Silence: تروجان جدیدی که سازمان های مالی را مورد هدف قرار داده است!

14 آبان 1396 Silence: تروجان جدیدی که سازمان های مالی را مورد هدف قرار داده است!

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛کارشناسان ما در سپتامبر ماه 2017، یک حمله ی جدید که موسسات مالی را مورد هدف قرار داده بود، شناسایی نمودند. قربانیان این حمله، بانک های روسیه بودند اما چند مورد آلودگی در سازمان های مالزی و ارمنستان نیز مشاهده شد. از نظر تاکتیکی این حمله بسیار شبیه حمله ی پیشرفته ی notorious Carbanak بود، حمله ای که در آن ایمیل های فیشینگ با پیوست های مخرب به کارکنان بانک ها و سازمان های مالی ارسال شد و به دنبال جاسوسی از کاربران، حمله به طور ناگهانی به معامله ای جعلی تبدیل گشت. با استفاده از این روش مجرمان توانستند میلیاردها دلار پول بدست آورند و همین انگیزه‌ای برای تکرار این حمله شده است.

با این حال و با گذشت زمان، مجرمان حمله ی فیشینگ را کامل‌تر و جامعتر از قبل عملی ساختند. پس از آلوده شدن و محکم کاری در زیرساخت های یک سازمان، مجرمان به ارسال "قرارداد" بین شرکای بانک اقدام نمودند. قربانی بعدی، پیام فیشینگ را از طریق آدرس لینک شخص واقعی که در بانک فعالیت می کند، دریافت می کند. احتمال کلیک کردن بر روی لینک از این طریق می تواند بسیار بالا باشد.

تروجان Silence چگونه عمل می کند؟

قربانی یا یک کارمند مالی "قرارداد" را که فایل ضمیمه شده ای با فرمت chm. است را باز میکند. فایل HTML جاسازی شده، شامل کد جاوا اسکریپت مخربی است که یک دراپر را بارگذاری و فعال می سازد و سپس ماژول تروجان Silence را که به عنوان سرویس دهنده های ویندوز عمل می کند را بارگذاری می کند. ما در بین دستورات این حمله ماژول هایی برای کنترل و نظارت، ضبط صفحه ی نمایش و ارتباط با سرورهای کنترل به علاوه ی برنامه هایی برای اجرای دستورات از راه دور کنسول یافتیم.

این ماژول ها به مجرمان اجازه ی جمع آوری اطلاعات از شبکه و ضبط تصاویر از صفحه ی نمایش کاربران را می دهد. مجرمان در ابتدا همه ی آن ها را نظارت می کنند، پس از اینکه متوجه شدند اطلاعات مالی مفیدی هستند بر روی آن ها تمرکز کرده و اولویت خود را روی آن ها قرار می دهند. هنگامی که مجرمان شناخت کاملی نسبت به نحوه ی عملکرد سیستم های اطلاعاتی قربانیان بدست آوردند، دستور انتقال وجه به حساب های خود را از حساب های قربانیان می دهند.

جزئیات فنی

مجرمان سایبری با استفاده از تروجان Silence ایمیل های فیشینگ را به عنوان بردارهای آلوده ارسال می کنند، آن ها اغلب با استفاده از آدرس ایمیل های کارمندانی که قبلا آلوده شده اند، عملیات فیشینگ را انجام می‌دهند. پیامی که در ایمیل نمایان می شود درخواستی کاملا روتین و معمولی است. مجرمان با استفاده از فریب مهندسی اجتماعی به کاربران ثابت می کنند که همه چیز طبیعی است و هیچ مورد مشکوکی وجود ندارد.

فرمت chm. مخرب

پیوستی که ما در این حمله‌ی فیشینگ شناسایی کردیم یک فایل “Microsoft Compiled HTML Help” است. این فایل یک قالب اختصاصی مایکروسافت است که شامل مجموعه ای از صفحات HTML، نمایه‌سازی و دیگر ابزارهای نویگیشن می‌شود. این فایل ها به صورت فشرده شده و با فرمت باینری در پسوند chm. قرار گرفته است. فایل های مخرب مذکور تعاملی هستند و قادرند یک نمونه از تکنولوژی های شامل جاوا اسکریپت را اجرا کنند. به عنوان مثال پس از باز کردن فرمت chm. می تواند قربانی را به سمت یک URL خارجی هدایت نماید. مجرمان به اکسپلویت فایل های CHM برای بارگیری خودکار پیلودهای مخرب اقدام می‌کنند. هنگامی که فایل پیوست توسط قربانی باز می شود، محتویات جاسازی شده ی htm. اجرا می شود. این فایل شامل جاوا اسکریپت است و هدف اصلی آن دانلود و اجرای یک مرحله‌ی دیگر از یک hard coded URL است.

هدف اسکریپت دانلود و اجرای یک VBS script مبهم است که مجدداً به دانلود و اجرای دراپر می پردازد.

دراپر

دراپر یک فایل باینری win32 قابل اجرا است که هدف آن برقراری ارتباط با سرور فرمان و کنترل (C&C)، ارسال شناسه ی دستگاه آلوده و در نهایت دانلود و اجرای پیلودهای مخرب است.

پس از اجرا دراپر با استفاده از یک درخواست GET به سرور (C&C) متصل میشود و شناسهی قربانی را ارسال، پیلودها را دانلود و آنها را با استفاده از تابع CreateProcess اجرا می‌کند.

پیلودها

پیلودها تعدادی از ماژول ها هستند که بر روی سیستم آلوده به منظور انجام برخی وظایف همانند ضبط صفحه‌ی نمایش، آپلود داده ها و غیره اجرا می شوند. تمام ماژول های پیلودی که ما قادر به شناسایی آن ها بودیم، به عنوان سرویس های ویندوز ثبت شده بودند.

نظارت و کنترل ماژول

وظیفه ی اصلی این ماژول نظارت بر فعالیت قربانی است. برای انجام این کار چندین اسکرین شات از صفحه ی نمایش فعال قربانی گرفته می شود و شبه ویدئویی از تمام فعالیت های قربانی ارائه می شود. این یک تکنیکی است که مشابه آن در پرونده‌ی Carbanak مورد استفاده قرار گرفته بود و توانسته بود فعالیت روزمره‌ی قربانی را ضبط کند.

این ماژول توسط یک سرویس ویندوز با نام “Default monitor” ثبت و آغاز می شود. پس از راه اندازی اولیه، آن یک pipe با یک مقدار سخت افزاری – “\\.\pipe\{73F7975A-A4A2-4AB6-9121-AECAE68AABBB}”. ایجاد می‌کند که از آن برای اشتراک گذاری داده ها در ارتباطات مخرب بین پردازش ماژول ها مورد استفاده قرار می گیرد.

بدافزار، داده های مسدود شده را رمزنگاری و آن ها را عنوان یک فایل باینری با اسم hardcoded mss.exe” در یک مکان موقت در ویندوز ذخیره و سپس آن را با استفاده از تابع CreateProcessAsUser  اجرا می کند.

این دراپر باینری ماژولی است که مسئول ضبط فعالیت‌های صفحه ی نمایش است. پس از آن ماژول نظارت، منتظر یک ماژول دراپ برای آغاز اشتراک گذاری داده های ضبط شده با دیگر ماژول هایی که از named pipe استفاده می کردند، می ماند.

ماژول جمع آوری فعالیت های صفحه نمایش

این ماژول از هر دو رابط گرافیکی ویندوز (GDI) و API برای ضبط فعالیت های صفحه ی قربانی استفاده می کند. این کار با استفاده از توابع CreateCompatibleBitmap و GdipCreateBitmapFromHBITMAP انجام می شود.

از این پس ماژول به named pipe که توسط ماژولی که در بالا آن را شرح دادیم متصل می شود و داده ها را در آن جا می نویسد.

ماژول ارتباطی C&C با کنسول backconnect

ماژول ارتباطی C&C همانند دیگر ماژول‌ها، یکی از سرویس‌های ویندوز است. این ماژول، دسترسی backconnect را به دستگاه قربانی با استفاده از دستور فرمان کنسول فراهم می سازد که این ویژگی یکی از قابلیت های اصلی ماژول ارتباطی C&C است.

پس از گذشت این مرحله، این ماژول Windows API function names را رمزگشایی و آن ها را با استفاده از LoadLibrary بارگذاری و با استفاده از توابع GetProcAddress آن ها را انتخاب می کند.

پس از بارگذاری موفق تابع WinAPI، بدافزار تلاش می کند تا با استفاده از یک ادرس آی پی hardcoded به سرور C&C متصل شود.

بدافزار درخواست های خاصی را با شناسه ی خودش به سرور فرماندهی ارسال می کند و سپس منتظر پاسخ می ماند تا کدها برای عملیات اجرا شوند. این کدها به صورت زیر هستند:

  •   “htrjyytrn”: در زبان انگیسی به معنای "اتصال مجدد" می باشد.
  •   “htcnfhn” : در زبان انگیسی به معنای "راه اندازی مجدد" می باشد.
  •   “ytnpflfybq”: در زبان انگیسی به معنای "بدون وظیفه" می باشد.

در نهایت بدافزار دستورالعمل هایی را در مورد اینکه کدام کنسول ها فرمان اجرا می دهند، را دریافت می کند.

روش شرح داده شده به مجرمان اجازه می دهد تا بتوانند هر ماژول مخرب دیگری را نصب کنند. فعالیت مخرب می تواند به راحتی و با استفاده از دستور “sc create” کنسول صورت گیرد.

ابزار Winexecsvc

ما همچنین بر روی برخی از کامپیوترهای آلوده ابزاری را به نام "Winexesvc" یافتیم. این ابزار مشابه عملکرد ابزار شناخته شده ی “psexec” عمل می نماید. تفاوت اصلی آن این است که ابزار Winexesvc دستورات را از راه دور بر روی سیستم عامل لینوکس اجرا می کند. هنگامی که باینری "winexe" علیه ویندوز سرور ایجاد می شود، winexesvc.exe به عنوان یک سرویس ایجاد و نصب می شود.

چگونه می توان از کسب و کار خود در برابر حمله ی Silence محافظت نمود؟

همانطور که متوجه شدید یادآوری به کارمندان برای باز نکردن فایل های پیوست در ایمیل های خارجی کافی نیست. برای محافظت از موسسات مالی در برابر حملات سایبری امروزه توصیه می شود که:

  1.   به منظور افزایش آگاهی کارمندان خود نسبت به مسائل امنیت سایبری جلسات و کارگاه های آموزشی برگذارکنید؛
  2.   از راهکارهای امنیتی قوی که قادر به شناسایی تهدیدات در شبکه و زیرساخت ها هستند، استفاده کنید. راهکارهای امنیتی کسپرسکی برای کسب و کارها از وجود هرگونه تهدید در شبکه جلوگیری و فورا آن را مسدود می سازد.

راهکارهای امنیتی لابراتوار کسپرسکی تروجان Silence را با عنوان های زیر شناسایی کرده است:

  • Backdoor.Win32.Agent.dpke
  • Backdoor.Win32.Agent.dpiz
  • Trojan.Win32.Agentb.bwnk
  • Trojan.Win32.Agentb.bwni
  • Trojan-Downloader.JS.Agent.ocr
  • HEUR:Trojan.Win32.Generic

منبع: کسپرسکی آنلاین(ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    7,710,150 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    11,568,900 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    1,156,890 ریال11,568,900 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    77,167,650 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    10,914,750 ریال21,829,500 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    15,651,825 ریال31,303,650 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    16,743,300 ریال33,486,600 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    69,453,825 ریال138,907,650 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    222,256,650 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    83,345,325 ریال166,690,650 ریال
    خرید
  • Kaspersky Small Office Security

    267,018,150 ریال
    خرید
  • Kaspersky Small Office Security

    97,236,825 ریال194,473,650 ریال
    خرید
  • Kaspersky Small Office Security

    311,007,900 ریال
    خرید
  • Kaspersky Small Office Security

    111,128,325 ریال222,256,650 ریال
    خرید
  • Kaspersky Small Office Security

    355,769,400 ریال
    خرید
  • Kaspersky Small Office Security

    125,019,825 ریال250,039,650 ریال
    خرید
  • Kaspersky Small Office Security

    399,759,150 ریال
    خرید
  • Kaspersky Small Office Security

    127,335,075 ریال254,670,150 ریال
    خرید
  • Kaspersky Small Office Security

    407,476,650 ریال
    خرید
  • Kaspersky Small Office Security

    179,428,200 ریال358,856,400 ریال
    خرید
  • Kaspersky Small Office Security

    574,174,650 ریال
    خرید
  • Kaspersky Small Office Security

    231,521,325 ریال463,042,650 ریال
    خرید
  • Kaspersky Small Office Security

    740,872,650 ریال
    خرید
  • Kaspersky Small Office Security

    279,755,700 ریال559,511,400 ریال
    خرید
  • Kaspersky Small Office Security

    895,222,650 ریال
    خرید
  • Kaspersky Small Office Security

    530,574,450 ریال1,061,148,900 ریال
    خرید
  • Kaspersky Small Office Security

    1,697,842,650 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد