نگاهی به عملكرد بدافزار Chaplin، بدافزاری چند مرحله‌ای و پیشرفته

به گزارش فاواپرس، مرکز مدیریت راهبردی افتا ششم تیرماه 1401 خبری با موضوع شناسایی بدافزار جدید با نام بدافزار Chaplin در زیرساخت‌های کشور منتشر کرد، شواهدی از فعالیت این بدافزار در زیرساخت‌های فناوری اطلاعات حوزه صنعت کشور رصد شده است که در این مطلب تشریح دقیق‌تر از عملکرد آن بهمراه فایل‌ها و اسکریپت‌های مخرب بیان می‌شود.

عملکرد بدافزار Chaplin:

بدافزار Chaplin توسط یک فایل «پاورشل» تحت عنوان Mapping.ps1 فراخوانی می‌شود. این فایل پاورشل به صورت چندمرحله‌ای طراحی شده و اهم اقدامات مخرب این فایل عبارت است از:

• گزینش سیستم هدف
• ایجاد مسیر هدف
• انتقال فایل‌های مورد نیاز به مسیر هدف
• غیرفشرده‌سازی فایل‌های موردنیاز
• ایجاد، اجرا و سپس حذف سرویس
• حذف لاگ فعالیت‌ها

نکته حایز اهمیت در Mapping.ps1 آن است که این فایل، اطلاعات احراز هویت برای اجرای مراحل فوق را در سطح ممتاز داراست. پس از اینکه Chaplin واسط‌های شبکه را غیرفعال می‌کند، فایل Screen.exe کلیدهای رجیستری LSA را حذف کرده و از این طریق، درصدد ایجاد اختلال در فرآیند احراز هویت کاربران و ایجاد مشکل در فرآیند Boot سیستم برمی‌آید.

راهکارهای پیشگیری و مقابله با بدافزار Chaplin:

1. بروزرسانی آنتی‌ویروس و پویش شبکه
2. محدودسازی مجوزهای اجرای کدهای پاورشل
3. استفاده از دیواره‌های آتش با قواعد سخت‌گیرانه
4. تنظیم رمزهای عبور براساس استاندارد‌های امنیتی
5. جمع‌آوری و پایش لاگ‌های سیستمی و رویدادهای امنیتی
6. معرفی و شناساندن شاخص فایل‌های اجرایی و سرویس‌های مخرب (IoC)