سلام! اسم من Dtrack است

24 مهر 1398 سلام! اسم من Dtrack است

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ تحقیقات ما روی Dtrack RAT در واقع طی اقدامی متفاوت کلید خورد. اواخر تابستان سال 2018 ATMDtrack را کشف کردیم؛ یک بدافزار بانکی که بانک‌های هندی را مورد هدف قرار می‌داد. با تحلیل‌های بیشتر پی بردیم این بدافزار بدین منظور طراحی شده بود که روی دستگاه خودپرداز قربانی ایمپلنت شود؛ جایی که می‌تواند اطلاعات کارت‌های واردشده به دستگاه را خوانده و آن‌ها را ذخیره نماید. ما به طور خاص سعی داشتیم اطلاعات بیشتری در خصوص این بدافزار ATM در اختیار داشته باشیم و از همین رو از YARA و Kaspersky Attribution Engine برای کشف مطالب جالبتر استفاده کردیم: بیش از 180 نمونه بدافزار جدید از یک ابزار جاسوسی که بدان Dtrack می‌گویند.

تمامی نمونه‌های Dtrack که آن اوایل پیدا کرده بودیم، نمونه‌های دراپ‌شده بودند؛ زیرا پی‌لود واقعی با دراپرهای مختلف رمزگذاری شده بود- موفقیت ما در پیدا کردن آن‌ها به دلیل توالی خاصی بود که توسط ATMDtrack و انباشته‌های مموری Dtrack به اشتراک گذاشته شده بود. و بعد بسیار جالب شد زیرا وقتی آخرین پی‌لود را کدگشایی نموده و باری دیگر از Kaspersky Attribution Engine استفاده کردیم، متوجه شباهت‌هایش با کمپین DarkSeoul (که به سال 2013 برمی‌گردد) منسوب به گروه لازاروس شدیم. به نظر می‌رسد که آن‌ها مجدداً بخشی از کد قدیمی خود را برای حمله به بخش مالی و مراکز تحقیقاتیِ هند استفاده کردند. بر طبق تله‌متری ما، آخرین فعالیت DTrack اوایل سپتامبر 2019 شناسایی شد.

جزئیات فنی

این دراپر، پی‌لودِ رمزگذاری‌شده‌ی خود را در قالب اُورلیِ[1] فایل PE (بعنوان اطلاعات بیشتر) که هرگز در مراحل عادیِ اجرا استفاده نخواهند شد جاگذاری می‌کند. روتینِ رمزگشایی‌اش –که بخشی از پچ فیزیکیِ قابل‌اجراست- جایی بین دو قابلیت start() و WinMain() آغاز می‌گردد. جالب اینجاست که نویسندگان این بدافزار، کد مخرب خود را در یک باینری جاگذاری کردند که یک قابل‌اجرای بی‌ضرر بود. در برخی موارد، پروژه‌ی پیش‌فرض Visual Studio MFC بود اما می‌توانست هر برنامه‌ی دیگر نیز باشد.

اطلاعات اُورلیِ رمزگشایی‌شده شامل موارد زیر است:

  • قابل‌اجرای افزوده
  • شِل‌کُدِ[2] پروسه‌ی خالی‌سازی[3]
  • فهرستی از اسامی قابل‌اجرای از پیش‌تعریف‌شده که بدافزار از آن به عنوان اسمِ آتیِ فرآیند استفاده می‌کند.

این نام از فهرستی از پیش‌تعریف‌شده می‌آید که در اُورلیِ رمزگشایی‌شده پیدا شده بود. همانطور که در فهرست فایل رمزگشایی زیر مشاهده می‌کنید، تمام اسامی از فولدر %SYSTEM32% می‌آیند.

  • fontview.exe
  • dwwin.exe
  • wextract.exe
  • runonce.exe
  • grpconv.exe
  • msiexec.exe
  • rasautou.exe
  • rasphone.exe
  • extrac32.exe
  • mobsync.exe
  • verclsid.exe
  • ctfmon.exe
  • charmap.exe
  • write.exe
  • sethc.exe
  • control.exe
  • presentationhost.exe
  • napstat.exe
  • systray.exe
  • mstsc.exe
  • cleanmgr.exe

داخل دراپر چیست؟

بعد از اجرا، هدفِ پروسه‌ی خالی‌سازی به حالت تعلیق درمی‌آید تا مموری‌اش با پی‌لود قابل‌اجرای رمزگشایی‌شده از سوی اورلیِ دراپر جانویسی[4] شود. سپس، روند هدف از سر گرفته می‌شود.

دراپرها حاوی انواع مختلفی از قابل‌اجراها هستند که هدف همه‌شان جاسوسی کردنِ قربانیست. در زیر، فهرست تکمیل‌نشده‌ی کارکردهای انواع گوناگون قابل‌اجراهای پی‌لود Dtrack کشف‌شده را مشاهده می‌کنید:

  • کی‌لاگینگ
  • بازیابی تاریخچه مرورگر
  • جمع‌‌آوری آدرس‌های  IP میزبان، اطلاعاتی در خصوص شبکه‌های موجود و کانکشن‌های فعال
  • فهرست‌بندیِ همه‌ی فرآیندهای در حال اجرا
  • فهرست‌بندیِ همه‌ی فایل‌های روی تمامی حجم‌های موجود دیسک

درست در همین نقطه، فلسفه‌ی طراحی فریم‌ورک کمی گنگ می‌شود. برخی از قابل‌اجراها، داده‌های جمع‌آوری‌شده را در آرشیو حفاظت‌شده با رمزعبور بسته‌بندی می‌کنند و این درحالیست که بقیه‌شان اطلاعات را مستقماً برای سرور C&C ارسال می‌کنند.

جدا از قابل‌اجراهایی که در فوق بدان‌ها اشاره شده، دراپرها همچنین حاوی تروجان‌های دسترسی ریموت (RAT) بودند. قابل‌اجرای  RAT به مجرمان اجازه می‌دهد تا عملیات‌های مختلف را روی میزبان اجرا کند؛ می‌توان از بین آن‌ها به آپلود/دانلود، اجرای فایل‌ها اشاره نمود. برای دریافت فهرست کامل عملیات‌ها، به جدول زیر مراجعه نمایید.

شناسه فرمان

      شرح

1003

آپلود فایل در کامپیوتر قربانی

1005

ثابت کردن فایل هدف با اجرای خودکار روی میزبانی قربانی

1006

دانلود فایل از کامپیوتر قربانی

1007

خالی کردنکل حجم اطلاعات دیسک و آپلود آن در میزبانی که مجرمان کنترلش می‌کنند

1008

خالی کردن حجم دیسک انتخاب‌شده و آپلودش در میزبانی که مجرمان کنترلش می‌کنند

1011

خالی کردن فولدر انتخاب‌شده و آپلودش در میزبانی که مجرمان کنترلش می‌کنند

1018

تنظیم عدد جدیدی برای تعیین فاصله زمانی بین چک‌ کردن فرمان‌های جدید

1023

خروج و از بین بردن دوام و خودِ باینتری

پیش‌فرض

اجرای فرآیند روی میزبانی قربانی

 

شباهت‌های بین دو بدافزار Dtrack و ATMDTrack

ATMDTrack زیرمجموعه‌ی خانواده‌ی DTrack است. این دو بدافزار علیرغم شباهت‌هایشان به صورت طبیعی ظاهری متفاوت از هم دارند. برای مثال، برخلاف نمونه‌های ATMDTrack که اصلاً رمزگذاری نمی‌شوند، پی‌لودِ Dtrack در دراپر رمزگذاری می‌شود. اما بعد از رمزگشایی پی‌لود Dtrack، روشن می‌شود که توسعه‌دهندگان همان گروه افرادند: هر دو همان سبک را دارند و هر دو از همان کارکردهای اجرایی استفاده می‌کنند. واضح‌ترین کارکرد مشترک‌شان، دستکاری رشته‌هاست[5]. کارش چک کردن این است که آیا در آغاز رشته‌ی پارامتر، زیررشته‌ی CCS_ وجود دارد یا خیر. سپس اگر وجود داشته باشد آن را قطع می‌کند و رشته‌ی اصلاح‌شده‌اش را برمی‌گرداند. در غیر این صورت از اولین بایت به عنوان XOR استفاده کرده و رشته‌ی رمزگشایی‌شده را بازمی‌گرداند.

 

 

نتیجه‌گیری

وقتی برای اولین بار ATMDtrack را کشف کردیم، فکر کردیم بار دیگر با خانواده‌ای از بدافزارهای ATM طرف هستیم چون شاهد ظهور خانواده‌های جدیدی از بدافزار ATM هستیم (طبق روالی خاص). با این حال، این مورد باری دیگر ثابت کرد که نوشتن قوانین درستِ YARA تا چه میزان اهمیت دارد؛ زیرا بدین‌ترتیب می‌توانید به ارتباطات بین خانواده‌های بدافزار در گذشته پی ببرید. یکی از نمونه‌های فراموش‌نشدنی، پرونده‌ی WannaCry بود. اکنون می‌توانیم به انبار مهمات گروه لازاروس، ATMDtrack و Dtrack را نیز اضافه کنیم.

