معلومات وتقارير تقنية

تستهدف منطقة الشرق الأوسط من برمجية خبيثة ثنائية الوظيفة

  • السبت, أغسطس 5th, 2017

أكتشفت شركة بالو برمجيه خبيثه من فئة  “ويبشيل” Webshell، والتي يعتقد بأنها أستخدمت من قبل الجهة الإجرامية للوصول عن بعد إلى شبكة إحدى المؤسسات المستهدفة في منطقة الشرق الأوسط ولذالك تلخص عملها بالأتي :

  • عمل  البرمجية الخبيثة من برمجيتي Webshell منفصلتين.
  • تعمل الأولى على حفظ وتحميل وظائف البرمجية الثانية بالكامل.
  • دورها  بتشغيل مجموعة متنوعة من الأوامر انطلاقاً من السيرفر المستهدف.
  •  بسبب وجود هاتين الطبقتين، تم باستخدام اسم “ثنائية الوظيفة” لوصف وتتبع حركة برمجية Webshell الخبيثة هذه.
  •  استخدام الجهة المهاجمة لبرمجية “ويبشيل” الخبيثة ثنائية الوظيفة لتتحرك بشكل جانبي على طول الشبكة من خلال نسخ نفسها وغيرها من برمجيات “ويبشيل” الخبيثة ونشرها في السيرفرات الأخرى.

وأمتازت برمجية “ويبشيل” الخبيثة ثنائية الوظيفة   :

  • بمنهجية فعالة مكونة من طبقتين .
  • لصعوبة بمكان اكتشافها بفضل الطبقات المتعددة.
  • تضمين محتوى الموقع الالكتروني الشرعي (المرخص له) الذي يتم عرضه بشكل صحيح ضمن المتصفح.
  •  تتمتع بفترات وصول طويلة إلى الشبكة دون الكشف عنها.
  • قدرتها على الوصول إلى النظام المستهدف، والتلاعب به، لما يقرب من عام كامل.

وأخيراً هدف برمجية “ويبشيل” الخبيثة ثنائية الوظيفة :

  • تقديم كافة المتغيرات الضرورية لأداة ميميكاتز Mimikatz كي تتمكن من جمع كلمات سر الدخول إلى الحسابات المسجلة.
  • أستخدام الجهة المهددة البرمجية ثنائية الوظيفة بهدف التحرك أفقياً عن طريق نسخ برمجيات “ويبشيل” الخبيثة، ونشرها عن بعد ضمن الأنظمة أخرى المرتبطة بالشبكة.

المصدر

أخبار متعلقة