نگاهی به عملكرد بدافزار Chaplin، بدافزاری چند مرحلهای و پیشرفته
بدافزار Chaplin توسط یک فایل «پاورشل» تحت عنوان Mapping.ps1 فراخوانی میشود.
به گزارش فاواپرس، مرکز مدیریت راهبردی افتا ششم تیرماه 1401 خبری با موضوع شناسایی بدافزار جدید با نام بدافزار Chaplin در زیرساختهای کشور منتشر کرد، شواهدی از فعالیت این بدافزار در زیرساختهای فناوری اطلاعات حوزه صنعت کشور رصد شده است که در این مطلب تشریح دقیقتر از عملکرد آن بهمراه فایلها و اسکریپتهای مخرب بیان میشود.
عملکرد بدافزار Chaplin:
بدافزار Chaplin توسط یک فایل «پاورشل» تحت عنوان Mapping.ps1 فراخوانی میشود. این فایل پاورشل به صورت چندمرحلهای طراحی شده و اهم اقدامات مخرب این فایل عبارت است از:
- گزینش سیستم هدف
- ایجاد مسیر هدف
- انتقال فایلهای مورد نیاز به مسیر هدف
- غیرفشردهسازی فایلهای موردنیاز
- ایجاد، اجرا و سپس حذف سرویس
- حذف لاگ فعالیتها
نکته حایز اهمیت در Mapping.ps1 آن است که این فایل، اطلاعات احراز هویت برای اجرای مراحل فوق را در سطح ممتاز داراست. پس از اینکه Chaplin واسطهای شبکه را غیرفعال میکند، فایل Screen.exe کلیدهای رجیستری LSA را حذف کرده و از این طریق، درصدد ایجاد اختلال در فرآیند احراز هویت کاربران و ایجاد مشکل در فرآیند Boot سیستم برمیآید.
راهکارهای پیشگیری و مقابله با بدافزار Chaplin:
- بروزرسانی آنتیویروس و پویش شبکه
- محدودسازی مجوزهای اجرای کدهای پاورشل
- استفاده از دیوارههای آتش با قواعد سختگیرانه
- تنظیم رمزهای عبور براساس استانداردهای امنیتی
- جمعآوری و پایش لاگهای سیستمی و رویدادهای امنیتی
- معرفی و شناساندن شاخص فایلهای اجرایی و سرویسهای مخرب (IoC)
[wptb id=16880]