اخبار فناوری اطلاعات
تروجانی که سازمانهای مالی را مورد هدف قرار داده
قربانیان این حمله، بانکهای روسیه بودند اما چند مورد آلودگی در سازمانهای مالزی و ارمنستان نیز مشاهده شد. از نظر تاکتیکی این حمله بسیار شبیه حمله پیشرفته notorious Carbanak بود، حملهای که در آن ایمیلهای فیشینگ با پیوستهای مخرب به کارکنان بانکها و سازمانهای مالی ارسال شد و به دنبال جاسوسی از کاربران، حمله به طور ناگهانی به معامله ای جعلی تبدیل گشت. با استفاده از این روش مجرمان توانستند میلیاردها دلار پول بدست آورند و همین انگیزهای برای تکرار این حمله شده است.
به گزارش ایتنا از کسپرسکی آنلاین، با این حال و با گذشت زمان، مجرمان حمله فیشینگ را کاملتر و جامعتر از قبل عملی ساختند. پس از آلوده شدن و محکم کاری در زیرساختهای یک سازمان، مجرمان به ارسال “قرارداد” بین شرکای بانک اقدام نمودند. قربانی بعدی، پیام فیشینگ را از طریق آدرس لینک شخص واقعی که در بانک فعالیت میکند، دریافت میکند. احتمال کلیک کردن بر روی لینک از این طریق میتواند بسیار بالا باشد.
تروجان Silence چگونه عمل میکند؟
قربانی یا یک کارمند مالی “قرارداد” را که فایل ضمیمه شدهای با فرمت chm. است را باز میکند. فایل HTML جاسازی شده، شامل کد جاوا اسکریپت مخربی است که یک دراپر را بارگذاری و فعال میسازد و سپس ماژول تروجان Silence را که به عنوان سرویس دهندههای ویندوز عمل میکند را بارگذاری می کند. ما در بین دستورات این حمله ماژولهایی برای کنترل و نظارت، ضبط صفحه نمایش و ارتباط با سرورهای کنترل به علاوه برنامههایی برای اجرای دستورات از راه دور کنسول یافتیم.
این ماژولها به مجرمان اجازه جمع آوری اطلاعات از شبکه و ضبط تصاویر از صفحه ی نمایش کاربران را می دهد. مجرمان در ابتدا همه آنها را نظارت میکنند، پس از اینکه متوجه شدند اطلاعات مالی مفیدی هستند بر روی آنها تمرکز کرده و اولویت خود را روی آنها قرار میدهند. هنگامی که مجرمان شناخت کاملی نسبت به نحوه عملکرد سیستم های اطلاعاتی قربانیان بدست آوردند، دستور انتقال وجه به حسابهای خود را از حسابهای قربانیان میدهند.
جزئیات فنی
مجرمان سایبری با استفاده از تروجان Silence ایمیلهای فیشینگ را به عنوان بردارهای آلوده ارسال می کنند، آنها اغلب با استفاده از آدرس ایمیلهای کارمندانی که قبلا آلوده شدهاند، عملیات فیشینگ را انجام میدهند. پیامی که در ایمیل نمایان میشود درخواستی کاملا روتین و معمولی است. مجرمان با استفاده از فریب مهندسی اجتماعی به کاربران ثابت میکنند که همه چیز طبیعی است و هیچ مورد مشکوکی وجود ندارد.
فرمت chm. مخرب
پیوستی که ما در این حمله فیشینگ شناسایی کردیم یک فایل “Microsoft Compiled HTML Help” است. این فایل یک قالب اختصاصی مایکروسافت است که شامل مجموعه ای از صفحات HTML، نمایهسازی و دیگر ابزارهای نویگیشن میشود. این فایل ها به صورت فشرده شده و با فرمت باینری در پسوند chm. قرار گرفته است. فایلهای مخرب مذکور تعاملی هستند و قادرند یک نمونه از تکنولوژی های شامل جاوا اسکریپت را اجرا کنند.
به عنوان مثال پس از باز کردن فرمتchm. میتواند قربانی را به سمت یک URL خارجی هدایت نماید. مجرمان به اکسپلویت فایلهای CHM برای بارگیری خودکار پیلودهای مخرب اقدام میکنند. هنگامی که فایل پیوست توسط قربانی باز میشود، محتویات جاسازی شده ی htm. اجرا میشود. این فایل شامل جاوا اسکریپت است و هدف اصلی آن دانلود و اجرای یک مرحله دیگر از یک hard coded URL است.
هدف اسکریپت دانلود و اجرای یک VBS script مبهم است که مجدداً به دانلود و اجرای دراپر میپردازد.
دراپر
دراپر یک فایل باینری win32 قابل اجرا است که هدف آن برقراری ارتباط با سرور فرمان و کنترل (C & C)، ارسال شناسه ی دستگاه آلوده و در نهایت دانلود و اجرای پیلودهای مخرب است.
پس از اجرا دراپر با استفاده از یک درخواست GET به سرور (C & C) متصل میشود و شناسه قربانی را ارسال، پیلودها را دانلود و آنها را با استفاده از تابع CreateProcess اجرا میکند.
پیلودها
پیلودها تعدادی از ماژولها هستند که بر روی سیستم آلوده به منظور انجام برخی وظایف همانند ضبط صفحهی نمایش، آپلود دادهها و غیره اجرا میشوند. تمام ماژولهای پیلودی که ما قادر به شناسایی آن ها بودیم، به عنوان سرویسهای ویندوز ثبت شده بودند.
نظارت و کنترل ماژول
وظیفه اصلی این ماژول نظارت بر فعالیت قربانی است. برای انجام این کار چندین اسکرین شات از صفحه نمایش فعال قربانی گرفته میشود و شبه ویدئویی از تمام فعالیتهای قربانی ارائه میشود. این یک تکنیکی است که مشابه آن در پرونده Carbanak مورد استفاده قرار گرفته بود و توانسته بود فعالیت روزمره قربانی را ضبط کند.
این ماژول توسط یک سرویس ویندوز با نام “Default monitor” ثبت و آغاز می شود. پس از راهاندازی اولیه، آن یک pipe با یک مقدار سختافزاری – “\\.\pipe\{73F7975A-A4A2-4AB6-9121-AECAE68AABBB}”. ایجاد میکند که از آن برای اشتراک گذاری دادهها در ارتباطات مخرب بین پردازش ماژولها مورد استفاده قرار میگیرد.
بدافزار، دادههای مسدود شده را رمزنگاری و آنها را عنوان یک فایل باینری با اسم hardcoded “mss.exe” در یک مکان موقت در ویندوز ذخیره و سپس آن را با استفاده از تابع CreateProcessAsUser اجرا میکند.
این دراپر باینری ماژولی است که مسئول ضبط فعالیتهای صفحه نمایش است. پس از آن ماژول نظارت، منتظر یک ماژول دراپ برای آغاز اشتراک گذاری دادههای ضبط شده با دیگر ماژولهایی که از named pipe استفاده میکردند، میماند.
ماژول جمعآوری فعالیتهای صفحه نمایش
این ماژول از هر دو رابط گرافیکی ویندوز (GDI) و API برای ضبط فعالیتهای صفحه قربانی استفاده میکند. این کار با استفاده از توابع CreateCompatibleBitmap و GdipCreateBitmapFromHBITMAP انجام میشود.
از این پس ماژول به named pipe که توسط ماژولی که در بالا آن را شرح دادیم متصل میشود و دادهها را در آن جا مینویسد.
ماژول ارتباطی C & C با کنسول backconnect
ماژول ارتباطی C & C همانند دیگر ماژولها، یکی از سرویسهای ویندوز است. این ماژول، دسترسی backconnect را به دستگاه قربانی با استفاده از دستور فرمان کنسول فراهم میسازد که این ویژگی یکی از قابلیتهای اصلی ماژول ارتباطی C & C است.
پس از گذشت این مرحله، این ماژول Windows API function names را رمزگشایی و آنها را با استفاده از LoadLibrary بارگذاری و با استفاده از توابعGetProcAddress آنها را انتخاب میکند.
پس از بارگذاری موفق تابع WinAPI، بدافزار تلاش میکند تا با استفاده از یک ادرس آی.پی hardcoded به سرور C & C متصل شود.
بدافزار درخواستهای خاصی را با شناسه خودش به سرور فرماندهی ارسال میکند و سپس منتظر پاسخ میماند تا کدها برای عملیات اجرا شوند. این کدها به صورت زیر هستند:
- htrjyytrn”: در زبان انگیسی به معنای “اتصال مجدد” میباشد.
htcnfhn” : در زبان انگیسی به معنای “راه اندازی مجدد” میباشد.
ytnpflfybq”: در زبان انگیسی به معنای “بدون وظیفه” میباشد.
در نهایت بدافزار دستورالعملهایی را در مورد اینکه کدام کنسولها فرمان اجرا میدهند، را دریافت میکند.
روش شرح داده شده به مجرمان اجازه میدهد تا بتوانند هر ماژول مخرب دیگری را نصب کنند. فعالیت مخرب میتواند به راحتی و با استفاده از دستور “sc create” کنسول صورت گیرد.
ابزار Winexecsvc
ما همچنین بر روی برخی از کامپیوترهای آلوده ابزاری را به نام “Winexesvc” یافتیم. این ابزار مشابه عملکرد ابزار شناخته شده “psexec” عمل مینماید. تفاوت اصلی آن این است که ابزار Winexesvc دستورات را از راه دور بر روی سیستم عامل لینوکس اجرا میکند. هنگامی که باینری “winexe” علیه ویندوز سرور ایجاد میشود، winexesvc.exe به عنوان یک سرویس ایجاد و نصب میشود.
چگونه میتوان از کسب و کار خود در برابر حمله Silence محافظت نمود؟
همانطور که متوجه شدید یادآوری به کارمندان برای باز نکردن فایلهای پیوست در ایمیلهای خارجی کافی نیست. برای محافظت از موسسات مالی در برابر حملات سایبری امروزه توصیه میشود که:
- به منظور افزایش آگاهی کارمندان خود نسبت به مسائل امنیت سایبری جلسات و کارگاههای آموزشی برگذارکنید؛
از راهکارهای امنیتی قوی که قادر به شناسایی تهدیدات در شبکه و زیرساختها هستند، استفاده کنید. راهکارهای امنیتی کسپرسکی برای کسبوکارها از وجود هرگونه تهدید در شبکه جلوگیری و فورا آن را مسدود میسازد.
راهکارهای امنیتی لابراتوار کسپرسکی تروجان Silence را با عنوانهای زیر شناسایی کرده است: Backdoor.Win32.Agent.dpke
Backdoor.Win32.Agent.dpiz
Trojan.Win32.Agentb.bwnk
Trojan.Win32.Agentb.bwni
Trojan-Downloader.JS.Agent.ocr
HEUR:Trojan.Win32.Generic
منبع : ایتنا