روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ بدافزار کرمپذیری[1] موسوم به Raspberry Robin از سپتامبر گذشته فعال است و برای استفاده از نصبگر Microsoft Standard و سایر پروسههای قانونی جهت نصب فایلهای مخرب راه خود را از طریق درایوهای یواسبی روی دستگاههای ویندوزی باز میکند. محققین مرکز Red Canary Intelligence ابتدا ماه پاییز بود که شروع کردند به ردیابی فعالیت مخرب؛ زمانی که با مشخصههای مشابه به کرات شناسایی میشد. اولین بار جیسون کیلام در تیم مهندسی شناسایی این مرکز آن را در محیطهای مشتریان رصد کرد. با ما همراه بمانید تا شما را با عملکرد این بدافزار بیشتر آشنا کنیم.
به محض اینکه کرم از طریق درایو یواسبی وارد دستگاه کسی میشود برای فراخواندن زیرساختش به msiexec.exe وابسته است –افزونهای که اغلب از دستگاههای QNAP تشکیل شده است- و از درخواستهای HTTP حاوی نام دستگاه و نام کاربری قربانی استفاده میکند. محققین همچنین مشاهده کردهاند که رزبری رابین از نودهای خروج TOR و زیرساخت فرمان و کنترل (C&C) نیز بعنوان فرمان افزوده استفاده میکند. در نهایت این کرم، فایلهای DLL (آرشیو پویای لینک[2]) را که روی یواسبی آلوده یافت شدند نصب میکند. گرچه محققین اوایل سپتامبر 2021 رزبری رابین را پیدا کردند اما بیشتر فعالیتهای آن از ژانویه 2022 رصد شده است.
پرسشهای پاسخدادهنشده
گرچه محققین فرآیندهای و اجراهای مختلفی از سوی این بدافزار مشاهده کردهاند اما اعتراف کردهاند که این مشاهدات هنوز خیلی از پرسشها را نتوانستند پاسخ دهند. این تیم هنوز متوجه نشده است چطور Raspberry Robin برای تداوم فعالیت خود روی درایوهای خارجی اثر میگذارد؛ هرچند این احتمال وجود دارد که آلودگی آفلاین رخ داده باشد یا در غیر این صورت از دید محققین خارج بوده است! آنها همچنین این را نیز نمیدانند که چرا رزبری رابین dll مخرب را نصب میکند، گرچه باور دارند شاید تلاشی بوده است برای ایجاد سیستم آلودهی پایدار (البته هنوز شواهد کافی دال بر آن وجود ندارد). با این وجود، بزرگترین علامت سوال بر سر آن کرم این است که هدف عاملین تهدید چیست. آنها میگویند، «اطلاعات بیشتری در خصوص فعالیت بعدی و احتمالی عاملین پشت پرده نداریم و از این رو سخت میتوانیم هدف یا اهداف بعدی این کمپین را خنثی کنیم».
دسترسی اولیه و اجرا
درایوهای قابل جابجایی آلوده –معمولاً دستگاههای یواسبی- کرم رزبری رابین را فایل LNK میانبر تحت پوشش فولدری قانونی روی دستگاه یواسبی آلوده معرفی میکنند. فایلهای LNK در حقیقت میانبرهای ویندوزی هستند که برای باز کردن فایل، فولدر یا اپ دیگری استفاده میشوند. خیلی زود بعد از اینکه دستگاه آلوده به سیستم وصل میشود، کرم ورودی رجیستری UserAssist را آپدیت کرده و اجرای یک مقدار رمزگذاری شده ROT13 را ثبت میکند؛ مقداری که به فایل LNK هنگام رمزگشایی ارجاع میدهد. به عنوان مثال، محققین مقدار q:\erpbirel.yax را در حال رمزگشایی به d:\recovery.lnk مشاهده کردند.
به نقل از محققین، اجرا زمانی شروع میشود که Raspberry Robin از cmd.exe برای خواندن و اجرای فایل ذخیره شده در درایو خارجی آلوده استفاده کند. آنها خاطرنشان کردند: «این فرمان در سراسر ردیابیهای Raspberry Robin که تاکنون دیدهایم سازگار است، و آن را به شواهد اولیه قابل اعتمادی از فعالیت بالقوه [کرم] تبدیل میکند». در مرحله بعدی اجرا، cmd.exe معمولا explorer.exe و msiexec.exe را راهاندازی میکند. خط فرمان اولی میتواند یک مرجع مختلط به یک دستگاه خارجی باشد - نام یک شخص باشد مانند LAUREN V یا حتی نام فایل LNK. این کرم همچنین به طور گستردهای از حروف مختلط در دستورات خود استفاده میکند که به احتمال زیاد از شناسایی جلوگیری میکند.
اجرای ثانویه
محققین فاش کردند که Raspberry Robin از دومین فایل اجرایی راهاندازی شده، msiexec.exe، برای برقراری ارتباط شبکه خارجی با دامنه مخرب برای اهداف فرمان و کنترل استفاده میکند. در چندین نمونه از فعالیتی که محققین مشاهده کردهاند، کرم از msiexec.exe برای نصب یک فایل DLL مخرب استفاده کرده هرچند همانطور که قبلاً ذکر شد، آنها هنوز مطمئن نیستند که هدف از DLL چیست. این کرم همچنین از msiexec.exe برای راهاندازی یک ابزار قانونی ویندوز، fodhelper.exe استفاده میکند، که به نوبه خود rundll32.exe را برای اجرای یک فرمان مخرب ایجاد میکند. فرآیندهای راهاندازی شده توسط fodhelper.exe با امتیازات مدیریتی بالا بدون نیاز به درخواست کنترل حساب کاربری اجرا میشوند. گفته میشود از آنجایی که این رفتار غیرعادی برای این ابزار است، از این فعالیت میتوان برای تشخیص وجود Raspberry Robin در یک دستگاه آلوده استفاده کرد. فرمان rundll32.exe یکی دیگر از ابزارهای قانونی ویندوز را که odbcconf.exe است راهاندازی نموده و فرمانهای اضافی را برای اجرا و پیکربندی فایل DLL مخرب بتازگی نصبشده ارسال میکند.
[1] Wormable malware
[2] dynamic link library
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
