شنبه ۳ آذر ۱۴۰۳ , 23 Nov 2024
جالب است ۰
بدافزار چندمرحله‌ای و پیشرفته Chaplin توسط یک فایل پاورشل تحت عنوان Mapping.ps۱ فراخوانی می‌شود.
منبع : مرکز مدیریت راهبردی افتا
بدافزار چندمرحله‌ای و پیشرفته Chaplin توسط یک فایل پاورشل تحت عنوان Mapping.ps۱ فراخوانی می‌شود.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، با توجه به اینکه شواهدی از فعالیت بدافزار Chaplin در زیرساخت‌های فناوری اطلاعات حوزه صنعت کشور رصد شده است در این مطلب تشریح دقیق‌تر از عملکرد آن به‌همراه فایل‌ها و اسکریپت‌های مخرب بیان می‌شود.

بدافزار Chaplin توسط یک فایل پاورشل تحت عنوان Mapping.ps۱ فراخوانی می‌شود. این فایل پاورشل به صورت چندمرحله‌ای طراحی شده و اهم اقدامات مخرب این فایل عبارت است از:
• گزینش سیستم هدف
• ایجاد مسیر هدف
• انتقال فایل‌های مورد نیاز به مسیر هدف
• غیرفشرده‌سازی فایل‌های موردنیاز
• ایجاد، اجرا و سپس حذف سرویس
• حذف لاگ فعالیت‌ها

نکته حایز اهمیت در Mapping.ps۱ آن است که این فایل، اطلاعات احراز هویت برای اجرای مراحل فوق را در سطح ممتاز داراست. پس از اینکه Chaplin واسط‌های شبکه را غیرفعال می‌کند، فایل Screen.exe کلیدهای رجیستری LSA را حذف کرده و از این طریق، درصدد ایجاد اختلال در فرایند احراز هویت کاربران و ایجاد مشکل در فرایند Boot سیستم برمی‌آید.
 
راهکارهای پیشگیری و مقابله:
۱) بروزرسانی آنتی‌ویروس و پویش شبکه
۲) محدودسازی مجوزهای اجرای کدهای پاورشل
۳) استفاده از دیواره‌های آتش با قواعد سخت‌گیرانه
۴) تنظیم رمزهای عبور براساس استاندارد‌های امنیتی
۵) جمع‌آوری و پایش لاگ‌های سیستمی و رویدادهای امنیتی
۶) معرفی و شناساندن شاخص فایل‌های اجرایی و سرویس‌های مخرب (IoC)

کد مطلب : 19180
https://aftana.ir/vdciuzaz.t1a3v2bcct.html
ارسال نظر
نام شما
آدرس ايميل شما
کد امنيتی