لوکی: عامل خصوصی جدید برای فریم‌ورک محبوب Mythic

26 شهریور 1403 لوکی: عامل خصوصی جدید برای فریم‌ورک محبوب Mythic

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ در جولای 2024، بک‌در لوکی را که قبل‌تر ناشناخته بود کشف کردیم. این بک‌در در سری حملات هدف‌دار استفاده می‌شد. با تحلیل فایل مخرب و منابع باز متوجه شدیم لوکی نسخه خصوصی عاملی برای فریم‌ورک منبع باز Mythic است.  راهکارهای ما این تهدید را به عنوان Backdoor.Win64.MLoki شناسایی کردند تا فرق بین آن و خانواده‌های دیگر بدافزار با همان نام مانند لوکی بات، لوکی لاکر و غیره متوجه شوند.

فریم‌ورک Mythic

در سال 2018، کودی توماس توسعه‌دهنده، فریم‌ورک منبع باز خود را به نام Apfell برای پسااکسپلویت سیستم‌های دستکاری‌شده مک‌اواس ساخت. دو سال بعد، چندین توسعه‌دهنده به این پروژه پیوستند و این فریم‌ورک تبدیل شد به یک بستر بیناپلت‌فرمی و نامش به Mythic تغییر یافت. مشکلات اصلی فریم‌ورک‌های موجود در آن زمان سختی در ایجاد عامل‌های مختلف (کلاینت‌ها)، نبود رابط یکپارچه برای مدیریت‌شان و عدم پشتیبانی ماژولار بودن بود. مزیت Mythic این است که استفاده از عامل‌ها در هر زبانی را برای هر پلت‌فرم با کارایی لازم میسر می‌سازد. در زمان نگارش این مقاله، چندین عامل هستند که در ذخایر رسمی Mythic منتشر شده‌اند.

جزئیات فنی

عامل لوکی که ما کشف کردیم، نسخه سازگار با Mythic عامل برای فریم‌ورک دیگر است. آن فریم‌ورک Havoc نام دارد. مد لوکی، تکنیک‌های مختلفی را از هاووک به ارث برده تا تحلیل عامل را پیچیده کند؛ برای مثال رمزگذاری تصویر مموری آن، فراخوان غیرمستقیم توابع API سیستم، جستجوی توابع API با هش‌ها و غیره. با این حال، برخلاف عامل هاووک، لوکی به لودر و DLL تقسیم می‌شود؛ جای که کارکرد اصلی بدافزار در آن پیاده‌سازی می‌گردد. هر دو نسخه عامل از الگوریتم هش djb2 برای مبهم کردن توابع و فرمان‌های API استفاده می‌کنند. با این وجود، در نسخه Mythic این کمی دستکاری شد. عامل Havoc از شماره جادویی اورجینال دنیل برنشتیان که 5381 است استفاده کرد اما این در لوکی با 2231 عوض شد.

عملکرد لودر

لودر لوکی به محض اجرا، پکتی حاوی اطلاعاتی در مورد سیستم آلوده مانند نسخه سیستم‌عامل، آدرس آی‌پی داخلی، نام کاربری، معماری پردازنده، مسیر رسیدن به پروسه فعلی و آی‌دی آن را تولید کرده و آن را در حالت رمزگذاری‌شده به سرور کنترل و فرمان در https://y[.]nsitelecom[.]ru/certcenter ارسال می‌کند. در پاسخ، سرور یک DDL که لودر در مموری دستگاه آلوده قرار داده ارسال می‌کند. پردازش فرمان و ارتباط‌های بعدی با سرور C2 در این آرشیو اتفاق خواهد افتاد. اکنون نگاهی خواهیم داشت بر دو نسخه لودر که فعالیت‌شان در ماه می و جولای مشاهده شد.

نسخه لودر در ماه می

MD5


375CFE475725CAA89EDF6D40ACD7BE70

 

SHA1

8326B2B0569305254A8CE9F186863E09605667E7

SHA256

81801823C6787B737019F3BD9BD53F15B1D09444F0FE95FAD9B568F82CC7A68D

Compilation time:

13:50 23.05.2024

Compiler

GNU Binutils 2.31

File type

Windows x64 executable

File size

92,328 bytes

File name

смета_27.05.2024.exe

 

نسخه لودر در ماه جولای

MD5

 

46505707991E856049215A09BF403701

SHA1

21CDDE4F6916F7E4765A377F6F40A82904A05431

SHA256

FF605DF63FFE6D7123AD67E96F3BC698E50AC5B982750F77BBC75DA8007625BB

Compilation time:

11:23 25.07.2024

Compiler

GNU Binutils 2.31

File type

Windows x64 executable

File size

92,672 bytes

File name

winit.exe

 

نسخه لودر مشاهده شده در ماه می با نمونه جولای کمی متفاوت است. به عنوان مثال، نسخه قبلی از پروتکل protobuf برای سریال سازی داده‌ها استفاده می‌کند، در حالیکه نسخه جدید تا حدی رفتار عامل Ceos را تقلید می‌کند.

 

هر دو نسخه از الگوریتم‌های یکسانی برای رمزگذاری داده‌ها استفاده می‌کنند: ابتدا اطلاعات جمع‌آوری‌شده با الگوریتم AES رمزگذاری شده و سپس با base64 کدگذاری می‌شوند. با این حال، نسخه قدیمی یک UUID 36 کاراکتری را به صورت متن ساده همراه با داده های رمزگذاری شده ارسال می‌کند، در حالیکه نسخه جدید آن را با استفاده از base64 رمزگذاری می‌نماید. در نتیجه اولین درخواست به سرور C2، سرور یک بار را به شکل یک DLL با دو تابع صادر شده برمی‌گرداند: نقطه ورودی استاندارد DllMain و تابع Start، که لودر برای انتقال کنترل بیشتر به آرشیو فراخوانی می‌کند.

کارکرد اصلی ماژول

در زمان کشف، دیگر امکان دانلود پی‌لود از سرور مذکور وجود نداشت. با این حال، از طریق تجزیه و تحلیل دقیق، ما حدود 15 نسخه دیگر از لودر و دو سرور C2 فعال را پیدا کردیم و در نهایت نمونه‌ای از ماژول اصلی را از نسخه می به دست آوردیم. ماژول اصلی مانند لودر مبتنی بر نسخه havoc عامل است اما فهرست فرمان‌های پشتیبانی‌شده تا حدی از سایر عامل‌های Mythic به عاریت گرفته شدند. این فهرست در ت نساده داخل dll ذخیره نمی‌شوند؛ در عوض سری‌های هش در کد آرشیو مشخص می‌گردند. وقتی فرمان از سرور دریافت می‌شود، نامش هش شده و با هش ذخیره‌شده در dll مقایسه می‌شود.

ابزارهایی برای تونل‌سازی ترافیک

خود عامل از تونل‌سازی ترافیک پشتیبانی نمی‌کند، بنابراین برای دسترسی به بخش‌های شبکه خصوصی، مهاجمان از ابزارهای طرف‌سوم در دسترس عموم استفاده می‌کنند. در چندین ماشین آلوده، ابزار ngrok در فهرست با لودر Loki یافت شد. در موارد دیگر، نمونه‌هایی از ابزار gTunnel در حال اجرا در زمینه فرآیندهای سیستم svchost.exe و runtimebroker.exe کشف شد. قابل ذکر است، برخلاف ngrok، با استفاده از goReflec برای بارگیری و اجرا در حافظه، نه از دیسک، دستکاری شد.

قربانی‌ها و توزیع

بیش از ده‌ها شرکت روسی از صنایع مختلف، از جمله مهندسی و مراقبت های بهداشتی، با این تهدید مواجه شده اند. با این حال، ما معتقدیم که تعداد قربانیان احتمالی ممکن است بیشتر باشد. بر اساس تله‌متری و نام فایل‌هایی که بدافزار در آنها شناسایی شده است می‌توانیم فرض کنیم که در چندین مورد، لوکی از طریق ایمیل به رایانه‌های قربانیان می‌رسد و کاربر ناآگاهی خودش فایل را راه‌اندازی می‌کند.

