عندما ينقلب تطبيق الدردشة ضدك

هناك باب خلفي جديد قائم على الجولانج في البرية، ربما من أصل روسي، يتسلل إلى الأنظمة، مستخدمًا تيليجرام. قناة الأوامر والتحكم (C2). وعلى الرغم من أنه لا يزال قيد التقدم، إلا أنه أثبت بالفعل أنه خطر إلكتروني يعمل بكامل طاقته.

لماذا المتسللون مهووسون جدًا بالتطبيقات السحابية؟

إعداد البنية التحتية التقليدية لـ C2 هو عمل شاق للقراصنة. لكن التطبيقات السحابية مثل تيليجرام، ون درايف، جيت هاب، ودروب بوكس؟ إنهم منجم ذهب—موثوق به على نطاق واسع ويصعب اكتشافه ويسهل استغلاله بشكل يبعث على السخرية.

لا حاجة للخوادم الفاخرة- ما عليك سوى اختطاف واجهة برمجة التطبيقات السحابية.
يمتزج مع حركة المرور الشرعية - تكافح أدوات الأمان للتمييز بين الصديق والعدو.
المزيد من الفوائد مقابل أموالهم - يمكن للمهاجمين التوسع بسرعة دون إطلاق الإنذارات.

كيف تعمل

أولاً، يتحقق من تمويه.

• تريد البرامج الضارة أن تعمل من موقع محدد: C:\Windows\Temp\svchost.exe.

• إذا لم يكن الأمر كذلك، فإنه ينسخ نفسه هناك ويطلق ويحذف مساراته. متستر!

ثم يصبح الأمر مريحًا مع Telegram.

• باستخدام واجهة برمجة التطبيقات المستندة إلى Go، تقوم بإعداد روبوت والاتصال بمحادثة مخفية وتنتظر الطلبات من رئيسها.

وأخيرًا، تنفذ أوامر الشر.

• /cmd - يقوم بتشغيل أوامر PowerShell (مرحبًا، جهاز التحكم عن بُعد).

• /Persist - يضمن نجاته من عمليات إعادة التشغيل (مثل ضيف مزعج).

• /لقطة شاشة - تلتقط كل ما يظهر على شاشتك (الخصوصية؟ ما هذا؟).

• /التدمير الذاتي - يحذف نفسه عند الانتهاء من المهمة (مشاعر جيمس بوند).

يتم تشفير كل رد وإرساله مرة أخرى عبر Telegram مع الاحتفاظ بالأشياء منخفض المستوى وغير قابل للكشف تقريبًا.

توقعات الأمن السيبراني الخاصة بنا

هذا البرنامج الضار من Golang-Telegram هو مجرد غيض من فيض. المهاجمون يحصلون على أكثر حرفية وغموضًا وأكثر رعبًا. وإذا كان Telegram، وهو تطبيق مراسلة، أصبح الآن مركز قيادة البرامج الضارة، ما هي الخطوة التالية؟ تسلل المهاجمون جوجل درايف، سلاك، أو زووم؟

نتوقع المزيد من البرامج الضارة استخدام التطبيقات السحابية لـ C2. إذا تمكن المهاجمون من ذلك اندمج في حركة الإنترنت اليومية، سيستمرون في فعل ذلك.

سوف تتطور TTPs—هذا فقط الإصدار 1.0 من الباب الخلفي لغولانج. تحديثات مستقبلية؟ حتى أكثر تخفيًا.

يجب على فرق الأمن التكيف بسرعة. لن تنجح طرق الكشف التقليدية بعد الآن. المراقبة القائمة على السلوك و سياسات زيرو تراست تحتاج إلى أن تصبح القاعدة.

كيف تحافظ على سلامتك

راقب حركة المرور الصادرة- لماذا تجري تفاعلات عشوائية مع روبوت التلغرام
مراقبة نشاط بوويرشيل - إذا كانت هناك عملية غير معروفة تقوم بتشغيل PowerShell، فقد حان الوقت للتحقيق.
زيرو ترست بكل شيء - مجرد كونها قائمة على السحابة لا يعني أنها آمنة.
درّب فريقك - لا يزال التصيد الاحتيالي والهندسة الاجتماعية من أدوات التوصيل المفضلة للبرامج الضارة.