پشتیبانی 24/7 :

031-36691964 | 021-88203003

جستجو

اجرای غیرمجاز برنامه‌های ویندوز روی Mac

تیتر مطالب

EXE فرمت فایل اجرایی رسمی مورد استفاده برای ویندوز است که فقط در پلتفرم‌‌های ویندوز اجرا و یک ویژگی امنیتی محسوب‌‌ می‌‌شود. به طورپیش‌‌فرض، تلاش برای اجرای یک فایلEXE در سیستم‌‌عامل مک یا لینوکس منجر به نمایش پیغام خطا خواهد شد.
به گزارش معاونت بررسی مرکز افتا، به نقل از TrendMicro، به تازگی چندین فایل EXE کشف شده است که با بارگذاری payloadهای مخرب، مکانیزم‌‌های حفاظتی داخلی مک مانند Gatekeeper را لغو می‌‌کند. این فرآیند از دید Gatekeeper پنهان می‌‌ماند، زیرا فایل EXE توسط این نرم‌‌افزار بررسی نمی‌‌شود، در نتیجه از بررسی کد شناسه و تأیید ‌‌صلاحیت نیز مصون خواهد بود، بدلیل اینکه این تکنولوژی تنها فایل‌‌های مک را بررسی می‌‌کند. در حالی که هیچ الگوی حمله خاصی دیده نشده، بیشترین تعداد آلودگی در انگلستان، استرالیا، ارمنستان، لوکزامبورگ، آفریقای جنوبی و ایالات متحده مشاهده شده است.
نمونه بررسی شده، در ابزار نصب یک برنامه دیوارآتش محبوب برای مک و ویندوز به نام Little Snitch است که از وب‌‌سایت‌‌های مختلف تورنت قابل دانلود است. نام فایل‌‌های اجرایی .NET کامپایل شده‌‌ی ویندوز عبارتند از :
• Paragon_NTFS_for_Mac_OS_Sierra_Fully_Activated.zip
• Wondershare_Filmora_۹۲۴_Patched_Mac_OSX_X.zip
• LennarDigital_Sylenth۱_VSTi_AU_v۳_۲۰۳_MAC_OSX.zip
• Sylenth۱_v۳۳۱_Purple_Skin__Sound_Radix_۳۲Lives_v۱۰۹.zip
• TORRENTINSTANT.COM+-+Traktor_Pro_۲_for_MAC_v۳۲۱.zip
• Little_Snitch_۵۸۳_MAC_OS_X.zip
فایل ZIP. که دانلود و استخراج می‌‌شود، حاوی یک فایل DMG. است که میزبان ابزار نصبLittle Snitch است. با بررسی محتویات ابزار نصب، یک فایل EXE. در داخل نرم‌افزار، به عنوان یک فایل اجرایی ویندوز و مسئول بارگیری محتوای مخرب، مشاهده شده است. هنگامی که ابزار نصب‌‌ اجرا می‌‌شود، فایل اصلی اجراکننده آن توسط فریم‌‌ورک mono موجود در بسته نرم‌‌افزاری فعال می‌‌شود. این فریم‌‌ورک اجازه اجرای برنامه‌‌های Microsoft .NET مانند OSX را در سراسر پلفترم می‌‌دهد.
پس از اجرا، بدافزار شروع به جمع‌‌آوری اصلاعات حساس مانند جزییات فرآیندهای پردازشی و اصلاعات حافظه می‌‌کند. در پوشه /Application، بدافزار به دنبال تمام برنامه‌‌های پیش‌‌فرض و نصب‌‌شده می‌‌گردد و تمام اطلاعات حاصل را به سرور C&C ارسال می‌‌کند.
این بدافزار به طور خاص برای هدف ‌‌قراردادن کاربران Mac طراحی شده‌‌است. اجرای این نمونه در ویندوز منجر به نمایش پیغام خطا خواهدشد.
در حال حاضر، اجرای فایل EXE در سیستم‌‌عامل‌‌های دیگر ممکن است اثر بزرگتری در سیستم‌‌های غیرویندوز مانند MacOS به‌‌جا بگذارد. به طورمعمول، یک فریم‌‌ورک mono نصب‌‌شده در سیستم برای کامپایل یا بارگذاری فایل‌‌های اجرایی و کتابخانه‌‌ها لازم است. با این حال، در این مورد، تجمیع فایل‌‌ها با فریم‌‌ورک ذکر‌‌شده می‌‌تواند باعث دورزدن ویژگی‌‌های امنیتی MacOS و عدم تشخیص این فایل توسط آن‌‌ها شد.
کاربران باید از دانلود فایل‌‌ها، برنامه‌‌ها و نرم‌‌افزارها از منابع و وب‌‌سایت‌‌های تایید نشده خودداری کنند و یک سامانه‌‌ی حفاظتی چندلایه برای سیستم‌‌های شخصی و سازمانی خود نصب‌‌ کنند.

نشانه‌های آلودگی (IOC):
SHA۲۵۶ فایل
c۸۷d۸۵۸c۴۷۶f۸fa۹ac۵b۵f۶۸c۴۸dff۸efe۳cee۴d۲۴ab۱۱aebeec۷۰۶۶b۵۵cbc۵۳ setup.dmg
۹۳۲d۶adbc۶a۲d۸aa۵ead۵f۷۲۰۶۵۱۱۷۸۹۲۷۶e۲۴c۳۷۱۰۰۲۸۳۹۲۶bd۲ce۶۱e۸۴۰۰۴۵ Installer.exe
۵۸cba۳۸۲d۳e۹۲۳e۴۵۰۳۲۱۷۰۴eb۹b۰۹f۴a۶be۰۰۸۱۸۹a۳۰c۳۷eca۸ed۴۲f۲fa۷۷af OSX۶۴_MACSEARCH.MSGL۵۱۷
۳cbb۳e۶۱bf۷۴۷۲۶ec۴c۰d۲b۹۷۲dd۰۶۳ff۱۲۶b۸۶d۹۳۰f۹۰f۴۸f۱۳۰۸۷۳۶cf۴db۳e chs۲
e۱۳c۹ab۵۰۶۰۰۶۱ad۲e۶۹۳f۳۴۲۷۹c۱b۱۳۹۰e۶۹۷۷a۴۰۴۰۴۱۱۷۸۰۲۵۳۷۳a۷c۷ed۰۸a Installer (۲)
b۳۱bf۰da۳ad۷cbd۹۲ec۳e۷cfe۶۵۰۱bea۲۵۰۸c۳۹۱۵۸۲۷a۷۰b۲۷e۹b۴۷ffa۸۹c۵۲e macsearch

منابع :

http://afta.gov.ir

https://blog.trendmicro.com/