نسبت

در زمان تحقیق، داده‌های کافی برای نسبت دادن لوکی به هر گروه شناخته‌شده‌ای وجود ندارد. مهاجمین به جای استفاده از الگوهای ایمیل استاندارد برای گسترش عامل، احتمالاً به هر هدف به طور جداگانه نزدیک می‌شوند. ما همچنین هیچ ابزار منحصربه‌فردی در دستگاه‌های آلوده پیدا نکردیم که بتواند به اسناد کمک کند. به نظر می‌رسد که مهاجمین فقط از ابزارهای عمومی در دسترس برای تونل‌سازی ترافیک برای دستکاری آن‌ها استفاده می‌کنند، مانند gTunnel و ngrok، و ابزار goReflect.

نتیجه‌گیری

محبوبیت فریم‌ورک‌های منبع باز پسااکسپلویتی رو به افزایش است. گرچه اینها در وهله اول برای ارتقای امنیت زیرساخت کارامد هستند اما مهاجمین دارند هر روز بیشتر از قبل برای کنترل دستگاه‌های قربانیان خود از راه دور  و دستکاری آن‌ها برای مقاصد شخصی‌شان مانند سخت‌تر کردن شناسایی و نسبت‌دهی حملات، آن‌ها را تست کرده و به کار می‌برند.

شاخص‌های دستکاری

نسخه‌ لودر جولای

46505707991e856049215a09bf403701

نسخه لودر می

f0b6e7c0f0829134fe73875fadf3942f

796bdba64736a0bd6d2aafe773acba52

5ec03e03b908bf76c0bae7ec96a2ba83

0632799171501fbeeba57f079ea22735

97357d0f1bf2e4f7777528d78ffeb46e

f2132a3e82c2069eb5d949e2f1f50c94

7f85e956fc69e6f76f72eeaf98aca731

375cfe475725caa89edf6d40acd7be70

dff5fa75d190dde0f1bd22651f8d884d

05119e5ffceb21e3b447df49b52ab608

724c8e3fc74dde15ccd6441db460c4e4

834f7e48aa21c18c0f6e5285af55b607

e8b110b51f45f2d64af6619379aeef62

ماژول اصلی

eb7886ddc6d28d174636622648d8e9e0

جی‌تونل

1178e7ff9d4adfe48064c507a299a628
dd8445e9b7daced487243ecba2a5d7a8

Ngrok

4afad607f9422da6871d7d931fe63402

آدرس‌های C2

http://y[.]nsitelecom[.]ru/certcenter
http://document[.]info-cloud[.]ru/data
http://ui[.]telecomz[.]ru/data

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    7,238,100 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    10,860,600 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    1,086,060 ریال10,860,600 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    72,443,100 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    10,246,500 ریال20,493,000 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    14,693,550 ریال29,387,100 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    15,718,200 ریال31,436,400 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    65,201,550 ریال130,403,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    78,242,550 ریال156,485,100 ریال
    خرید
  • Kaspersky Small Office Security

    250,670,100 ریال
    خرید
  • Kaspersky Small Office Security

    91,283,550 ریال182,567,100 ریال
    خرید
  • Kaspersky Small Office Security

    291,966,600 ریال
    خرید
  • Kaspersky Small Office Security

    104,324,550 ریال208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    333,987,600 ریال
    خرید
  • Kaspersky Small Office Security

    117,365,550 ریال234,731,100 ریال
    خرید
  • Kaspersky Small Office Security

    375,284,100 ریال
    خرید
  • Kaspersky Small Office Security

    119,539,050 ریال239,078,100 ریال
    خرید
  • Kaspersky Small Office Security

    382,529,100 ریال
    خرید
  • Kaspersky Small Office Security

    168,442,800 ریال336,885,600 ریال
    خرید
  • Kaspersky Small Office Security

    539,021,100 ریال
    خرید
  • Kaspersky Small Office Security

    217,346,550 ریال434,693,100 ریال
    خرید
  • Kaspersky Small Office Security

    695,513,100 ریال
    خرید
  • Kaspersky Small Office Security

    262,627,800 ریال525,255,600 ریال
    خرید
  • Kaspersky Small Office Security

    840,413,100 ریال
    خرید
  • Kaspersky Small Office Security

    498,090,300 ریال996,180,600 ریال
    خرید
  • Kaspersky Small Office Security

    1,593,893,100 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد