تحلیل سیمانتک از استخراج غیرمجاز رمزارز بدون مرورگر و تهدیدات ماینینگ مخفی

جایگاه سیمانتک در شناسایی تهدیدات نوظهور استخراج رمزارز

 در سال‌های اخیر، سیمانتک به‌عنوان یکی از پیشگامان امنیت سایبری جهان، نقش بسیار مهمی در شناسایی تهدیدات نوظهور ایفا کرده است. یکی از این تهدیدات که توجه گسترده متخصصان امنیت اطلاعات را به خود جلب کرده، استخراج غیرمجاز رمزارز یا Coin Mining است. سیمانتک با تحلیل دقیق الگوهای رفتاری بدافزارها نشان داده است که مهاجمان همواره در حال نوآوری هستند و از روش‌های پیچیده‌تری برای سوءاستفاده از منابع پردازشی قربانیان استفاده می‌کنند، به‌طوری که حتی بدون باز شدن مرورگر، عملیات استخراج رمزارز انجام می‌شود.

استخراج رمزارز مبتنی بر مرورگر چیست و چرا اهمیت دارد

 استخراج رمزارز مبتنی بر مرورگر نوعی فعالیت است که در آن اسکریپت‌های جاوااسکریپت یا WebAssembly در محیط مرورگر اجرا شده و از توان پردازشی CPU کاربر برای تولید ارز دیجیتال استفاده می‌کنند. سیمانتک توضیح می‌دهد که در حالت مشروع، این فرآیند با اطلاع و رضایت کاربر انجام می‌شود، اما در حالت غیرقانونی، بدون آگاهی قربانی اجرا شده و منجر به افت شدید عملکرد سیستم می‌شود. اهمیت این موضوع از آنجا ناشی می‌شود که میلیون‌ها کاربر در سراسر جهان تحت تأثیر این نوع تهدید قرار گرفته‌اند.

افزایش چشمگیر استخراج غیرمجاز در سال ۲۰۱۷ از دید سیمانتک

 طبق داده‌های تله‌متری شبکه‌ای سیمانتک، در ماه‌های پایانی سال ۲۰۱۷ شاهد افزایش انفجاری فعالیت‌های استخراج رمزارز مبتنی بر مرورگر بوده‌ایم. در این بازه زمانی، بسیاری از وب‌سایت‌ها به‌طور مخفیانه اسکریپت‌های استخراج را در صفحات خود قرار دادند و کاربران بدون اطلاع، درگیر استخراج شدند. سیمانتک این روند را زنگ خطری برای آینده امنیت وب دانست و پیش‌بینی کرد که مهاجمان به‌دنبال روش‌های مخفیانه‌تر و پایدارتر خواهند رفت.

فراتر از مرورگر: آغاز استخراج رمزارز بدون مرورگر

 یکی از جالب‌ترین و در عین حال نگران‌کننده‌ترین کشفیات سیمانتک، شناسایی بدافزاری بود که عملیات استخراج رمزارز را بدون اجرای مرورگر انجام می‌داد. این موضوع در نگاه اول متناقض به نظر می‌رسد، زیرا استخراج مبتنی بر وب معمولاً نیازمند مرورگر است. اما تحلیل‌های فنی سیمانتک نشان داد که مهاجمان با سوءاستفاده از قابلیت‌های داخلی سیستم‌عامل ویندوز، موفق شده‌اند این محدودیت را دور بزنند.

معرفی فایل اجرایی مخرب و نقش .NET در حمله

 نمونه شناسایی‌شده توسط سیمانتک یک فایل اجرایی .NET با ساختار PE بود که در ظاهر یک برنامه عادی به نظر می‌رسید. فایل‌های .NET می‌توانند منابع متعددی از جمله فرم‌های گرافیکی، اسکریپت‌ها و داده‌ها را درون خود ذخیره کنند. مهاجمان از همین قابلیت استفاده کرده و کدهای جاوااسکریپت استخراج رمزارز را در بخش منابع این فایل پنهان کرده بودند، روشی که شناسایی را برای کاربران عادی بسیار دشوار می‌کرد.

فرم مخفی Form1 و نقش آن در استخراج رمزارز

 در تحلیل کد این بدافزار، سیمانتک متوجه وجود فرمی با نام Form1 شد که به‌عنوان رابط کاربری تعریف شده بود. نکته مهم اینجاست که این فرم هرگز به کاربر نمایش داده نمی‌شد. درون کد این فرم، یک تگ Script وجود داشت که به اسکریپت معروف Coinhive اشاره می‌کرد. این کشف نشان داد که بدافزار عملاً یک محیط مرورگر مخفی را شبیه‌سازی کرده است.

Coinhive و سابقه آن در استخراج رمزارز

 Coinhive یکی از شناخته‌شده‌ترین سرویس‌های استخراج رمزارز مبتنی بر مرورگر بود که عمدتاً برای استخراج مونرو استفاده می‌شد. سیمانتک پیش‌تر بارها درباره سوءاستفاده از Coinhive هشدار داده بود، زیرا بسیاری از مهاجمان بدون رضایت کاربران از این سرویس استفاده می‌کردند. در این حمله نیز، اسکریپت Coinhive به‌طور کامل درون فایل اجرایی جاسازی شده بود.

اجرای جاوااسکریپت بدون مرورگر از نگاه فنی

 سؤال اصلی این بود که چگونه جاوااسکریپت بدون مرورگر اجرا می‌شود. سیمانتک با بررسی کد متوجه شد که بدافزار از کلاس WebBrowser در .NET استفاده می‌کند. این کلاس در واقع یک کنترل داخلی است که موتور مرورگر اینترنت اکسپلورر را درون یک برنامه اجرا می‌کند. بدین ترتیب، تمام قابلیت‌های مرورگر در دسترس بدافزار قرار می‌گیرد، بدون آنکه پنجره‌ای به کاربر نمایش داده شود.

WebBrowser Class؛ مرورگری نامرئی برای حمله

 کلاس WebBrowser به بدافزار اجازه می‌دهد صفحات وب را بارگذاری و اجرا کند. سیمانتک توضیح می‌دهد که تا زمانی که فرم حاوی این کنترل مخفی باقی بماند، هیچ نشانه‌ای از اجرای مرورگر وجود نخواهد داشت. این تکنیک یکی از هوشمندانه‌ترین روش‌ها برای پنهان‌سازی فعالیت‌های استخراج رمزارز محسوب می‌شود.

DocumentText و اجرای مستقیم کد مخرب

 در این بدافزار، مقدار ویژگی DocumentText کنترل WebBrowser برابر با کد جاوااسکریپت استخراج رمزارز قرار داده شده بود. سیمانتک اشاره می‌کند که در این حالت، مرورگر داخلی کد HTML و JavaScript را مستقیماً اجرا می‌کند، بدون نیاز به بارگذاری یک URL واقعی. این روش باعث می‌شود آدرس وب‌سایت در مرورگر معنای خاصی نداشته باشد و ردیابی سخت‌تر شود.

ماندگاری بدافزار با اجرای خودکار پس از ریبوت

 یکی دیگر از نکات مهم تحلیل سیمانتک، بررسی مکانیزم پایداری بدافزار بود. فایل اجرایی مخرب با نام windata0.exe در پوشه Startup ویندوز کپی می‌شد تا پس از هر بار راه‌اندازی سیستم به‌طور خودکار اجرا شود. این موضوع نشان می‌دهد که مهاجمان به‌دنبال استخراج طولانی‌مدت و مداوم رمزارز بوده‌اند.

نشانه‌های ظاهری استخراج رمزارز از دید کاربر

 سیمانتک توضیح می‌دهد که رایج‌ترین نشانه استخراج رمزارز، افزایش ناگهانی و مداوم مصرف CPU است. این مسئله معمولاً باعث کندی سیستم، داغ شدن بیش از حد و کاهش عمر سخت‌افزار می‌شود. در استخراج مبتنی بر مرورگر، کاربر ممکن است به وب‌سایت مشکوک شود، اما در این نوع حمله، هیچ مرورگری دیده نمی‌شود.

گمراهی کاربران و نسبت دادن مشکل به نرم‌افزارهای عادی

 از آنجا که هیچ پنجره مرورگری باز نیست، کاربران ممکن است کندی سیستم را به برنامه‌های نصب‌شده یا مشکلات سخت‌افزاری نسبت دهند. سیمانتک این موضوع را یکی از خطرناک‌ترین جنبه‌های این تهدید می‌داند، زیرا قربانی برای مدت طولانی متوجه آلودگی نمی‌شود و بدافزار به فعالیت خود ادامه می‌دهد.

استفاده از Task Manager برای شناسایی فعالیت مشکوک

 سیمانتک توصیه می‌کند که کاربران و مدیران سیستم در صورت مشاهده مصرف غیرعادی CPU، از Task Manager ویندوز استفاده کنند. بررسی پردازش‌هایی که به‌طور مداوم منابع پردازشی را اشغال کرده‌اند، می‌تواند اولین نشانه آلودگی به بدافزار استخراج رمزارز باشد.

تحلیل ترافیک شبکه و شناسایی ارتباط با Coinhive

 علاوه بر بررسی پردازش‌ها، سیمانتک پیشنهاد می‌کند از ابزارهای تحلیل شبکه برای شناسایی ارتباطات مشکوک استفاده شود. در نمونه بررسی‌شده، ارتباطات مکرر با دامنه coinhive.com مشاهده شد که وجود یک ماینر مبتنی بر وب را تأیید می‌کرد.

نقش WebSocket در استخراج رمزارز

 یکی از روش‌های ارتباطی ماینرها با سرور، استفاده از WebSocket است. سیمانتک نشان داد که در ترافیک ضبط‌شده، داده‌هایی شامل هش‌های محاسبه‌شده به استخر استخراج ارسال می‌شد. این نوع ارتباط بلادرنگ برای عملیات استخراج بسیار رایج است.

تداوم بالای استخراج رمزارز با وجود افت قیمت‌ها

 با وجود کاهش شدید ارزش ارزهای دیجیتال در اوایل سال ۲۰۱۸، سیمانتک گزارش داد که میزان شناسایی استخراج رمزارز همچنان بالا باقی مانده است. این موضوع نشان می‌دهد که مهاجمان حتی با سود کمتر نیز به سوءاستفاده از منابع قربانیان ادامه می‌دهند.

نوآوری مداوم مجرمان سایبری

 تحلیل سیمانتک به‌وضوح نشان می‌دهد که مجرمان سایبری به‌طور مداوم در حال توسعه روش‌های جدید برای دور زدن مکانیزم‌های امنیتی هستند. استخراج رمزارز بدون مرورگر تنها یکی از نمونه‌های این نوآوری‌هاست که می‌تواند در آینده پیچیده‌تر نیز شود.

نقش راهکارهای امنیتی سیمانتک در مقابله با این تهدید

 سیمانتک با بهره‌گیری از تحلیل رفتاری، یادگیری ماشین و تله‌متری گسترده، قادر است این نوع فعالیت‌های غیرعادی را شناسایی و مسدود کند. برخلاف آنتی‌ویروس‌های سنتی، راهکارهای پیشرفته Symantec تنها به امضای بدافزار متکی نیستند و رفتار پردازش‌ها و ارتباطات شبکه را نیز بررسی می‌کنند.

اهمیت استفاده از امنیت چندلایه

 سیمانتک همواره بر استفاده از رویکرد امنیت چندلایه تأکید دارد. ترکیب آنتی‌ویروس، فایروال، EDR و مانیتورینگ شبکه می‌تواند شانس شناسایی تهدیداتی مانند استخراج مخفی رمزارز را به‌طور قابل توجهی افزایش دهد.

آموزش کاربران؛ خط دفاعی مکمل

 در کنار ابزارهای فنی، سیمانتک آموزش کاربران را یکی از ارکان اصلی امنیت می‌داند. آگاهی از نشانه‌های کندی سیستم و مصرف غیرعادی منابع می‌تواند به شناسایی زودهنگام آلودگی کمک کند.

چرا سیمانتک همچنان پیشرو است

 استخراج رمزارز بدون مرورگر نمونه‌ای بارز از پیچیدگی تهدیدات سایبری مدرن است. سیمانتک با شناسایی، تحلیل و اطلاع‌رسانی دقیق این تهدیدات نشان داده است که همچنان یکی از معتبرترین مراجع امنیت سایبری در جهان محسوب می‌شود. استفاده از راهکارهای سیمانتک نه‌تنها به شناسایی این نوع بدافزارها کمک می‌کند، بلکه نقش مهمی در پیشگیری از تهدیدات آینده نیز ایفا خواهد کرد.