تکنیک Polyglot: تکنیکی برای فریب، تهدیدی برای سازمان شما!

مدت زیادی از انتشار پستی در وبلاگ Securelist نمی‌گذرد که در آن درباره‌ی حمله‌ای به سازمان‌های صنعتی با استفاده از بکدور PhantomPyramid صحبت شده بود. کارشناسان با اطمینان بالا این حمله را به گروه Head Mare نسبت داده‌اند.
روش حمله تقریبا همانند گذشته است: ایمیلی حاوی ادعای اطلاعات محرمانه، با یک آرشیو رمزدار در ضمیمه که حاوی بدافزار است و رمز استخراج فایل نیز مستقیم در متن ایمیل قرار دارد؛ اما شیوه‌ای که عاملان تهدید برای پنهان‌سازی کد مخرب استفاده کرده‌اند (پنهان‌سازی بدافزار در فایلی که بی‌خطر به‌نظر می‌رسد) بسیار جالب توجه است. آن‌ها از تکنیکی به نام Polyglot یا فایل‌های چندقالبی بهره گرفته‌اند. در این گزارش، این روش و راهکارهای مقابله با آن را بررسی می‌کنیم.

تکنیک Polyglot چیست؟

به گفته Mitre ATT&CK، فایل‌های چندقالبی (Polyglot) به فایل‌هایی گفته می‌شود که به‌طور همزمان با چند فرمت فایل سازگار هستند و بسته به برنامه‌ای که در آن باز می‌شوند، رفتار متفاوتی از خود نشان می‌دهند.
این فایل‌ها برای پنهان‌سازی بدافزار استفاده می‌شوند؛ برای کاربر و حتی برخی مکانیزم‌های پایه‌ی دفاعی، این فایل‌ها ممکن است شبیه به یک تصویر یا سند عادی به‌نظر برسند، اما در واقع کد مخرب درون آن‌ها گنجانده شده است. جالب آن‌که کد داخل این فایل‌ها می‌تواند هم‌زمان به چند زبان برنامه‌نویسی نوشته شده باشد.

عاملان تهدید از ترکیب‌های مختلف فرمت فایل استفاده می‌کنند. برای نمونه، تیم تحقیقاتی Unit42 پیش‌تر حمله‌ای را بررسی کرده بود که از یک فایل راهنما با فرمت Microsoft Compiled HTML Help (با پسوند .chm) استفاده می‌کرد که در واقع یک اپلیکیشن HTML (با پسوند .hta) هم بود.
در مثالی دیگر، پژوهشگران با بررسی  یک تصویر Jpeg، گزارش داده‌اند که درون آن در حقیقت یک آرشیو ‎.phar‎ ، مربوط به PHP قرار داشت.

در مورد حمله‌ی PhantomPyramid که توسط کارشناسان کسپرسکی بررسی شده، کد اجرایی درون یک فایل آرشیو ‎.zip‎ پنهان شده بود.

فایل چندقالبی در حمله PhantomPyramid

در حمله PhantomPyramid فایلی که توسط عاملان تهدید (احتمالا گروه Head Mare) ارسال شده است، پسوند ‎.zip‎ دارد و با برنامه‌های استاندارد بازکننده آرشیو، قابل باز شدن است؛ اما در واقع این فایل یک فایل اجرایی باینری است که در انتهای آن یک آرشیو ZIP کوچک قرار داده شده است.
درون این آرشیو، یک فایل shortcut با پسوند دوگانه ‎.pdf.lnk‎ قرار دارد. اگر قربانی با این تصور که با یک فایل PDF معمولی روبه‌رو است روی آن کلیک کند، فایل shortcut اسکریپتی از PowerShell را اجرا می‌کند. این اسکریپت باعث می‌شود فایل ‎.zip مخرب به‌صورت یک فایل اجرایی اجرا شود و در عین حال یک فایل PDF فریب‌دهنده در مسیر موقت ایجاد و به قربانی نمایش داده شود.

چطور در برابر این نوع حملات ایمن بمانیم؟

برای جلوگیری از اجرای کد مخرب، توصیه می‌کنیم تمام سیستم‌هایی که به اینترنت دسترسی دارند به راهکارهای امنیتی مطمئن مجهز شوند. همچنین از آن‌جایی که بسیاری از حملات سایبری با ایمیل‌های مخرب یا مهندسی اجتماعی آغاز می‌شوند، نصب یک راهکار امنیتی در سطح درگاه ایمیل سازمانی نیز بسیار توصیه می‌شود.

منابع: