وبلاگ کسپرسکی آنلاین | در جهان جُرم‌افزارها چه می‌گذرد؟

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ چشم‌انداز بدافزارها روز به روز قوی‌تر می‌شود. خانواده‌های جدید در حال متولد شدن هستند و این درحالیست که خانواده‌های دیگر ناپدید می‌شوند. برخی خانواده‌ها عمر کوتاهی دارند و برخی شاید مدت زیادی فعال بمانند. برای دنبال کردن این روند پیشرفت، هم به نمونه‌هایی که شناسایی می‌کنیم تکیه داریم هم به تلاش‌هایمان در بخش نظارتی که هم بات‌نت‌ها را پوشش می‌دهد هم تالارهای زیرزمینی. ضمن این، نمونه‌های جدید Emotet، لودر جدید که DarkGate نام دارد و کمپین جدید سرقت اطلاعاتی به نام LokiBot را نیز کشف کردیم. در این مقاله به طور گزیده هر یک را شرح خواهیم داد. با ما همراه بمانید.

DarkGate

در تاریخ ژوئن 2023، توسعه‌دهنده معروف بدافزار تبلیغی را روی تالار دارک‌وب محبوب پست کرد که در آن از لودر پیشرفته‌ای که از سال 2017 بیش از 20 هزار ساعت رویش کار کرده تعریف و تمجید می‌کرد. برخی از ویژگی‌های اصلی آن که ورای کارایی یک دانلودر معمول بود احتمالاً شامل موارد زیر می‌شد:

VNC مخفی
حذف ویندوز دیفندر
سارق تاریخچه مرورگر
پروکسی معکوس
فایل منیجر
سارق توکن دیسکورد

نمونه‌ای که به دستمان آمده برخی از این ویژگی‌ها را ندارد اما این معنای خاصی ندارد چون به هر حال در بیلدر فعال یا غیرفعال هستند. اما ما توانستیم زنجیره آلودگی را که شامل چهار مرحله می‌شود در خود پی‌لود نهایی که DarkGate باشد بازسازی کنیم:

اسکریپت دانلودر VBS: این اسکریپت نسبتاً ساده است. چندین متغیر محیطی را تنظیم می‌کند تا فراخوانی‌های بعدی مبهم‌سازی شوند. دو فایل (Autoit3.exe و script.au3) سپس از C2 دانلود شده و Autoit3.exe به عنوان آگمنت اجرا می‌شود.
اسکریپت AutoIT V3: AutoIT V3 یک زبان اسکریپت‌نویسی به سبک آزادافزار است (چیزی تقریباً مبتدی) که اغلب نویسندگان بدافزار از آن استفاده می‌کنند زیرا می‌تواند –از میان سایر توانایی‌هایش- ضربات کیبورد را شبیه‌سازی کند. این اسکریپتِ اجراشده، مبهم‌سازی می‌شود اما در نهایت مموری را به شل‌کد جاگذاری‌شده اختصاص داده و در نهایت شل‌کد را اجرا می کند.
شل کد: شل‌کد بسیار ساده و سرراست است: در مموری یک فایل PE می‌سازد، به طور پویایی ایمپورت‌ها را حل کرده و به آن‌ها کنترل را انتقال می‌دهد.
اجراگر DarkGate (فایل PE که شل‌کد ساخته): اجراگر فایل script.au3 را در مموری لود کرده سپس لکه‌ی رمزگذاری‌شده کدگشایی می‌شود (با استفاده از کلید xor و عملیات نهایی NOT). این به فایل PE که میز ایمپورتش به طور پویایی حل شده منتج می‌شود. نتیجه نهایی می‌شود لودر DarkGate.

لودر DarkGate متغیرهای مختلف جهان دارد که این لیست خود شامل 17 متغیر می‌شود که کارایی هسته‌ای این بدافزار را شرح می‌دهند:

متغیری که اگر AV پیدا شود تنظیم می‌شود.
متغیری که اگر محیط مجازی پیدا شود تنظیم می‌شود.
متغیری که وقتی پردازشگر Xeon پیدا شود تنظیم می‌شود.
شماره پورت C2.

لیست کامل متغیرها در گزارش خصوصی ما موجود است. عملکرد اصلی شامل بارگذاری بدافزار نیست، که در یک ماژول جداگانه پیاده‌سازی شده است. آنچه اهمیت دارد، نحوه رمزگذاری رشته‌ها است. هر رشته با یک کلید منحصر به فرد و یک نسخه سفارشی از رمزگذاری Base64 با استفاده از یک مجموعه کاراکتر سفارشی رمزگذاری شده است.

LokiBot

LokiBot یک سارق اطلاعاتی است که اولین بار سر و کله‌اش سال 2016 پیدا شد و هنوز هم فعال است. این سارق طراحی شده تا از اپ‌های مختلف مانند مرورگرها، کلاینت‌های FTP و غیره اطلاعات مهم سرقت کند. همین اواخر کمپین فیشینگی را شناسایی کردیم که شرکت‌های حمل بار را مورد هدف قرار داده بود. در پرونده‌هایی که بررسی کردیم، قربانیان ایمیلی دریافت کرده بودند که ظاهراً از سوی شرکتی بود که می‌گفت هزینه‌های پورت باید پرداخت شود. به پیوست آن ایمیل نیز یک داکیومنت اکسل بود. همانطور که انتظار می‌رود کاربر با باز کردن داکیومنت از او خواسته می‌شود ماکروها را فعال کند. اما این یک هشدار تقلبی بود چون داکیومنت اصلاً حاوی هیچ ماکرویی نبود: در واقع فقط سعی داشت CVE-2017-0199 را اکسپلویت کند. این آسیب‌پذیری باز کردن ریموت داکیومنتی را با دادن یک لینک ممکن می‌کند. و نتیجه می‌شود دانلود داکیومنت RFT که در عوض آسیب‌پذیری دیگری را اکسپلویت می‌کند. نام آن CVE-2017-11882. با اکسپلویت کردن این آسیب‌پذیری، LokiBot دانلود و اجرا می‌شود. وقتی اجرا شد شروع می‌کند به سرقت داده‌های محرمانه از منابع مختلف و بعد سیو کردن آن‌ها در بافری درون بدافزار که بعد از آن، آن‌ها به C2 ارسال می‌شوند. داده‌ها با درخواست‌های POST که با APLib فشرده شدند ارسال می‌شوند. بعد از ارسال اطلاعات سیستم بدافزار منتظر فرمان‌های اضافی C2 می‌شود. این فرمان‌ها را می‌شود برای دانلود بدافزار اضافی، اجرای کی‌لاگر و غیره استفاده کرد.

Emotet

Emotet بات‌نت بدنامی است که علی‌رغم بسته شدنش در سال 2021 دوباره شروع کرده است به عرض اندام. در موج آخر حمله‌اش، از OneNote به عنوان حربه استفاده کرده است: ارسال ایمیل‌هایی با فایل‌های وان‌نوتی.

کلیک روی دکمه «مشاهده»، VBScript مخرب جاگذاری‌شده و مبهم‌سازی‌شده اجرا می‌شود. چندین بخش حاویِ پی‌لود وجود دارد. اسکریپت هر یک از آنها را امتحان می‌کند تا زمانی که موفق شود، و سپس payload، یک DLL، را در دایرکتوری temp ذخیره کرده و آن را با regsvc32.exe اجرا می‌کند. سپس DLL اجرا شده یک منبع LXGUM) ) را از بخش منبع خود بارگیری و آن را با یک الگوریتم XOR ساده رمزگشایی می‌کند.

محموله رمزگشایی‌شده در واقع کد پوسته‌ای است که یک واردات معمولی را با هش انجام می‌دهد. دو مورد از فانکشن‌های حل‌شده LdrLoadDll و LdrGetProcedureAddress هستند که اغلب توسط نویسندگان بدافزار برای فرار از تجزیه و تحلیل پویا APIهای معروف استفاده می‌شوند: در این مورد منظور LoadLibrary و GetProcAddress است. سپس، مموری تخصیص شده و لکه‌ای (منظور فایل PE است) از بخش منبع در مموری تخصیص‌یافته نوشته می‌شود که می‌شود آن پی‌لود نهایی Emotet. وابستگی‌های DLL برطرف و جدول آدرس ایمپورت -IAT- بازسازی می‌شود. سپس شل‌کد هدر DOS فایل PE را بازنویسی کرده تا راهکارهای EDR نتوانند باینری داخل مموری را به آسانی تشخیص دهند. در آخر Emotet اجرا می‌شود. خود پی‌لود Emotet در همان امواج قبلی حملات باقی می‌ماند.

نتیجه‌گیری

بدافزار همواره در حال تکامل‌ هستند و TTP‌ها رو به تغییر. همین پروسه شناسایی را کند می‌کند. علاوه بر این، شاید تصمیم بر سر اینکه چه نوع بدافزاری باید اول از همه از میان رود دچار چالش شود. گزارشات اطلاعاتی می‌تواند در شناسایی این تهدیهای که به شازمان شما مرتبط هستند کمک کرده و باعث شود در برابرشان خود را مقاوم نگه دارید. در صورت تمایل به جدیدترین TTPهای استفاده‌شده توسط مجرمین یا اگر در مورد گزارشات خصوصی ما سوالی دارید خواهشمندیم با crimewareintel@kaspersky.com ارتباط برقرار کنید.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.