روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ تروجان دسترسی ریموت (RAT) پیشرفته‌ و تازه کشف‌شده‌ای دارد از طریق کمپین‌های مخرب ایمیل با استفاده از فریب‌های مربوط به کووید 19 توزیع می‌شود و دربردارنده‌ی قابلیت‌های مختلفی است برای دور زدن استراتژی‌های تحلیل و شناسایی محققین. در ادامه با ما همراه شوید تا این تروجان را بیشتر به شما معرفی کنیم.

این تروجان که  Nerbian RAT نام دارد در حقیقت سویه جدید بدافزاری است که به زبان Go programming نوشته شده و سیستم‌عامل‌محور است. این تروجان از قابلیت‌های مهم ضد تحلیل و ضد معکوس[1] استفاده می‌کند. بر اساس گزارشات اسم آن مبتنی بر کارکردی با همین نام در کد بدافزار است و ظاهراً از «نربیا»، مکان خیالی رمان دن کیشون وام گرفته شده است.

محققین ابتدا RAT را در حال توزیع در کمپین ایمیل با حجم کم دیدند که شروع فعالیتش تاریخ 26 آوریل بود؛ در مسیج‌هایی ارسالی به چندین صنعت که عمدتاً سازمان‌های ایتالیا، اسپانیا و انگلستان تحت‌الشعاع قرار گرفتند. محققین با اشاره به اینکه این مسیج‌ها روزهای اول پاندمی سال 2020 پخش شدند اظهار دارند، «این ایمیل‌ها ادعا کرده بودند نماینده سازمان WHO هستند و در مورد کووید 19 اطلاعاتی دارند».

ایمیل‌های نمونه که در این پست گذاشته شده از آدرس ایمیل‌هایی فرستاده شدند که سعی دارد خود را از جانب سازمان WHO معرفی کند؛ مانند who.inter.svc@gmail[.]com و announce@who-international[.]com. همچنین در بخش موضوع هم یا از WHOیا  World Health Organization استفاده می‌کردند. این پیام‌ها شامل اقدامات امنیتی مرتبط با کووید 19 و نیز پیوست‌هایی می‌شدند که همچنین در نامشان از کووید 19 هم استفاده می‌شد اما در واقع داکیومنت‌های فرمت ورد بودند که در خود ماکروهای مخرب داشتند.

وقتی ماکروها فعالسازی شوند، داکیومنت اطلاعات مربوط به راهکارهای امنیتی در خصوص کووید 19 را افشا می‌سازد و از ایزوله کردن و مراقبت افراد در مقابل این ویروس می‌گوید. فعال شدن ماکروها باعث می‌شود داکیومنت همچنین ماکروی جاسازی را نیز اجرا کند؛ این ماکروی جاسازشده فایلی را دراپ می‌کند که برای دراپ  Nerbian RAT dropper در یک فایل قابل‌اجرای 64 بیتی به نام UpdateUAV.exe نوشته‌شده به زبان Go پروسه‌ی پاورشل را اجرا می‌کند. Go به نقل از محققین دارد به زبان بسیار محبوبی میان عاملین تهدید تبدیل می‌شود؛ احتمالاً هم دلیلش این است که ورود به آن موانع کمتری داشته و استفاده از آن نیز به مراتب آسانتر است.

پیچیدگی و طفره‌روی

Nerbian RAT در چندین جزء ضدتحلیل رخنه کرده و در تمام مراحل از جمله چندین آرشیو منبع باز توزیع می‌شود. به طور حتم این بدافزار پیچیدگی دارد و در سه فاز مختلف اجرا می‌شود. ابتدا کار خود را با داکیومنت مخرب فوق‌الذکر که از طری فیشینگ توزیع می‌شود شروع می‌کند و در ادامه همانطور که شرح داده شد می‌رود سراغ دراپر  UpdateUAV.exe. این دراپر پیش از اجرای Nerbian RAT چندین اسکن محیطی انجام می‌دهد مانند آنتی‌ریورس و چک‌های ضد وی‌ام. در نهایت این RAT خود از طریق فایل تنظیمات رمزگذاری‌شده‌ای با دقت زیاد اجرا می‌شود تا تضمین دهد داده‌ی C&C رمزگذاری‌شده است. این تضمین را با ارسال آن روی SSL انجام می‌دهد؛ لایه سوکت امنی که با ابزارهای اسکن شبکه بررسی‌ها را دور می‌زند. افزون بر ارتباط با C&C کارهای دیگری هم از RAT برمی‌آید از جمله کی‌لاگ و گرفتن اسکرین‌شات. کی‌لاگر این RAT ضربات روی کلیدها را در قابل رمزگذاری‌شده‌ای ذخیره می‌کند و این درحالیست که ابزار اسکرین‌شات‌گیری دارد روی کل پلت‌فرم‌های سیستم‌عامل کار می‌کند.

بررسی شدید

شاید پیچیده‌ترین قابلیت‌ طفره‌روی این بدافزار در سه پروسه‌ای کاری‌اش بخشی قبل اجرای  Nerbian RAT توسط دراپر باشد. این دراپر بررسی شدید میزبان دستکاری‌شده را اجرا کرده و اگر با هر تعداد شرایط روبرو شد اجرا را متوقف خواهد نمود. این شرایط عبارتند از: سایز هارد دیسک روی سیستم کمتر از سایز خاصی باشد (مثلاً 100 گیگ)، نام هارددیسک طبق WMI حاوی virtual، vbox یا vmware باشد، آدرس MAC درخواست‌شده به ارزش‌های خاص OUI برگردد یا اگر مواجهه‌ای با هر تعداد برنامه مهندسی معکوس یا دیباگینگ در لیست پروسه صورت گرفت.

این دراپر همچنین اگر برنامه‌های دستکاری DumpIt.exe, RAMMap.exe, RAMMap64.exe یا vmmap.exe memory analysis/memory در لیست پروسه وجود داشتند و اگر مقدار زمان سپری‌شده برای اجرای کارکردهای خاص «بیش از حد» در نظر گرفته شود –که نشان‌دهنده دیباگینگ است- اجرا را متوقف می‌کند. با این وجود، علیرغم پیچیدگی که سعی دارد تضمین دهد RAT در مسیرش به دستگاه قربانی شناسایی نمی‌شود، دراپر و خود RAT خارج از نمونه پک‌شده همراه UPX–که می‌شود ادعا کرد لزوماً برای مبهم‌سازی استفاده نمی‌شود-مبهم‌سازی سنگینی را به کار نمی‌گیرند اما سایز فایل قابل‌اجرا را کاهش می‌دهند. محققین همچنین به دلیل رشته‌های موجود در کد مربوط به مخازن GitHub که عملکرد جزئی دراپر و RAT را نشان می‌دهد، عملکرد RAT و دراپر را «آسان» یافتند.

[1] ANTIREVESE

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.