پرش به محتوای اصلی

درس هایی از حادثه تروجان شدن KeePass

مقالات آنتی ویروس
تاریخ ارسال : 1404/03/13 منبع : ایده ارتباط تراشه
درس هایی از حادثه تروجان شدن KeePass

یکی از نرم افزارهای محبوب مدیریت رمز عبور دستخوش تغییراتی مخرب شد، به‌ گونه ای که به مهاجمان امکان می داد رمزهای عبور را سرقت کرده و داده های کاربران را رمزگذاری کنند. چگونه می توان از کامپیوتر‌های خانگی و سیستم های سازمانی در برابر چنین تهدیدی محافظت کرد؟

شرکت ایده ارتباط تراشه (نماینده رسمی محصولات کسپرسکی در ایران): کاربری که قصد داشت از رمزهای عبور خود محافظت کند، ناخواسته دروازه ای برای نفوذ مهاجمان به سازمان خود گشود. این نتیجه غیرمنتظره در جریان یک بررسی اخیر درباره حمله باج‌ افزاری مستند شده است - حادثه‌ از زمانی آغاز شد که یکی از کارکنان تصمیم گرفت نرم افزار مدیریت رمز عبور محبوب KeePass را دانلود کند. نکته کلیدی اما اینجاست که او به اشتباه به یک وب سایت جعلی مراجعه کرده بود. از آنجا که KeePass یک پروژه متن باز است، مهاجمان به‌ راحتی توانستند نسخه‌ ای از آن را کپی، دستکاری و ویژگی های مخرب به آن اضافه کنند. سپس این نسخه‌ دستکاری شده را مجددا کامپایل کرده و از طریق وب‌ سایت‌ های جعلی منتشر کردند؛ وب‌ سایت هایی که با استفاده از سامانه‌ های تبلیغاتی معتبر آنلاین، به‌ طور گسترده تبلیغ و ترویج می شدند.

عملکرد نسخه جعلی KeePass چه بود؟

این کمپین مخرب دست کم به مدت هشت ماه ادامه داشت و از اواسط سال 2024 آغاز شد. مهاجمان وب‌ سایت های جعلی ای طراحی کردند که ظاهر آن‌ ها به‌ طور ماهرانه ای شبیه سایت رسمی KeePass بود و از روش "تبلیغات مخرب" (Malvertising) برای هدایت کاربران به این دامنه های جعلی استفاده کردند. کاربرانی که در جستجوی KeePass بودند، به سایت هایی با نام‌ هایی فریبنده مانند keeppaswrd ،keebass و KeePass-download هدایت می شدند – دامنه هایی که در نگاه اول بسیار مشابه نسخه اصلی به نظر می رسیدند.

اگر قربانی نرم افزار KeePass را از یک وب سایت جعلی دانلود می کرد، این مدیر رمز عبور در ظاهر عملکردی طبیعی و مورد انتظار داشت، اما در پس‌ زمینه، تمامی رمزهای عبور موجود در پایگاه داده باز را در قالب یک فایل متنی بدون رمزگذاری ذخیره می کرد. همچنین، یک ابزار Cobalt Strike beacon را بر روی سیستم نصب می شد - ابزاری که می تواند هم برای ارزیابی امنیت یک سازمان و هم برای انجام حملات واقعی سایبری مورد استفاده قرار گیرد.

با استفاده از ابزار Cobalt Strike، مهاجمان نه تنها توانستند رمزهای عبور استخراج‌ شده را به سرقت ببرند، بلکه از آن ها برای نفوذ به سایر سیستم ها نیز بهره گرفتند و در نهایت، سرورهای ESXi سازمان را رمزگذاری کردند.

پژوهشگران در جریان جستجوی ردپای این حمله در فضای آنلاین، پنج نسخه‌ مختلف از نرم افزار KeePass را شناسایی کردند که همگی به طور مخرب تغییر داده شده بودند. برخی از این نسخه‌ های تروجان‌ شده ساده تر عمل می‌ کردند: آن‌ ها بلافاصله پس از سرقت رمزهای عبور، آن ها را به سرور مهاجمان ارسال می کردند.

بدافزار با قابلیت مخفی کاری بالا

پنهان‌ سازی بدافزار در کنار یک نرم افزار معتبر، روشی تازه نیست. در اغلب موارد، مهاجمان صرفا فایل‌ های مخرب را به بسته نصب اضافه می‌ کنند، که معمولا توسط راهکارهای امنیتی موجود در سیستم شناسایی می‌ شوند. اما حمله از طریق نسخه جعلی KeePass بسیار حساب‌ شده تر طراحی شده بود و با دقت بیشتری از دید ابزارهای امنیتی پنهان می ماند.

تمامی بسته های نصب نسخه جعلی KeePass با یک امضای دیجیتال معتبر امضا شده بودند؛ به همین دلیل، هیچ هشدار نگران‌ کننده‌ ای از سوی سیستم‌ عامل ویندوز به کاربر نمایش داده نمی‌ شد. پنج توزیع جعلی ای که به تازگی شناسایی شده اند، دارای گواهی نامه هایی بودند که توسط چهار شرکت نرم‌ افزاری متفاوت صادر شده اند. در حالی‌ که نسخه اصلی KeePass با گواهی متفاوتی امضا شده است، اما واقعیت این است که کمتر کسی به خط "ناشر" (Publisher) در هشدارهای ویندوز توجه می کند.

عملکردهای تروجان به‌ طور ماهرانه ای در منطق اصلی برنامه پنهان شده بودند و تنها زمانی اجرا می شدند که کاربر یک پایگاه داده رمز عبور را باز می کرد. به عبارت دیگر، برنامه ابتدا به‌ صورت کاملا عادی اجرا می شد، از کاربر می‌ خواست پایگاه داده مورد نظر را انتخاب کرده و رمز عبور اصلی را وارد کند، و تنها پس از آن شروع به انجام اقداماتی می‌ کرد که ممکن بود توسط سامانه‌ های امنیتی مشکوک تلقی شوند. این طراحی باعث می شد تشخیص حمله برای محیط‌ های "Sandbox" و سایر ابزارهای تحلیل رفتاری که به دنبال شناسایی فعالیت های غیرعادی هستند، بسیار دشوارتر شود.

نه فقط KeePass

پژوهشگران در جریان بررسی وب‌ سایت های مخربی که نسخه های تروجان شده KeePass را توزیع می‌ کردند، با وب سایت‌ های مرتبطی مواجه شدند که همگی روی یک دامنه مشترک میزبانی شده بودند. این وب سایت ها نرم‌ افزارهای قانونی دیگری را نیز تبلیغ می کردند؛ از جمله مدیر فایل امن WinSCP و چند ابزار مرتبط با رمزارزها. البته این برنامه ها به‌ صورت محدودتری دست‌ کاری شده بودند و صرفا بدافزار شناخته شده ای به نام Nitrogen Loader را بر روی سیستم قربانی نصب می کردند.

این شواهد نشان می‌ دهد که نسخه تروجان شده KeePass احتمالا توسط واسطه های دسترسی اولیه (Initial Access Brokers) ایجاد شده است. این مجرمان سایبری با سرقت رمزهای عبور و اطلاعات محرمانه دیگر، به دنبال یافتن نقاط ورودی به شبکه های کامپیوتری سازمان ها هستند و پس از موفقیت، این دسترسی را به سایر مهاجمان - معمولا گروه‌ های باج افزار – می فروشند.

تهدیدی برای همه

توزیع‌ کنندگان بدافزارهای سرقت رمز عبور، بدون تبعیض همه کاربران بی اطلاع را هدف قرار می دهند. این مجرمان سایبری، هرگونه رمز عبور، اطلاعات مالی یا داده ارزشمندی را که موفق به سرقت آن شوند، تحلیل کرده، دسته بندی می کنند و آنچه را که برای سایر مجرمان سایبری مفید است، به فروش می رسانند. گروه‌ های باج افزاری اطلاعات ورود به شبکه های سازمانی را خریداری می کنند، کلاهبرداران به دنبال داده‌ های شخصی و شماره کارت های بانکی هستند، و ارسال کنندگان هرزنامه (Spammer) به سراغ اطلاعات حساب های کاربری در شبکه های اجتماعی یا بازی های آنلاین می روند.

به همین دلیل، مدل کسب و کار توزیع کنندگان بدافزارهای سرقتی (Stealer) بر این اساس شکل گرفته است که هر اطلاعاتی را که بتوانند، جمع‌ آوری کرده و از هر نوع فریبی برای گسترش بدافزار خود استفاده کنند. تروجان ها می‌ توانند در هر نوع نرم افزاری پنهان شوند - از بازی ها و مدیران رمز عبور گرفته تا برنامه های تخصصی برای حسابداران یا معماران.

چگونه از کامپیوتر خانگی خود محافظت کنیم؟

برنامه‌ ها را تنها از وب سایت رسمی سازنده یا فروشگاه های معتبر نرم‌ افزار مانند مایکروسافت استور یا گوگل پلی دانلود و نصب کنید.

به امضای دیجیتال نرم افزارها توجه داشته باشید. زمانی که برنامه ای را برای اولین بار اجرا می کنید، ویندوز هشداری نمایش می‌ دهد که در آن، نام صاحب امضای دیجیتال در قسمت "ناشر" (Publisher) درج شده است. مطمئن شوید که این نام با اطلاعات توسعه‌ دهنده واقعی نرم افزار مطابقت دارد. در صورت تردید، اطلاعات را در وب‌ سایت رسمی بررسی کنید.

نسبت به تبلیغات جستجو (Search Ads) هوشیار باشید. زمانی که نام یک نرم افزار را در موتورهای جستجو وارد می کنید، نتایج ابتدایی به ویژه چهار یا پنج نتیجه اول را با دقت بررسی کنید، اما تبلیغات (Ads) را نادیده بگیرید. وب سایت رسمی توسعه دهنده معمولا یکی از نتایج اولیه غیرتبلیغی است. اگر مطمئن نیستید کدام نتیجه به وب سایت رسمی منتهی می شود، بهتر است آدرس آن را از طریق فروشگاه های معتبر نرم‌ افزار یا حتی صفحه مربوطه در ویکی پدیا بررسی و تایید کنید.

حتما از یک نرم‌ افزار امنیتی جامع مانند Kaspersky Premium در تمامی کامپیوترها و گوشی‌ های هوشمند خود استفاده کنید. آنتی ویروس کسپرسکی پریمیوم شما را در برابر اکثر انواع بدافزار محافظت کرده و از دسترسی به وب سایت های خطرناک جلوگیری می کنند. خرید لایسنس اورجینال کسپرسکی پریمیوم.

از مدیر رمز عبور (Password Managers) فاصله نگیرید! اگرچه یکی از مدیران رمز عبور محبوب در یک حمله پیشرفته مورد سوء استفاده قرار گرفت، اما اصل ذخیره سازی امن داده های مهم به صورت رمزگذاری شده، بیش از هر زمان دیگری اهمیت دارد. آنتی ویروس های کسپرسکی پلاس و کسپرسکی پریمیوم شامل ابزار کسپرسکی پسورد منیجر (Kaspersky Password Manager) نیز هستند، که به شما امکان می دهند رمزهای عبور و اطلاعات ورود خود را به‌ صورت امن و رمزگذاری شده ذخیره کنید. خرید لایسنس اورجینال کسپرسکی پسورد منیجر.

چگونه از سازمان خود را در برابر بدافزارهای سرقت اطلاعات (Infostealers) و واسطه‌ های دسترسی اولیه محافظت کنیم؟

استفاده از اطلاعات کاربری واقعی و معتبر (Legitimate Credentials) در حملات، یکی از رایج‌ ترین تاکتیک ها در میان مجرمان سایبری است. برای آن‌ که سرقت و سوء استفاده از حساب های سازمانی دشوارتر شود، لازم است سازمان ها توصیه‌ های امنیتی مرتبط با مقابله با بدافزارهای سرقت اطلاعات را جدی بگیرند و اجرا کنند.

