بذار همین اول کار یه چیزی رو روشن کنم: اگه دنبال ویپیان رایگان یا ابزارهای جالب گیم مثل «اسکین چنجر ماینکرفت» هستی و گیتهاب و جاهای مشابه رو زیر و رو میکنی، باید حواستو خیلی جمع کنی. چون الان هکرها و خلافکارهای دیجیتال افتادن به جون کاربرا با یه حقه خیلی تمیز! طبق گزارش کارشناسان امنیتی Cyfirma (این شرکتا که کارشون بررسی و تحلیل اتفاقات امنیتیه)، یه سری بدافزار جدید اومدن که وانمود میکنن “Free VPN For PC” یا مثلاً «Minecraft Skin Changer» هستن. یعنی خودتو بذار جای کاربر: طرف دنبال یه ابزار توپ میگرده، اینو پیدا میکنه و خوشحال دانلودش میکنه… اما واقعیت اینه که یه بدافزار داره مثل نقل و نبات وارد کامپیوترش میشه!
اینا چطور قایمش میکنن؟ خب، الگوشون خیلی جذابه: میرن تو GitHub (یه جور پاتوق برنامهنویسا برای انتشار کد و پروژه. اما هر چی نرمافزار توش باشه امن نیست!)، چندتا فایل رمزدار زیپ میذارن. توی این زیپها راهنمایی و توضیحات میذارن تا رسمیتر هم به نظر بیان و کاربر شک نکنه. تازه، نوشتههاشم با زبان فرانسویه و کل فایل، Base64 شده. Base64 یعنی یه جور روش برای رمزگذاری دادهها که خوندنش مستقیم راحت نیست.
بعد از این که کاربر با کلی امید فایل رو اجرا میکنه (یه فایل با اسم Launch.exe)، مراحل حمله شروع میشه. مرحله به مرحله عملیات انجام میده، مثلاً کدهاش رو مبهم (Obfuscation یعنی طوری نوشتن برنامه که فهمیدنش و شناساییش دشوار باشه) و باز کردن DLLها (یه جور فایل کمکی نرمافزار روی ویندوزه) و تزریق محتوا به حافظه میاد وسط. نهایتاً هم با راه انداختن فایلهایی مثل msvcp110.dll توی پوشه AppData کارش رو میکنه.
AppData رو دیدی؟ همون پوشه مخفی ویندوزه که بیشتر برنامهها فایلاشونو اونجا میذارن و خیلی از ما کاربرها اصلاً طرفش نمیریم و نمیدونیم چه خبره. برا همین، بدافزارها عاشق اینجان چون کمتر کسی اونجا چیزی رو چک میکنه. توی این حمله، DLL مذکور اینجا قایم میشه و موقع اجرا هم دینامیک (یعنی در لحظه و با دستور خود برنامه) لود میشه که شناساییش سختتر شه. حتی یه تابع به اسم GetGameData هم صدا میزنه که آخرین مرحله حمله رو اجرا کنه.
کدشون هم ضدبازیابی (Anti-Debugging) داره. یعنی اگر کسی مثل کارشناس امنیت یا آنتیویروس بخواد مهندسی معکوس کنه، اونقدر سرکارش میذارن و مسیرها رو کج و معوج میکنن که نشه راحت کشفش کرد. مثلاً دستور IsDebuggerPresent() هم هست که چک میکنه کسی داره بررسیش میکنه یا نه.
یه تیکه باحال دیگه: برای پنهان بموندن، از MSBuild.exe و aspnet_regiis.exe سو استفاده میکنن. اینا برنامههای سیستمی ویندوزن که معمولاً رفتار عادی دارن و آنتیویروسها به خاطر معتبر بودنشون گیر خاصی نمیدن. MITRE ATT&CK (یعنی یه مدل دقیق برای دستهبندی حرکات هکری) میگه این حملهها از شگردهایی مثل “DLL Side-Loading” (بارگذاری فایل بد کنار فایل اصلی)، “Sandbox Evasion” (فرار از محیطهای تستی و امن) و “In-memory Execution” (اجرا شدن کامل بدون اینکه چیزی ذخیره رو هارد بشه) استفاده میکنن.
کل داستان خلاصهاش اینه : وقتی میبینی یه ویپیان رایگان گوشه اینترنت پیداشده یا یه ابزار مد محبوب و مجانی هست، خصوصاً اگر فایلش زیپ رمزدار باشه یا روند نصبش اعصاب خوردکن و عجیب، باید شک کنی! حتی اگه تو Github باشه! چون مجانی بودنش یه دام خیلی محبوبه برای بدافزارنویسها.
حالا چه کار کنیم که خودمون رو ایمن نگه داریم؟
- هیچوقت فایل اجرایی که از منبع رسمی تاییدشده نمیاد رو اجرا نکن.
- اپلیکیشنهای رایگان، بهخصوص VPN و مود گیمها رو از سایتهای ناشناس و ریپوزیتوریهای نامطمئن دانلود نکن.
- هرچی فایل کمپرس شده رمزدار هست و نصبش راهنمایی عجیب داره، باید علامت سوال واست مطرج کنه!
- اجازه نده فایلهای اجرایی (exe) توی پوشههایی مثل AppData اجرا بشن. ویندوز رو جوری تنظیم کن که چنین کاری امکانپذیر نباشه.
- هر DLL مشکوکی که تو فولدرهای موقت یا Roaming پیدا کردی رو حسابی بررسی کن.
- اتفاقات عجیب و غریب در Task Manager رو زیر نظر داشته باش. اگه مثلا برنامهای مثل MSBuild.exe داره بیش از حد فعال میشه، یا رفتارای نامعمول میبینی، جدی بگیر!
- آنتیویروس خوب نصب کن که به جای اسکن فایل، رفتار برنامهها رو هم چک کنه. بهش میگن “Behavior-based Detection” یعنی کشف رفتار مشکوک حتی اگه اسم ویروس تو دیتابیسش نباشه.
- ابزارای دیگه مثل حفاظت DDoS (یعنی جلوگیری از خرابکاری که سایت یا سیستم رو با هجوم درخواست از کار بندازه) یا Endpoint Protection (محافظت کل جانبه از همه دستگاهها) رو فراموش نکن!
خلاصه اصلاً فکر نکن هر چی تو Github یا سایتای معروف هست امنه! حتماً زیادی باهوش برخورد کن و گول ظاهر رسمی، زبان فرانسوی، یا نسخه قفلشده رو نخور. امنیتت مهمتر از اون وسیله رایگانیه که شاید عمر کامپیوترتو نصف کنه! اگه دنبال ابزارای ضدباجافزار، فایروال قوی یا پیشنهاد برای امنیت بیشتر هستی، حتی منابع رسمی و تخصصی اینارو معرفی میکنن که میتونی بیشتر بخونی. ولی فعلاً: هرچی مجانی و رمزدار از منبع مشکوک، 🚫 نه!
منبع: +
