویژگی‌های کاربردی نرم‌افزار، ناگذیر هستند.

شرکت‌های ارائه دهنده خدمات نرم‌افزاری ملزم به بررسی آسیب پذیری‌های کشف شده و ارائه وصله‌های امنیتی برای آنها هستند؛ در این میان گروهی از آسیب‌ پذیری‌های روز صفر وجود دارند که شرکت های نرم‌افزاری از وجود آنها بی اطلاع هستند. لذا این نوع از آسیب پذیری ها نیازمند توجه و بررسی ویژه و مداوم نرم افزارهای مورد استفاده است تا در صورت بروز کوچکترین رخنه امنیتی، رویکردهای مقابله‌ای مناسبی در برابر آن اتخاذ گردد.