محققان می‌گویند هکر‌ها می‌توانند ابزار اتوماسیون ویندوز ۱۱ را به راحتی هک کرده و از طریق باج‌افزار از کاربران سوءاستفاده کنند.

در چند سال گذشته، خودکار کردن کار‌های روزمره ساده‌تر شده است. با استفاده از نرم‌افزار اتوماسیون، می‌توانید ساعات کاری خود را در صفحه‌گسترده ردیابی کنید یا زمانی که شخصی از شما در ایمیل نام می‌برد، به‌طور خودکار یک مورد از فهرست کار‌ها را ایجاد کنید. ابزار‌ها می‌توانند زندگی شما را آسان‌تر کنند، اما خطراتی را نیز به همراه دارند. ویندوز ۱۱

یک محقق امنیتی راهی برای ربودن ابزار اتوماسیون نرم افزاری مایکروسافت برای ارسال باج افزار به ماشین‌های متصل و سرقت داده‌ها از دستگاه‌ها یافته است.

مایکل بارگوری، موسس و مدیر ارشد فناوری شرکت امنیتی Zenity که پشت این کار است، گفت: این حمله از ابزار اتوماسیون، همان طور که طراحی شده است، استفاده می‌کند؛ اما به جای ارسال اقدامات قانونی، می‌توان از آن برای استقرار بدافزار استفاده کرد.

بارگوری گفت: تحقیق من نشان داد که شما به‌عنوان یک مهاجم می‌توانید به راحتی از تمام این زیرساخت‌ها استفاده کنید تا دقیقا همان کاری را که قرار است انجام دهد، انجام دهید. شما از آن برای اجرای محموله‌های خود به جای محموله‌های سازمانی استفاده می‌کنید.

این حمله مبتنی بر Power Automate مایکروسافت است. یک ابزار اتوماسیون که در ویندوز ۱۱ تعبیه شده است. Power Automate از نوعی اتوماسیون فرآیند روباتیک استفاده می‌کند که به عنوان RPA نیز شناخته می‌شود که در آن رایانه از اقدامات انسان برای تکمیل وظایف تقلید می‌کند. اگر می‌خواهید هر بار که فید RSS به‌روزرسانی می‌شود، یک اعلان دریافت کنید، می‌توانید یک فرآیند RPA سفارشی برای تحقق آن ایجاد کنید. هزاران مورد از این اتوماسیون‌ها وجود دارد و نرم افزار مایکروسافت می‌تواند Outlook، Teams، Dropbox و سایر برنامه‌ها را به هم مرتبط کند.
این نرم‌افزار بخشی از یک جنبش گسترده‌تر کم‌کد/بدون کد است که هدف آن ایجاد ابزار‌هایی است که افراد می‌توانند از آن برای ایجاد مواردی بدون داشتن دانش کدنویسی استفاده کنند.

تحقیقات بارگوری از موقعیتی شروع می‌شود که در آن یک هکر قبلا به رایانه شخصی دسترسی پیدا کرده است؛ چه از طریق فیشینگ و چه از طریق یک تهدید داخلی.

هنگامی که یک مهاجم به رایانه دسترسی پیدا می‌کند، باید چند مرحله اضافی را برای سوء استفاده از تنظیمات RPA انجام دهد؛ اما این‌ها نسبتا ساده هستند.

بارگوری که کل فرآیند را Power Pwn نامیده و در حال مستندسازی آن در GitHub است، گفت: این جا هک زیاد نیست. یک مهاجم ابتدا باید یک حساب ابری مایکروسافت که به عنوان مستاجر شناخته می‌شود، راه‌اندازی کرده و آن را طوری تنظیم کند که کنترل‌های مدیریتی بر روی ماشین‌هایی که به او اختصاص داده می‌شود، داشته باشد. این اساسا به حساب مخرب اجازه می‌دهد تا فرآیند‌های RPA را در دستگاه کاربر نهایی اجرا کند. در دستگاهی که قبلا در معرض خطر قرار گرفته بود، اکنون تنها کاری که یک هکر باید انجام دهد این است که آن را به حساب مدیریت جدید اختصاص دهد، این کار با استفاده از یک خط فرمان ساده به نام ثبت نام خاموش انجام می‌شود.

بارگوری گفت: هنگامی که این کار را انجام دادید، یک URL دریافت خواهید کرد که به شما به عنوان یک مهاجم امکان ارسال محموله‌ها را به دستگاه می‌دهد. قبل از سخنرانی خود در DefCon، او چندین نسخه نمایشی ایجاد کرد که نشان می‌داد چگونه می‌توان از Power Automate برای خروج باج‌افزار به ماشین‌های آسیب‌دیده استفاده کرد. دمو‌های دیگر نشان می‌دهند که چگونه یک مهاجم می‌تواند توکن‌های احراز هویت را از یک ماشین بدزدد.

