سیمانتک و افشای تاکتیک‌های مخفی‌کارانه LockBit و بررسی عمیق DLL Sideloading و Masquerading

سیمانتک و افشای تاکتیک‌های مخفی‌کارانه LockBit: بررسی عمیق DLL Sideloading و Masquerading

در سال‌های اخیر، باج‌افزارها به یکی از بزرگ‌ترین تهدیدات سایبری علیه سازمان‌ها، کسب‌وکارها و حتی نهادهای حیاتی دولتی تبدیل شده‌اند. در این میان، خانواده باج‌افزاری LockBit به‌عنوان یکی از قدرتمندترین نمونه‌های فعال در صحنه جرایم سایبری شناخته می‌شود که تاکتیک‌ها، تکنیک‌ها و رویه‌های اجرایی (TTPs) آن به‌طور مستمر در حال تکامل هستند. مهاجمان LockBit با بهره‌گیری از روش‌های پیچیده، تلاش می‌کنند تا در عین اجرای مخرب‌ترین فعالیت‌ها، از شناسایی توسط ابزارهای امنیتی و راهکارهای حفاظتی دور بمانند.

یکی از دلایل موفقیت این باج‌افزار، استفاده از دو تکنیک پیشرفته است: DLL Sideloading و Masquerading. این روش‌ها به مهاجمان اجازه می‌دهند تا خود را در قالب نرم‌افزارها و فرآیندهای مشروع معرفی کرده و به‌صورت مخفیانه در سیستم قربانیان فعالیت کنند.

نقش سیمانتک به‌عنوان یکی از پیشروترین شرکت‌های امنیت سایبری در شناسایی و مقابله با این تاکتیک‌ها بررسی می‌شود. همچنین خواهیم دید که چگونه تیم‌های تحلیل تهدید سیمانتک توانسته‌اند با تحلیل حملات اخیر LockBit، پرده از روش‌های مخفی‌کارانه آن بردارند.

DLL Sideloading چیست و چرا LockBit از آن استفاده می‌کند؟

DLL Sideloading تکنیکی است که در آن یک برنامه قانونی به‌طور ناخواسته یک کتابخانه پویا (DLL) مخرب را بارگذاری می‌کند. دلیل این موضوع آن است که سیستم‌عامل ویندوز در زمان اجرای برنامه‌ها، DLLهای موردنیاز را بر اساس اولویت مسیر جستجو بارگذاری می‌کند. اگر مهاجم بتواند یک DLL جعلی با همان نام DLL اصلی در مسیری قرار دهد که زودتر توسط سیستم بررسی می‌شود، برنامه مشروع بدون اطلاع، کد مخرب را اجرا خواهد کرد.

باج‌افزار LockBit از این روش به شکل گسترده‌ای استفاده می‌کند. روند کلی به این صورت است:

مهاجمان یک برنامه قانونی و امضاشده دیجیتال (مانند Jarsigner.exe یا MpCmdRun.exe) را در کنار DLL جعلی قرار می‌دهند.

نام DLL جعلی دقیقاً مشابه نسخه اصلی انتخاب می‌شود.

وقتی برنامه قانونی اجرا می‌شود، به‌جای DLL اصلی، نسخه جعلی را بارگذاری می‌کند.

DLL مخرب به‌عنوان دروازه‌ای برای اجرای باج‌افزار عمل کرده و فرآیند رمزگذاری یا نصب ابزارهای جانبی را آغاز می‌کند.

این تکنیک به دلیل تکیه بر اعتماد سیستم به فایل‌های قانونی، باعث می‌شود بسیاری از راهکارهای امنیتی سنتی در شناسایی فعالیت مخرب ناکام بمانند.

Masquerading؛ هنر استتار در دل سیستم

دومین تکنیک مهمی که LockBit به‌کار می‌گیرد، Masquerading یا استتار است. در این روش، فایل‌ها یا فرآیندهای مخرب به شکلی تغییر داده می‌شوند که ظاهراً مشابه فایل‌های سیستمی یا نرم‌افزارهای شناخته‌شده به نظر برسند. این کار تشخیص را برای کاربر و حتی برخی ابزارهای امنیتی دشوار می‌کند.

نمونه‌هایی از Masquerading در حملات LockBit

تغییر نام فایل‌ها: مهاجمان فایل‌های مخرب را با نام‌هایی مانند svchost.exe یا explorer.exe ذخیره می‌کنند. این نام‌ها در ویندوز به‌طور معمول وجود دارند و باعث می‌شوند کاربران به‌راحتی متوجه وجود فایل جعلی نشوند.

استفاده از آیکون‌های مشروع: فایل‌های مخرب آیکون‌هایی مشابه برنامه‌های ویندوز دریافت می‌کنند تا در نگاه اول قانونی جلوه کنند.

قرارگیری در مسیرهای سیستمی: مهاجمان فایل‌های خود را در مسیرهایی مانند C:\Windows\System32 قرار می‌دهند که محل پیش‌فرض فایل‌های مهم ویندوز است.

با این روش‌ها، باج‌افزار به‌سادگی در سیستم قربانی جا خوش کرده و فعالیت‌های خود را بدون ایجاد هشدار آشکار ادامه می‌دهد.

زنجیره حمله LockBit؛ از نفوذ تا رمزگذاری

تحلیل‌های سیمانتک نشان داده است که LockBit برای رسیدن به هدف نهایی خود، یک زنجیره حمله چندمرحله‌ای را دنبال می‌کند. این زنجیره شامل مراحل زیر است:

۱. دسترسی اولیه

مهاجمان معمولاً از ابزارهای کنترل از راه دور مانند TeamViewer یا MeshAgent برای ورود به سیستم‌های قربانی استفاده می‌کنند. پس از دسترسی، فایل‌های مخرب به‌طور مستقیم بارگذاری و اجرا می‌شوند.

۲. افزایش سطح دسترسی

LockBit برای دسترسی به بالاترین سطح کاربری از ابزارهایی مانند NSSM و PsExec بهره می‌گیرد. به‌عنوان مثال، NSSM یک بدافزار را به‌عنوان سرویس ویندوز اجرا کرده و PsExec امکان اجرای دستورات با دسترسی سیستم (SYSTEM) را فراهم می‌کند.

۳. شناسایی شبکه

ابزارهایی نظیر net.exe و nltest.exe برای شناسایی کاربران دامنه، گروه‌ها و روابط اعتماد بین دامنه‌ها به‌کار می‌روند. این مرحله به مهاجم دید کاملی از ساختار شبکه می‌دهد.

۴. سرقت اعتبارنامه

LockBit از ابزارهایی مانند TokenUtils.exe برای سرقت توکن‌های کاربری و Sd1.exe برای استخراج بلیت‌های Kerberos استفاده می‌کند. این کار به آن‌ها امکان می‌دهد هویت کاربران معتبر را جعل کرده و به بخش‌های حساس شبکه دسترسی یابند.

۵. حرکت جانبی

با استفاده از Group Policy و اسکریپت‌های PowerShell، فایل‌های مخرب روی چندین سیستم در شبکه توزیع و اجرا می‌شوند. در این مرحله، ترکیب DLL Sideloading و Masquerading به کار گرفته می‌شود.

۶. اثرگذاری نهایی

باج‌افزار با استفاده از الگوریتم‌های رمزنگاری پیشرفته، فایل‌های قربانی را قفل کرده و پسوندهایی مانند .xlockxlock به آن‌ها اضافه می‌کند. این مرحله همراه با نمایش پیام اخاذی برای قربانی است.

نقش سیمانتک در شناسایی و مقابله با حملات LockBit

شرکت سیمانتک با دهه‌ها تجربه در زمینه امنیت سایبری، مجموعه‌ای از فناوری‌ها و راهکارهای هوشمند برای مقابله با تهدیدات پیچیده مانند LockBit ارائه کرده است. راهکارهای این شرکت بر پایه تحلیل رفتاری، هوش تهدید جهانی و یادگیری ماشین طراحی شده‌اند.

توانایی‌های کلیدی سیمانتک

شناسایی مبتنی بر رفتار: حتی اگر یک فایل ناشناخته از روش‌های استتار یا DLL Sideloading استفاده کند، سیستم‌های سیمانتک قادرند رفتار مشکوک آن را در زمان اجرا شناسایی کنند.

هوش تهدید جهانی (Global Intelligence Network): سیمانتک از بزرگ‌ترین شبکه‌های جمع‌آوری داده تهدیدات در جهان برخوردار است. این شبکه امکان شناسایی سریع کمپین‌های جدید باج‌افزاری را فراهم می‌کند.

محافظت چندلایه: ترکیب آنتی‌ویروس سنتی، تحلیل رفتاری، کنترل برنامه و محافظت از ایمیل باعث می‌شود حتی پیشرفته‌ترین بدافزارها نیز به‌سختی بتوانند از سد دفاعی عبور کنند.

پاسخ سریع به حوادث (Incident Response): تیم‌های متخصص سیمانتک با ارائه خدمات واکنش سریع، به سازمان‌ها کمک می‌کنند در صورت آلودگی، کمترین آسیب را تجربه کنند.

چرا شناسایی DLL Sideloading و Masquerading دشوار است؟

یکی از بزرگ‌ترین چالش‌های امنیت سایبری، تمایز بین فعالیت‌های قانونی و مخرب است. DLL Sideloading و Masquerading دقیقاً بر همین نقطه ضعف تمرکز دارند.

در DLL Sideloading، یک برنامه قانونی به‌عنوان حامل استفاده می‌شود، بنابراین شناسایی تنها بر اساس نام یا امضا کافی نیست.

در Masquerading، فایل‌ها ظاهر کاملاً قانونی دارند و حتی کاربران حرفه‌ای هم به‌سادگی قادر به تشخیص تفاوت نیستند.

این پیچیدگی‌ها نشان می‌دهد که تنها راه‌حل مؤثر، استفاده از راهکارهای هوشمند و مبتنی بر تحلیل رفتار، مانند آنچه سیمانتک ارائه می‌دهد، است.

LockBit و آینده تهدیدات باج‌افزاری

گروه سایبری Syrphid که مسئول توسعه و اجرای LockBit شناخته می‌شود، توانست طی چند سال بیش از ۵۰۰ میلیون دلار از قربانیان اخاذی کند. اگرچه در سال ۲۰۲۴ عملیات‌های مشترک پلیس بین‌الملل و FBI این گروه را تا حدی متلاشی کرد و حتی سرکرده آن نیز دستگیر شد، اما با افشای سازنده LockBit 3.0، هر مهاجمی در جهان می‌تواند نسخه‌های مختلف این باج‌افزار را تولید و توزیع کند.

این واقعیت نشان می‌دهد که تهدیدات LockBit هنوز پایان نیافته‌اند و سازمان‌ها باید با جدیت بیشتری از ابزارهای امنیتی پیشرفته مانند راهکارهای سیمانتک بهره ببرند.

کلام آخر

حملات باج‌افزاری LockBit با استفاده از تکنیک‌های پیچیده‌ای مانند DLL Sideloading و Masquerading، نشان‌دهنده سطح بالای نوآوری مجرمان سایبری است. این روش‌ها به آن‌ها امکان می‌دهند تا در قالب نرم‌افزارهای قانونی فعالیت کرده و قربانیان بیشتری را بدون هشدار آلوده کنند.

در چنین شرایطی، تنها سازمان‌هایی می‌توانند در برابر این تهدیدات مقاومت کنند که از راهکارهای امنیتی پیشرفته بهره ببرند. شرکت سیمانتک با ترکیب فناوری‌های نوین، هوش تهدید جهانی و تیم‌های متخصص، یکی از قدرتمندترین سدهای دفاعی در برابر LockBit و سایر باج‌افزارها به‌شمار می‌رود.

بنابراین، برای سازمان‌هایی که به امنیت داده‌ها و تداوم کسب‌وکار خود اهمیت می‌دهند، انتخاب راهکارهای سیمانتک دیگر یک انتخاب لوکس نیست، بلکه ضرورتی اجتناب‌ناپذیر در دنیای پرمخاطره امروز است.

تاریخ: پنجشنبه 13 شهریور 1404 - 08:41
نویسنده: شرکت آلما شبکه پرداز
صفحه: پایگاه دانش آلما / سیمانتک

بازخوردها

ارسال نظر

- نشانی ایمیل شما منتشر نخواهد شد.
- لطفا دیدگاهتان تا حد امکان مربوط به مطلب باشد.
- لطفا فارسی بنویسید.
- میخواهید عکس خودتان کنار نظرتان باشد؟ به gravatar.com بروید و عکستان را اضافه کنید.
- نظرات شما بعد از تایید مدیریت منتشر خواهد شد