برای مقابله با نرم افزارهای تروجان شده که می‌ توانند دسترسی مستقیم مهاجمان به شبکه سازمانی را فراهم کنند، توصیه می شود اقدامات زیر نیز به طور جدی در دستور کار قرار گیرد:

  • محدودسازی دانلود و اجرای نرم افزارهای غیر قابل اعتماد با استفاده از فهرست های مجاز (Application Allowlisting): معیارهای مناسب برای Allowlisting می توانند شامل "نرم‌ افزارهایی از یک ناشر مشخص" یا "برنامه‌ هایی که با یک گواهی دیجیتال خاص امضا شده‌ اند" باشند. استفاده از گزینه دوم در پرونده KeePass می توانست موثر باشد و از اجرای نسخه جعلی با گواهی غیرمجاز جلوگیری کند.
  • استقرار راهکار مرکزی برای نظارت و واکنش: این امر شامل نصب حسگرهای EDR (تشخیص و پاسخ در نقطه پایانی) روی تمام ایستگاه های کاری و سرورها و تحلیل تله متری حاصل با استفاده از راهکارهای SIEM یا XDR است. راهکار Kaspersky Next XDR Expert به‌ خوبی می تواند پاسخ جامع و حرفه ای برای این نیاز امنیتی باشد.
  • گسترش آموزش‌ های امنیتی برای کارکنان: علاوه بر آگاهی‌ بخشی نسبت به حملات فیشینگ، آموزش شناسایی نرم افزارهای جعلی، تبلیغات مخرب و سایر روش‌ های مهندسی اجتماعی نیز بسیار مهم است.
تبلیغات

طراحی و قالب سایت پزشکی و سلامت

مناسب برای معرفی و خدمات رسانی پزشکان
دسته بندی ها
سایر مقالات
برچسب ها
مدیر رمز عبور
پسورد منیجر
باج افزار
تروجان
سرقت اطلاعات
عضویت در خبرنامه
فروش ویژه پاییزی
فروش ویژه تابستان آنتی ویروس نود 32 و کسپرسکی

شرکت ایده ارتباط تراشه

فعالیت خود را از سال 1390، به عنوان بزرگترین ارائه دهنده ابزار و نرم افزارهای امنیت اطلاعات رایانه ای آغاز نموده است و با اخذ نمایندگی رسمی شرکت های ESET و Kaspersky سبد متنوعی از آنتی ویروس های خانگی و تحت شبکه را در اختیار گرفته تا یک محصول اورجینال به کاربران خود ارائه دهد. این شرکت با دارا بودن دفاتر نمایندگی در سراسر کشور و با تشکیل تیم فنی قدرتمند برای پشتیبانی همواره تلاش داشته تا بهترین راهکارها را در قالب محصولات و خدمات در اختیار مشتریان قرار دهد. همچنین این شرکت با اجرای بهترین خدمات از جمله طراحی سایت، نرم افزار مدیریت ارتباط با مشتریان، تولید ویدیو های آموزشی توانسته مشاوری برای بروز بودن کسب و کار مشتریان خود باشد و با شعار "کسب و کار شما گران بها است" تا فردا هایی روشن تر همواره برای خدمت رسانی به هموطنان عزیز در تلاش بوده است.

تماس با ما

تهران، شهرک راه آهن، خیابان کامیاب، کوچه کاوش، برج تریتا، طبقه 19، واحد 184

47000782 , 44950338 , 44950389 , 44964960 , 44964967 (021)

Logo-Samandehi Logo-Enamad
کلیه حقوق مادی و معنوی این سایت متعلق به شرکت ایده ارتباط تراشه می باشد.
Whatsapp Chat کارشناسان ما پاسخگوی شما هستند