تعداد زیاد نمونه‌های Dtrack که پیدا کردیم نشان می‌دهد گروه لازاروس یکی از فعال‌ترین گروه‌های APT از حیث ساخت بدافزار است. این گروه همچنان دارد با سرعتی بالا اقدام به ساخت بدافزار می‌کند و دامنه‌ی عملیات‌های خود را نیز توسعه می‌دهد. ما ابتدا نمونه‌های اولیه‌ی این خانواده‌ی بدافزارها را سال 2013 دیدیم (وقتی به سئول رسید). اکنون شش سال از آن زمان می‌گذرد و هنوز شاهد آن در هند هستیم که دارد همچنان مؤسسات مالی و مراکز تحقیقاتی را مورد حمله قرار می‌دهد. می‌بینیم که این گروه از ابزارهای مشابهی برای اجرای هر دو حملات جاسوسی و حملاتی با انگیزه‌ی مالی استفاده می‌کند. مجرمان برای موفقیت در بخش جاسوسی باید قادر باشند دست‌کم روی شبکه‌ی داخلی نظارت داشته باشد و این بدان معناست که سازمان‌های مورد هدف احتمالاً مشکلا امنیتی بی‌شماری داشته‌اند از جمله:

  • سیاست‌های ضعیف امنیت شبکه‌ای
  • سیاست‌های ضعیف رمزعبور
  • نبود نظارت روی ترافیک

از این رو، توصیه‌ی ما به شرکت‌ها این است که:

  • سیاست‌های شبکه‌ای و رمزعبور خود را سفت و سخت‌تر بگیرند
  • از نرم‌افزار نظارت ترافیک مثل Kaspersky Anti Targeted Attack Platform (KATA) استفاده کنند
  • از راه‌حل‌های آنتی‌ویروس استفاده کنند

IoCs

  • 8f360227e7ee415ff509c2e443370e56
  • 3a3bad366916aa3198fd1f76f3c29f24
  • F84de0a584ae7e02fb0ffe679f96db8d

 

[1] به پروسه‌ی انتقال کد برنامه یا هر اطلاعات دیگری به مموری اصلی می‌گویند.

[2] shellcode

[3] process hollowing، این پروسه زمانی اتفاق می‌افتد که یک فرآیند در شرایط تعلیق ساخته می‌شود و مموری آن با یک کد مخرب جایگزین می‌شود.

[4] Overwrite

[5]  string manipulation

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    7,500,350 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    11,254,100 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    1,125,410 ریال11,254,100 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    75,067,850 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    10,617,750 ریال21,235,500 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    15,225,925 ریال30,451,850 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    16,287,700 ریال32,575,400 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    67,563,925 ریال135,127,850 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    216,208,850 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    81,077,425 ریال162,154,850 ریال
    خرید
  • Kaspersky Small Office Security

    259,752,350 ریال
    خرید
  • Kaspersky Small Office Security

    94,590,925 ریال189,181,850 ریال
    خرید
  • Kaspersky Small Office Security

    302,545,100 ریال
    خرید
  • Kaspersky Small Office Security

    108,104,425 ریال216,208,850 ریال
    خرید
  • Kaspersky Small Office Security

    346,088,600 ریال
    خرید
  • Kaspersky Small Office Security

    121,617,925 ریال243,235,850 ریال
    خرید
  • Kaspersky Small Office Security

    388,881,350 ریال
    خرید
  • Kaspersky Small Office Security

    123,870,175 ریال247,740,350 ریال
    خرید
  • Kaspersky Small Office Security

    396,388,850 ریال
    خرید
  • Kaspersky Small Office Security

    174,545,800 ریال349,091,600 ریال
    خرید
  • Kaspersky Small Office Security

    558,550,850 ریال
    خرید
  • Kaspersky Small Office Security

    225,221,425 ریال450,442,850 ریال
    خرید
  • Kaspersky Small Office Security

    720,712,850 ریال
    خرید
  • Kaspersky Small Office Security

    272,143,300 ریال544,286,600 ریال
    خرید
  • Kaspersky Small Office Security

    870,862,850 ریال
    خرید
  • Kaspersky Small Office Security

    516,137,050 ریال1,032,274,100 ریال
    خرید
  • Kaspersky Small Office Security

    1,651,642,850 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد