روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ طی واکنش به رخدادی که دو تیم GERT و GReAT اجرا کردند، تهدید جدید و چندپلت‌فرمی به نام NKAbuse کشف شد. این بدافزار از فناوری NKN برای تبادل داده بین جفت‌ها استفاده کرده، حکم ایمپلنت بالقوه را داشته و به دو قابلیت فلادر و بک‌در مجهز است. با ما همراه بمانید.

این بدافزار، نوشته‌شده به زبان Go آنقدری منعطف هست که باینری‌هایی سازگار با معماری‌های مختلف تولید کند. تحلیل ما نشان می‌دهد هدف اصلی NKAbuse، دسکتاپ‌های لینوکسی باشد اما با مشاهده توانایی‌اش در آلوده کردن سیستم‌های  MISP و ARM همچنین برای دستگاه‌های اینترنت اشیاء هم تهدیدی به حساب می‌آید. NKAbuse با آپلود کردن ایمپلنت در میزبان قربانی، به سیستم‌ها رخنه می‌کند. این بدافزار با کرون جاب[1] و نصب خود در فولدر خانگی میزبان، ایجاد پایداری می‌کند. دامنه قابلیت‌هایش از فلاد کردن تا دسترسی بک‌در به RAT است.

نوع جدیدی از شبکه (NKN)

NKN خلاصه‌ی عبارت «نوع جدیدی از شبکه[2]» حکم P2P و پروتکل شبکه بلاک‌چین محور را دارد که تمرکززدایی و حریم خصوصی را اولویت قرار می‌دهد. شبکه NKN در حال حاضر بیش از 60 هزار نود رسمی دارد و الگوریتم‌های روتینگ پراکنده‌ای طراحی‌شده برای بهینه‌سازی انتقال داده ارائه می‌دهد. این کار با انتخاب کوتاهترین مسیر نود برای رسیدن به مقصد مورد هدفش انجام می‌شود.

از حیث تاریخی، اپراتورهای بدافزار پروتکل‌های جدید و نوظهور ارتباطی را مانند NKN اکسپلویت کرده‌اند تا سرورهای C2 یا اربابان باتیِ خود را لینک کنند. این تهدید از پروتکل بلاک‌چین عمومی NKN برای انجام مجموعه بزرگی از حملات فلاد استفاده کرده و حکم بک‌در داخل سیستم‌های لینوکسی را دارد.

بُردار حمله نه چندان جدید

شواهد جمع‌آوری و تجزیه و تحلیل شده توسط GERT نشان می‌دهد که این حمله از یک آسیب‌پذیری قدیمی مربوط به Struts2 (CVE-2017-5638 – Apache Struts2) سوء استفاده کرده و یک شرکت مالی را هدف قرار داده است.

گزیده ای از گزارش‌های حسابرسی همان گزارش‌هایی هستند در vulhub POC S2-048 به آن اشاره شده است. این آسیب‌پذیری به مهاجمین اجازه می‌دهد تا با ارسال فرمان در سرآیند «شل» و ارسال دستورالعمل‌ها برای اجرا به Bash، دستورات را روی سرور اجرا کنند.  پس از اکسپلویت آسیب‌پذیری، دستوری برای دانلود اسکریپت اولیه بر روی سیستم اجرا می‌شود.

یک ایمپلنت جدید چندپلت‌فرمی

بدافزار معمولاً با اجرای یک اسکریپت پوسته راه دور که محتویات اسکریپت پوسته setup.sh میزبانی شده توسط مهاجم را از راه دور دانلود و اجرا کرده و روی دستگاه قربانی نصب می‌شود. فرآیند راه‌اندازی نوع سیستم‌عامل را بررسی  و بسته به آن، مرحله دوم، که کاشت بدافزار واقعی است را دانلود می‌کند. ایمپلنت از همان سرور دانلود می‌شود. نام آن "app_linux (ARCH) است، که در آن ARCH  معماری سیستم‌عامل هدف است. ایمپلنت دانلود شده در پوشه موقت /tmp قرار می‌گیرد و سپس اجرا می‌شود. هشت معماری بر روی آن سرور میزبانی شده و توسط بدافزار پشتیبانی می شود:

• 386
• arm64
• arm
• amd64
• mips
• mipsel
• mips64
• mips64el

این تحلیل بر روی نسخه amd64 (x86-64) متمرکز خواهد شد.

پس از اجرا، بدافزار بررسی می‌کند که آیا تنها نمونه در حال اجرا است یا خیر و به جای اینکه در فهرست فرار /tmp باقی بماند، خود را به مکانی امن منتقل می‌کند. دایرکتوری انتخاب شده توسط ایمپلنت برای اقامت در آن /root/.config/StoreService/ است. مجموعه دیگری از دایرکتوری‌های ایجاد شده در مسیر مقصد، فایل‌ها و .cache است. سپس ایمپلنت آدرس IP دستگاه آلوده را با ارسال یک درخواست GET به ifconfig.me بازیابی، پیکربندی پیش‌فرض را بارگیری می‌کند؛ کاری که مشخص می‌کند آیا در دایرکتوری cache. قرار دارد یا خیر، و در غیر این صورت، تنظیمات سخت کد شده خاصی بارگیری می‌شود. سپس این پیکربندی در یک ساختار کش جدید ذخیره می‌شود، که سایر تنظیمات مهم و مکرر استفاده‌شده مانند کلید خصوصی تولید شده را در خود نگه می‌دارد.

NKAbuse از کرون جاب‌ها برای زنده ماندن در راه اندازی مجدد استفاده می‌کند. برای رسیدن به آن، نیاز به روت بودن دارد. بررسی می‌کند که شناسه کاربر فعلی 0 باشد و اگر چنین باشد، به تجزیه crontab فعلی ادامه می دهد و برای هر راه اندازی مجدد، خود را اضافه می‌کند.

ارتباطی جدید

NKAbuse از پروتکل NKN برای برقراری ارتباط با ربات اصلی و دریافت/ارسال اطلاعات استفاده می‌کند. برای انجام این کار، کاشت بدافزار یک حساب کاربری جدید و یک چند مشتری جدید ایجاد می‌کند که به آن امکان می‌دهد داده‌ها را از چندین مشتری به طور همزمان ارسال و دریافت کند و قابلیت اطمینان ارتباطات خود با ربات اصلی را افزایش دهد. حساب NKN با گزینه‌های پیکربندی پیش‌فرض ایجاد و سپس چند مشتری با یک شناسه مقداردهی اولیه می‌شود که در نمونه ما یک رشته 64 کاراکتری و نشان‌دهنده کلید عمومی و آدرس راه دور مورد استفاده بدافزار است. به محض راه‌اندازی شدن کلاینت و آماده بودنش برای دریافت و ارسال داده، بدافزار هندلری تهیه می‌بیند برای پذیرش مسیج‌های دریافتی ارسال‌شده توسط مستر بات. هندلر شامل 42 مورد یا بیشتر می‌شود که هر کدام بسته به "کد" ارسال شده، اقدامات متفاوتی را انجام می‌دهند و منتظر دریافت پیام های بیشتری هستند.

NKAbuse حاوی زرادخانه بزرگی از حملات انکار سرویس توزیع شده DDoS)  ) است. همه این بارهای پرداختی در طول تاریخ توسط بات‌نت‌ها استفاده می‌شده‌اند، بنابراین، هنگامی که با NKN به عنوان پروتکل ارتباطی ترکیب می‌شوند، بدافزار می‌تواند به‌طور ناهمزمان منتظر مستر برای راه‌اندازی یک حمله ترکیبی باشد. توجه به این نکته مهم است که آخرین نوع حمله بارگذاری از سایرین منحرف می شود. NKAbuse سرور DNS را با درخواست‌های ناخواسته DNS سرریز می‌کند (نوع AAAA ) و باعث می‌شود که سعی کند زیر دامنه‌های {JUNK}.google.com  را حل کند، جایی که JUNK  یک نام زیر دامنه‌ای است که به‌طور تصادفی در قالب 0-9a-zA-Z ایجاد شده است.

بک‌در جدید با قابلیت‌های RAT

NKAbuse دارای چندین ویژگی است که آن را به یک بک‌در قدرتمند یا یک تروجان دسترسی از راه دور  RAT)  ) تبدیل می کند، نه فقط یک ابزار DDoS. در واقع، بیشتر دستورات پیام ذکر شده در بالا، به هر طریقی، برای تداوم، اجرای دستور، یا جمع آوری اطلاعات استفاده می‌شوند. کاشت بدافزار ساختاری به نام Heartbeat ایجاد می‌کند که در فواصل زمانی منظم با مستر بات صحبت می‌کند. این شامل تعدادی ساختار دیگر است که اطلاعات مربوط به میزبان آلوده را ذخیره می‌کند: PID، آدرس IP قربانی، حافظه آزاد، پیکربندی فعلی و غیره. یکی دیگر از ویژگی‌های این بدافزار امکان تهیه اسکرین شات از دستگاه آلوده است. از یک پروژه منبع باز برای تعیین محدوده نمایش و سپس گرفتن تصویری از صفحه فعلی استفاده می‌کند تا آن را به PNG تبدیل و به ربات اصلی ارسال کند.

NKAbuse همچنین می‌تواند فایل‌هایی با محتوای خاص ایجاد، فایل‌ها را از سیستم فایل حذف و یک لیست فایل را از یک مسیر خاص واکشی کند. می‌تواند فهرستی از فرآیندهای در حال اجرا در سیستم و حتی فهرست دقیقی از رابط‌های شبکه موجود را دریافت کند. یکی دیگر از ویژگی های رایج که این ایمپلنت را به یک بک‌در کامل تبدیل می‌کند، امکان اجرای دستورات سیستم است. اینها از طرف کاربر فعلی اجرا و خروجی از طریق NKN به botmaster ارسال می‌شود.

تهدید جدید

اگرچه نسبتاً نادر است اما فلادرها و بک‌درهای جدید مانند NKAbuse از طریق استفاده از پروتکل‌های ارتباطی کمتر متداول خود را برجسته می‌کنند. به نظر می رسد این ایمپلنت خاص به دقت برای ادغام در یک بات نت ساخته شده اما می‌تواند به عنوان بک‌در در یک میزبان خاص عمل کند. علاوه بر این، استفاده آن از فناوری بلاکچین هم قابلیت اطمینان و هم ناشناس بودن را تضمین می‌کند، که نشان‌دهنده پتانسیل این بات‌نت برای گسترش پیوسته در طول زمان بوده و ظاهراً فاقد هندلر مرکزی قابل شناسایی است. علاوه بر این، تأیید شده که این بدافزار هیچ عملکرد خود انتشاری ندارد، به این معنی که ناقل آلودگی اولیه توسط شخصی که از یک آسیب‌پذیری برای استقرار نمونه سوء استفاده می‌کند، تحویل داده می‌شود. داده های تله متری ما نشان می‌دهد که قربانیانی در کلمبیا، مکزیک و ویتنام وجود دارد. همه محصولات کسپرسکی این تهدیدها را از چشم NKAbuse می‌بینند و این بدافزار را مقصر می‌دانند.

شاخص‌های دستکاری

بر پایه میزبان:

• MD5: 11e2d7a8d678cd72e6e5286ccfb4c833

فایل‌های ساخته‌شده:

• /root/.config/StoreService
• /root/.config/StoreService/app_linux_amd64
• /root/.config/StoreService/files
• /root/.config/StoreService/.cache

[1] قابلیتی است در سیستم عامل‌های بر مبنای یونیکس که وظیفهٔ اجرای برنامه در زمان بندی‌های خاص را بر عهده دارد. کرون جاب این قابلیت را برای کاربران ایجاد می‌کند تا بتوانند کارها (دستورها و شل اسکریپت) به صورت زمان بندی شده و در دوره‌های مشخص اجرا کند.

[2] New Kind of Network

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.