وقتی ابزار فارنزیک Velociraptor تبدیل به سلاح سایبری می‌شود

در حمله‌ای غیرمعمول، هکرها به جای نصب بدافزار اختصاصی، از خود ابزارهای پاسخ‌گویی به رخدادها بهره برده‌اند.

به گزارش افتانا، پژوهشگران امنیت سایبری از یک حمله سایبری تازه پرده برداشته‌اند که در آن مهاجمان ناشناس از ابزار متن‌باز پایش نقطه پایانی و فارنزیک دیجیتال به نام Velociraptor سوءاستفاده کرده‌اند؛ نمونه‌ای از روند رو به رشد استفاده از نرم‌افزارهای قانونی برای مقاصد مخرب.

تیم تحقیقاتی Sophos Counter Threat Unit در گزارشی، اعلام کرده است: در این حادثه، مهاجم از Velociraptor برای دانلود و اجرای Visual Studio Code استفاده کرده؛ اقدامی که به احتمال زیاد با هدف ایجاد یک تونل به سمت سرور فرماندهی و کنترل (C2) تحت مالکیت مهاجم انجام شده است.

در حالی‌که تاکنون مهاجمان بیشتر از روش‌های Living-off-the-Land (LotL) یا ابزارهای قانونی مدیریت و پایش از راه دور (RMM) سوءاستفاده می‌کردند، به‌کارگیری Velociraptor نشان‌دهنده تکامل تاکتیکی است. این بار خود برنامه‌های پاسخ‌گویی به رخداد و فارنزیک به ابزاری برای گرفتن دسترسی اولیه تبدیل شده‌اند و دیگر نیازی به نصب بدافزار اختصاصی نیست.

مهاجمان از ابزار msiexec ویندوز برای دانلود یک فایل MSI از دامنه Cloudflare Workers استفاده کرده‌اند. این فایل MSI برای نصب Velociraptor طراحی شده است. پس از نصب، برنامه با یک دامنه دیگر در بستر Cloudflare Workers ارتباط برقرار می‌کند. سپس مهاجمان با اجرای یک دستور PowerShell رمزگذاری‌شده، نرم‌افزار Visual Studio Code را از همان سرور دانلود کرده و آن را با گزینه tunnel اجرا می‌کنند. این قابلیت به مهاجمان امکان می‌دهد هم از راه دور به سیستم دسترسی داشته باشند و هم کد دلخواه خود را روی آن اجرا کنند. در مراحل بعدی، msiexec دوباره برای دریافت بارهای مخرب دیگر از پوشه workers[.]dev به کار گرفته شده است.

شرکت سوفوس تأکید کرده است که سازمان‌ها باید استفاده غیرمجاز از Velociraptor را زیر نظر بگیرند. مشاهده چنین رفتاری می‌تواند نشانه‌ای جدی از مقدمات یک حمله باج‌افزاری باشد.

برای کاهش این تهدیدها پیاده‌سازی سامانه‌های تشخیص و پاسخ نقطه پایانی (EDR) پایش دقیق ابزارهای غیرمنتظره و رفتارهای مشکوک و رعایت بهترین شیوه‌های امنیتی و تهیه نسخه پشتیبان منظم از سیستم‌ها توصیه می‌شود.