روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ در جولای 2024، بک‌در لوکی را که قبل‌تر ناشناخته بود کشف کردیم. این بک‌در در سری حملات هدف‌دار استفاده می‌شد. با تحلیل فایل مخرب و منابع باز متوجه شدیم لوکی نسخه خصوصی عاملی برای فریم‌ورک منبع باز Mythic است.  راهکارهای ما این تهدید را به عنوان Backdoor.Win64.MLoki شناسایی کردند تا فرق بین آن و خانواده‌های دیگر بدافزار با همان نام مانند لوکی بات، لوکی لاکر و غیره متوجه شوند.

فریم‌ورک Mythic

در سال 2018، کودی توماس توسعه‌دهنده، فریم‌ورک منبع باز خود را به نام Apfell برای پسااکسپلویت سیستم‌های دستکاری‌شده مک‌اواس ساخت. دو سال بعد، چندین توسعه‌دهنده به این پروژه پیوستند و این فریم‌ورک تبدیل شد به یک بستر بیناپلت‌فرمی و نامش به Mythic تغییر یافت. مشکلات اصلی فریم‌ورک‌های موجود در آن زمان سختی در ایجاد عامل‌های مختلف (کلاینت‌ها)، نبود رابط یکپارچه برای مدیریت‌شان و عدم پشتیبانی ماژولار بودن بود. مزیت Mythic این است که استفاده از عامل‌ها در هر زبانی را برای هر پلت‌فرم با کارایی لازم میسر می‌سازد. در زمان نگارش این مقاله، چندین عامل هستند که در ذخایر رسمی Mythic منتشر شده‌اند.

جزئیات فنی

عامل لوکی که ما کشف کردیم، نسخه سازگار با Mythic عامل برای فریم‌ورک دیگر است. آن فریم‌ورک Havoc نام دارد. مد لوکی، تکنیک‌های مختلفی را از هاووک به ارث برده تا تحلیل عامل را پیچیده کند؛ برای مثال رمزگذاری تصویر مموری آن، فراخوان غیرمستقیم توابع API سیستم، جستجوی توابع API با هش‌ها و غیره. با این حال، برخلاف عامل هاووک، لوکی به لودر و DLL تقسیم می‌شود؛ جای که کارکرد اصلی بدافزار در آن پیاده‌سازی می‌گردد. هر دو نسخه عامل از الگوریتم هش djb2 برای مبهم کردن توابع و فرمان‌های API استفاده می‌کنند. با این وجود، در نسخه Mythic این کمی دستکاری شد. عامل Havoc از شماره جادویی اورجینال دنیل برنشتیان که 5381 است استفاده کرد اما این در لوکی با 2231 عوض شد.

عملکرد لودر

لودر لوکی به محض اجرا، پکتی حاوی اطلاعاتی در مورد سیستم آلوده مانند نسخه سیستم‌عامل، آدرس آی‌پی داخلی، نام کاربری، معماری پردازنده، مسیر رسیدن به پروسه فعلی و آی‌دی آن را تولید کرده و آن را در حالت رمزگذاری‌شده به سرور کنترل و فرمان در https://y[.]nsitelecom[.]ru/certcenter ارسال می‌کند. در پاسخ، سرور یک DDL که لودر در مموری دستگاه آلوده قرار داده ارسال می‌کند. پردازش فرمان و ارتباط‌های بعدی با سرور C2 در این آرشیو اتفاق خواهد افتاد. اکنون نگاهی خواهیم داشت بر دو نسخه لودر که فعالیت‌شان در ماه می و جولای مشاهده شد.

نسخه لودر در ماه می

نسخه لودر در ماه جولای

نسخه لودر مشاهده شده در ماه می با نمونه جولای کمی متفاوت است. به عنوان مثال، نسخه قبلی از پروتکل protobuf برای سریال سازی داده‌ها استفاده می‌کند، در حالیکه نسخه جدید تا حدی رفتار عامل Ceos را تقلید می‌کند.

هر دو نسخه از الگوریتم‌های یکسانی برای رمزگذاری داده‌ها استفاده می‌کنند: ابتدا اطلاعات جمع‌آوری‌شده با الگوریتم AES رمزگذاری شده و سپس با base64 کدگذاری می‌شوند. با این حال، نسخه قدیمی یک UUID 36 کاراکتری را به صورت متن ساده همراه با داده های رمزگذاری شده ارسال می‌کند، در حالیکه نسخه جدید آن را با استفاده از base64 رمزگذاری می‌نماید. در نتیجه اولین درخواست به سرور C2، سرور یک بار را به شکل یک DLL با دو تابع صادر شده برمی‌گرداند: نقطه ورودی استاندارد DllMain و تابع Start، که لودر برای انتقال کنترل بیشتر به آرشیو فراخوانی می‌کند.

کارکرد اصلی ماژول

در زمان کشف، دیگر امکان دانلود پی‌لود از سرور مذکور وجود نداشت. با این حال، از طریق تجزیه و تحلیل دقیق، ما حدود 15 نسخه دیگر از لودر و دو سرور C2 فعال را پیدا کردیم و در نهایت نمونه‌ای از ماژول اصلی را از نسخه می به دست آوردیم. ماژول اصلی مانند لودر مبتنی بر نسخه havoc عامل است اما فهرست فرمان‌های پشتیبانی‌شده تا حدی از سایر عامل‌های Mythic به عاریت گرفته شدند. این فهرست در ت نساده داخل dll ذخیره نمی‌شوند؛ در عوض سری‌های هش در کد آرشیو مشخص می‌گردند. وقتی فرمان از سرور دریافت می‌شود، نامش هش شده و با هش ذخیره‌شده در dll مقایسه می‌شود.

ابزارهایی برای تونل‌سازی ترافیک

خود عامل از تونل‌سازی ترافیک پشتیبانی نمی‌کند، بنابراین برای دسترسی به بخش‌های شبکه خصوصی، مهاجمان از ابزارهای طرف‌سوم در دسترس عموم استفاده می‌کنند. در چندین ماشین آلوده، ابزار ngrok در فهرست با لودر Loki یافت شد. در موارد دیگر، نمونه‌هایی از ابزار gTunnel در حال اجرا در زمینه فرآیندهای سیستم svchost.exe و runtimebroker.exe کشف شد. قابل ذکر است، برخلاف ngrok، با استفاده از goReflec برای بارگیری و اجرا در حافظه، نه از دیسک، دستکاری شد.

قربانی‌ها و توزیع

بیش از ده‌ها شرکت روسی از صنایع مختلف، از جمله مهندسی و مراقبت های بهداشتی، با این تهدید مواجه شده اند. با این حال، ما معتقدیم که تعداد قربانیان احتمالی ممکن است بیشتر باشد. بر اساس تله‌متری و نام فایل‌هایی که بدافزار در آنها شناسایی شده است می‌توانیم فرض کنیم که در چندین مورد، لوکی از طریق ایمیل به رایانه‌های قربانیان می‌رسد و کاربر ناآگاهی خودش فایل را راه‌اندازی می‌کند.

نسبت

در زمان تحقیق، داده‌های کافی برای نسبت دادن لوکی به هر گروه شناخته‌شده‌ای وجود ندارد. مهاجمین به جای استفاده از الگوهای ایمیل استاندارد برای گسترش عامل، احتمالاً به هر هدف به طور جداگانه نزدیک می‌شوند. ما همچنین هیچ ابزار منحصربه‌فردی در دستگاه‌های آلوده پیدا نکردیم که بتواند به اسناد کمک کند. به نظر می‌رسد که مهاجمین فقط از ابزارهای عمومی در دسترس برای تونل‌سازی ترافیک برای دستکاری آن‌ها استفاده می‌کنند، مانند gTunnel و ngrok، و ابزار goReflect.

نتیجه‌گیری

محبوبیت فریم‌ورک‌های منبع باز پسااکسپلویتی رو به افزایش است. گرچه اینها در وهله اول برای ارتقای امنیت زیرساخت کارامد هستند اما مهاجمین دارند هر روز بیشتر از قبل برای کنترل دستگاه‌های قربانیان خود از راه دور  و دستکاری آن‌ها برای مقاصد شخصی‌شان مانند سخت‌تر کردن شناسایی و نسبت‌دهی حملات، آن‌ها را تست کرده و به کار می‌برند.

شاخص‌های دستکاری

نسخه‌ لودر جولای

46505707991e856049215a09bf403701

نسخه لودر می

f0b6e7c0f0829134fe73875fadf3942f

796bdba64736a0bd6d2aafe773acba52

5ec03e03b908bf76c0bae7ec96a2ba83

0632799171501fbeeba57f079ea22735

97357d0f1bf2e4f7777528d78ffeb46e

f2132a3e82c2069eb5d949e2f1f50c94

7f85e956fc69e6f76f72eeaf98aca731

375cfe475725caa89edf6d40acd7be70

dff5fa75d190dde0f1bd22651f8d884d

05119e5ffceb21e3b447df49b52ab608

724c8e3fc74dde15ccd6441db460c4e4

834f7e48aa21c18c0f6e5285af55b607

e8b110b51f45f2d64af6619379aeef62

ماژول اصلی

eb7886ddc6d28d174636622648d8e9e0

جی‌تونل

1178e7ff9d4adfe48064c507a299a628
dd8445e9b7daced487243ecba2a5d7a8

Ngrok

4afad607f9422da6871d7d931fe63402

آدرس‌های C2

http://y[.]nsitelecom[.]ru/certcenter
http://document[.]info-cloud[.]ru/data
http://ui[.]telecomz[.]ru/data

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.