او گفت: شما می‌توانید از طریق این تونل قابل اعتماد، داده‌ها را خارج از شبکه‌های شرکتی استخراج کنید، می‌توانید کی لاگر بسازید یا اطلاعات را از کلیپ بورد گرفته و مرورگر را کنترل کنید.

سخنگوی مایکروسافت پتانسیل این حمله را کم اهمیت جلوه داد و اشاره کرد که قبل از استفاده از یک حساب، مهاجم باید به آن دسترسی داشته باشد. هیچ مکانیزمی وجود ندارد که به وسیله آن یک دستگاه کاملا به روز شده با محافظت‌های آنتی ویروس از راه دور با استفاده از این تکنیک به خطر بیفتد. این تکنیک بر یک سناریوی فرضی متکی است که در آن یک سیستم از قبل در معرض خطر یا مستعد به خطر افتادن با استفاده از تکنیک‌های موجود مانند مهندسی اجتماعی هم برای حمله اولیه و هم برای هر حمله بعدی شبکه است.

به گفته بارگوری شناسایی این نوع حمله ممکن است سخت باشد؛ زیرا از سیستم‌ها و فرآیند‌های رسمی در سراسر آن استفاده می‌کند. وقتی به معماری فکر می‌کنید، این یک ابزار اجرای کد از راه دور است که توسط مایکروسافت ساخته شده و در تمام طول مسیر توسط مایکروسافت امضا شده است.

بارگوری گفت که قبل از سخنرانی او در DefCon، تیم مایکروسافت با او تماس گرفته و اشاره کرده اند که مدیران شبکه‌های تجاری می‌توانند با «افزودن یک ورودی رجیستری» به دستگاه‌های خود دسترسی به ابزار‌های Power Automate را محدود کنند. این فرآیند کنترل‌هایی را بر روی انواع حساب‌هایی که می‌توانند به Power Automate وارد شوند، اعمال می‌کند؛ بنابراین احتمال سوء استفاده از سیستم را کاهش می‌دهد.

با این حال بارگوری گفت: برای موفقیت‌آمیز بودن، این حرکت به تیم‌های امنیتی متکی است که سیاست‌های منسجم و روشنی را در سراسر سازمان‌های خود داشته باشند که همیشه این طور نیست.

در حالی که محبوبیت ابزار‌های RPA در حال افزایش است، قبلا حملاتی در دنیای واقعی برای سوء استفاده از پلتفرم‌ها طراحی شده‌اند. در اوایل سال ۲۰۲۰، تیم امنیتی مایکروسافت شش گروه هکر از جمله یک APT چینی را در شبکه یک شرکت پیدا کرد. یکی از گروه‌های هکر از سیستم‌های خودکار برای حذف داده‌ها استفاده کرد.

مایکروسافت در گزارش حادثه نوشت: “در اقدامی غیر معمول، مهاجم از سیستم‌های موجود مشتری، از جمله eDiscovery، ویژگی Compliance Search و Microsoft Flow برای سرقت خودکار نتایج جست و جوی خود استفاده کرد.”

بیشتر بخوانید

محققی به نام گوری از شناسایی روشی جدید به نام ETHERLED برای استخراج و سرقت اطلاعات از سیستم های Air-Gapped با استفاده از چراغ LED خبر داد.

محققی اسرائیلی به نام مردیچای گوری از شناسایی یک روش جدید برای استخراج و سرقت اطلاعات از سیستم های Air Gap شده با استفاده از نشانگرهای ال ای دی خبر داد.

رایانه ای که دارای Air gap می باشد از شبکه های ناایمن جدا شده است، به این معنی که به طور مستقیم به اینترنت وصل نشده است و همچنین به هیچ سیستم دیگری که به اینترنت متصل باشد، وصل نمی شود. یک رایانه Air gap شده نیز از نظر فیزیکی جدا شده است، به این معنی که داده ها فقط از طریق جسمی (از طریق USB، رسانه قابل جابجایی یا آتش نشانی با دستگاه دیگر) می توانند به آن منتقل شوند. تمام سازمان هایی که داده های بسیار حساس دارند (مانند واحد های کنترل تسلیحات) از این نوع شبکه استفاده می کنند.

این روش که ETHERLED نام دارد، چراغ های چشمک زن را به سیگنال های مورس کدی تبدیل می کند که می توانند توسط مهاجم رمزگشایی شوند.

به دست آوردن این سیگنال نیازمند استفاده از دوربین با دید مستقیم به چراغ های ال ای دی موجود بر روی کارت شبکه کامپیوترهای Air Gap است. این سیگنال ها یا همان علامت ها می توانند به داده های باینری تبدیل شوند که به سرقت اطلاعات کمک می کنند.

این سیستم ها در شبکه های Air Gap شده فعالیت می کنند و همچنان یک کارت شبکه را مورد استفاده قرار می دهد. در صورتی مهاجم آن ها را به بدافزار آلوده کند، خواهد توانست با هدف ارسال امواج داده های رمزنگاری شده، کارت درایور را با نسخه ای از آن  جا به جا کند که رنگ ال ای دی و تعداد چشمک زدن های آن را تغییر می دهند.

از این روش می توان در دیگر سخت افزارهای دارای ال ای دی مانند پرینترها، اسکنرها و… نیز استفاده کرد.

این حمله با کاشت بدافزار بر روی کامپیوتری آغاز می شود که حاوی نسخه دستکاری شده سفت افزار مرتبط با کارت شبکه است. این کار می تواند کنترل رنگ، تعداد چشمک ها و طول مدت آن ها را به دست مهاجمین بسپارد.

این بدافزار همچنین می تواند با حمله مستقیم به درایو کنترل کننده رابط شبکه، وضعیت اتصال آن را تغییر دهد و ال ای دی های آن ها را تنظیم کنند.

این محقق مدعی شد این درایور آلوده می تواند با بهره برداری از ویژگی های سخت افزاری، سرعت اتصال شبکه را دستخوش تغییرات کند و مشخصات چراغ های چشمک زدن را تغییر دهد.

بازیگران مخرب می توانند برای گرفتن این سیگنال ها از راه دور، هر چیزی اعم  از دوربین گوشی های هوشمند (تا 30 متر)، پهبادها (تا 50 متر)، وبکم های هک شده (10 متر)، دوربین های جاسوسی هک شده (30 متر) و تلسکوپ یا لنزهای سوپر زوم تله فوتو (تا 100 متر) را مورد استفاده قرار دهند.

زمان لازم برای نشت اطلاعاتی مانند پسورد از طریق ETHERLED  بین 1 ثانیه تا 1.5 دقیقه، برای کلیدهای خصوصی بیت کوین بین 2.5 ثانیه تا 4.2 دقیقه و برای کلیدهای 4096 بیت RSA بین 42 ثانیه تا 60 دقیقه است. (بسته به روش حمله)

بیشتر بخوانید

بنا بر ادعای گوگل، گروه هک ایرانی Charming Kitten  که توسط دولت حمایت می‌شود، از ابزار جدیدی برای دانلود پیام های‌ ایمیل از حساب‌های هدفمند Gmail، Yahoo و Microsoft Outlook استفاده کرده است.

نام این ابزار Hyperscraper است و مانند بسیاری از ابزار‌ها و عملیات عامل تهدید، به دور از هرگونه پیچیدگی است.

اما عدم پیچیدگی فنی آن با اثربخشی مؤثری همراه است و به هکر‌ها اجازه می‌دهد صندوق ورودی قربانی را بدون گذاشتن ردپای زیادی از نفوذ، بدزدند.

نفوذکننده‌ ایمیل ساده و در عین حال کارآمد
در یک گزارش فنی امروز، محققان گروه تحلیل تهدیدات گوگل (TAG) جزئیاتی را در مورد عملکرد Hyperscraper به اشتراک گذاشتند و گفتند که این بدافزار در حال توسعه فعال است.

گروه Google TAG این ابزار را به Charming Kitten، یک گروه تحت حمایت ایران که با نام‌های APT35 و Phosphorus نیز شناخته می‌شود، نسبت می‌دهد و می‌گوید که اولین نمونه‌ای که آن‌ها پیدا کرده‌اند مربوط به سال ۲۰۲۰ است.

محققان Hyperscraper را در دسامبر ۲۰۲۱ پیدا کردند و با استفاده از یک حساب کاربری آزمایشی Gmail آن را تجزیه و تحلیل کردند. این یک ابزار هک نیست، بلکه ابزاری است که به مهاجم کمک می‌کند تا داده‌های‌ ایمیل را بدزدد و پس از ورود به حساب‌ ایمیل قربانی، آن‌ها را در دستگاه خود ذخیره کند.

دریافت اعتبار (نام کاربری و رمز عبور، کوکی‌های احراز هویت) برای صندوق ورودی هدف در مرحله قبلی حمله، معمولاً با سرقت آن‌ها انجام می‌شود.

ابزار Hyperscraper یک مرورگر تعبیه شده دارد و عامل کاربر را به تقلید از یک مرورگر وب قدیمی تقلید می‌کند، که یک نمای اولیه HTML از محتوای حساب Gmail ارائه می‌دهد.

«این ابزار پس از ورود به سیستم، تنظیمات زبان حساب را به انگلیسی تغییر می‌دهد و از طریق محتویات صندوق پستی تکرار می‌شود، پیام‌ها را به‌صورت جداگانه به‌عنوان فایل‌های eml دانلود می‌کند و آن‌ها را به شکل خوانده نشده علامت‌گذاری می‌کند».  هنگامی که عملیات استخراج کامل شد، Hyperscraper زبان را به تنظیمات اصلی تغییر می‌دهد و هشدار‌های امنیتی را از Google حذف می‌کند.

محققان Google TAG می‌گویند که انواع قدیمی‌تر ابزار Charming Kitten می‌توانند داده‌ها را از Google Takeout، سرویسی که به کاربران اجازه می‌دهد داده‌ها را از حساب Google خود برای پشتیبان‌گیری یا استفاده از آن با یک سرویس شخص ثالث صادر کنند، درخواست کنند.

هنگام اجرا، Hyperscraper با یک سرور command-and-control (C2) در تماس است که منتظر تأیید برای شروع فرآیند exfiltration است.

اپراتور می‌تواند ابزار را با پارامتر‌های لازم (حالت عملیات، مسیر یک فایل کوکی معتبر، رشته‌شناسه) با استفاده از آرگومان‌های خط فرمان یا از طریق یک رابط کاربری حداقلی، پیکربندی کند.

 google iranian hackers use new tool to steal email from victims 2

اگر مسیر فایل کوکی از طریق خط فرمان ارائه نشده باشد، اپراتور می‌تواند آن را کشیده و در فرم جدیدی ر‌ها کند.

 google iranian hackers use new tool to steal email from victims 3
هنگامی که کوکی با موفقیت تجزیه شد و به حافظه پنهان محلی مرورگر وب اضافه شد، Hyperscraper یک پوشه “دانلود” ایجاد می‌کند که در آن محتویات صندوق ورودی مورد نظر را تخلیه می‌کند.

محققان خاطرنشان می‌کنند که اگر کوکی دسترسی به حساب را فراهم نکند، اپراتور می‌تواند به صورت دستی وارد شود.

google iranian hackers use new tool to steal email from victims 4

ابزار Hypercraper گذر از تمام بخش‌های یک حساب‌ ایمیل را خودکار می‌کند، پیام‌ها را باز می‌کند و آن‌ها را با فرمت EML دانلود می‌کند و آن‌ها را همانطور که در ابتدا پیدا شده باقی می‌گذارد.

اگر پیامی در ابتدا به‌عنوان خوانده‌نشده علامت‌گذاری شده بود، ابزار Charming Kitten پس از کپی کردن، آن را در همان حالت باقی می‌گذارد.

ابزار Hyperscraper تمام‌ ایمیل‌ها را به صورت محلی، روی دستگاه اپراتور، همراه با گزارش‌هایی که تعداد پیام‌های دزدیده شده را نشان می‌دهند، ذخیره می‌کند و داده‌های دیگری غیر از وضعیت و اطلاعات سیستم را به سرور C2 ارسال نمی‌کند.

google iranian hackers use new tool to steal email from victims 5

در پایان کار، Hyperscraper مسیر‌های خود را با حذف هر‌ ایمیلی از Google که می‌تواند به قربانی از فعالیت عامل تهدید هشدار دهد (اعلان‌های امنیتی، تلاش‌های ورود به سیستم، دسترسی به برنامه‌ها، در دسترس بودن بایگانی داده‌ها) را پنهان می‌کند.

گوگل مشاهده کرده است که Hyperscraper در تعداد کمی از حساب‌های کاربری، که همگی متعلق به کاربران در ایران هستند، استفاده می‌شود.

اهداف Charming Kitten که در آن از Hyperscraper استفاده شده است از طریق هشدار‌هایی در مورد حملات مورد حمایت دولت مطلع شده‌اند.

کاربرانی که چنین هشداری را دریافت کرده‌اند تشویق می‌شوند تا با ثبت‌نام در برنامه حفاظت پیشرفته Google (AAP) و با فعال کردن ویژگی مرور ایمن پیشرفته، دفاع خود را در برابر مهاجمان پیچیده‌تر تقویت کنند، که هر دو یک لایه امنیتی اضافه به مکانیسم‌های حفاظتی موجود ارائه می‌کنند.

گزارش Google TAG در مورد Hyperscraper امروز شاخص‌هایی از سازش مانند دو سرور C2 و هش برای ابزار‌های باینری پیدا شده را به اشتراک می‌گذارد.

بیشتر بخوانید
error: شما اجازه کپی کردن ندارید !!