تروجان جدید Nerbian از ترفندهای پیشرفته‌ی ضدشناسایی استفاده می‌کند

28 اردیبهشت 1401 تروجان جدید Nerbian از ترفندهای پیشرفته‌ی ضدشناسایی استفاده می‌کند

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ تروجان دسترسی ریموت (RAT) پیشرفته‌ و تازه کشف‌شده‌ای دارد از طریق کمپین‌های مخرب ایمیل با استفاده از فریب‌های مربوط به کووید 19 توزیع می‌شود و دربردارنده‌ی قابلیت‌های مختلفی است برای دور زدن استراتژی‌های تحلیل و شناسایی محققین. در ادامه با ما همراه شوید تا این تروجان را بیشتر به شما معرفی کنیم.

این تروجان که  Nerbian RAT نام دارد در حقیقت سویه جدید بدافزاری است که به زبان Go programming نوشته شده و سیستم‌عامل‌محور است. این تروجان از قابلیت‌های مهم ضد تحلیل و ضد معکوس[1] استفاده می‌کند. بر اساس گزارشات اسم آن مبتنی بر کارکردی با همین نام در کد بدافزار است و ظاهراً از «نربیا»، مکان خیالی رمان دن کیشون وام گرفته شده است.

محققین ابتدا RAT را در حال توزیع در کمپین ایمیل با حجم کم دیدند که شروع فعالیتش تاریخ 26 آوریل بود؛ در مسیج‌هایی ارسالی به چندین صنعت که عمدتاً سازمان‌های ایتالیا، اسپانیا و انگلستان تحت‌الشعاع قرار گرفتند. محققین با اشاره به اینکه این مسیج‌ها روزهای اول پاندمی سال 2020 پخش شدند اظهار دارند، «این ایمیل‌ها ادعا کرده بودند نماینده سازمان WHO هستند و در مورد کووید 19 اطلاعاتی دارند».

ایمیل‌های نمونه که در این پست گذاشته شده از آدرس ایمیل‌هایی فرستاده شدند که سعی دارد خود را از جانب سازمان WHO معرفی کند؛ مانند who.inter.svc@gmail[.]com و announce@who-international[.]com. همچنین در بخش موضوع هم یا از WHOیا  World Health Organization استفاده می‌کردند. این پیام‌ها شامل اقدامات امنیتی مرتبط با کووید 19 و نیز پیوست‌هایی می‌شدند که همچنین در نامشان از کووید 19 هم استفاده می‌شد اما در واقع داکیومنت‌های فرمت ورد بودند که در خود ماکروهای مخرب داشتند.

وقتی ماکروها فعالسازی شوند، داکیومنت اطلاعات مربوط به راهکارهای امنیتی در خصوص کووید 19 را افشا می‌سازد و از ایزوله کردن و مراقبت افراد در مقابل این ویروس می‌گوید. فعال شدن ماکروها باعث می‌شود داکیومنت همچنین ماکروی جاسازی را نیز اجرا کند؛ این ماکروی جاسازشده فایلی را دراپ می‌کند که برای دراپ  Nerbian RAT dropper در یک فایل قابل‌اجرای 64 بیتی به نام UpdateUAV.exe نوشته‌شده به زبان Go پروسه‌ی پاورشل را اجرا می‌کند. Go به نقل از محققین دارد به زبان بسیار محبوبی میان عاملین تهدید تبدیل می‌شود؛ احتمالاً هم دلیلش این است که ورود به آن موانع کمتری داشته و استفاده از آن نیز به مراتب آسانتر است.

پیچیدگی و طفره‌روی

Nerbian RAT در چندین جزء ضدتحلیل رخنه کرده و در تمام مراحل از جمله چندین آرشیو منبع باز توزیع می‌شود. به طور حتم این بدافزار پیچیدگی دارد و در سه فاز مختلف اجرا می‌شود. ابتدا کار خود را با داکیومنت مخرب فوق‌الذکر که از طری فیشینگ توزیع می‌شود شروع می‌کند و در ادامه همانطور که شرح داده شد می‌رود سراغ دراپر  UpdateUAV.exe. این دراپر پیش از اجرای Nerbian RAT چندین اسکن محیطی انجام می‌دهد مانند آنتی‌ریورس و چک‌های ضد وی‌ام. در نهایت این RAT خود از طریق فایل تنظیمات رمزگذاری‌شده‌ای با دقت زیاد اجرا می‌شود تا تضمین دهد داده‌ی C&C رمزگذاری‌شده است. این تضمین را با ارسال آن روی SSL انجام می‌دهد؛ لایه سوکت امنی که با ابزارهای اسکن شبکه بررسی‌ها را دور می‌زند. افزون بر ارتباط با C&C کارهای دیگری هم از RAT برمی‌آید از جمله کی‌لاگ و گرفتن اسکرین‌شات. کی‌لاگر این RAT ضربات روی کلیدها را در قابل رمزگذاری‌شده‌ای ذخیره می‌کند و این درحالیست که ابزار اسکرین‌شات‌گیری دارد روی کل پلت‌فرم‌های سیستم‌عامل کار می‌کند.

بررسی شدید

شاید پیچیده‌ترین قابلیت‌ طفره‌روی این بدافزار در سه پروسه‌ای کاری‌اش بخشی قبل اجرای  Nerbian RAT توسط دراپر باشد. این دراپر بررسی شدید میزبان دستکاری‌شده را اجرا کرده و اگر با هر تعداد شرایط روبرو شد اجرا را متوقف خواهد نمود. این شرایط عبارتند از: سایز هارد دیسک روی سیستم کمتر از سایز خاصی باشد (مثلاً 100 گیگ)، نام هارددیسک طبق WMI حاوی virtual، vbox یا vmware باشد، آدرس MAC درخواست‌شده به ارزش‌های خاص OUI برگردد یا اگر مواجهه‌ای با هر تعداد برنامه مهندسی معکوس یا دیباگینگ در لیست پروسه صورت گرفت.

این دراپر همچنین اگر برنامه‌های دستکاری DumpIt.exe, RAMMap.exe, RAMMap64.exe یا vmmap.exe memory analysis/memory در لیست پروسه وجود داشتند و اگر مقدار زمان سپری‌شده برای اجرای کارکردهای خاص «بیش از حد» در نظر گرفته شود –که نشان‌دهنده دیباگینگ است- اجرا را متوقف می‌کند. با این وجود، علیرغم پیچیدگی که سعی دارد تضمین دهد RAT در مسیرش به دستگاه قربانی شناسایی نمی‌شود، دراپر و خود RAT خارج از نمونه پک‌شده همراه UPX–که می‌شود ادعا کرد لزوماً برای مبهم‌سازی استفاده نمی‌شود-مبهم‌سازی سنگینی را به کار نمی‌گیرند اما سایز فایل قابل‌اجرا را کاهش می‌دهند. محققین همچنین به دلیل رشته‌های موجود در کد مربوط به مخازن GitHub که عملکرد جزئی دراپر و RAT را نشان می‌دهد، عملکرد RAT و دراپر را «آسان» یافتند.

 

[1] ANTIREVESE

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security

    ایمن بمانید- هرآنچه در محل کار و خانه انجام می‌دهید هرآنچه در محیط آنلاین انجام می‌دهید- روی دستگاه‌های پی‌سی، مک و اندروید- بسته‌ی امنیتی پیشرفته و تک‌لایسنسیِ ما به شما کمک ...

    5,321,810 ریال10,643,620 ریال
    خرید
  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    1,772,810 ریال3,545,620 ریال
    خرید
  • Kaspersky Total Security

    قوی‌ترین و پرفروش‌ترین مجموعه‌‌ امنیتی ما امنیت خانواده چنددستگاهه مجهز به آنتی‌ویروس، ضدباج‌افزار، امنیت وبکم، مدیر کلمه‌عبور و 87 فناوری دیگر، همگی با یک لایسنس. ...

    7,096,310 ریال14,192,620 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    5,320,120 ریال
    خرید
  • Kaspersky Safe Kids

    شما می توانید بر ارتباطات اینترنتی کودکان از قبیل فعالیتهای عمومی در فیسبوک، کنترل تماسها و پیامها از طریق دستگاههای اندرویدی نظارت داشته باشید. کمک شما به کودکان بهترین راهنمایی برای آنها ...

    5,320,120 ریال
    خرید
  • Kaspersky Antivirus

    بهترین آنتی‌ویروس ما برای ویندوز پی‌سی شما جدیدترین ویروس‌ها، باج افزارها، جاسوس‌افزارها، رمزگرها و غیره را بلاک کرده و کمک می‌کند جلوی بدافزار ماینینگِ رمزارز -که به ...

    7,094,620 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 25 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    12,776,400 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد