خبرهای مهم: سریعا ویندوز خود را آپدیت کنید!

تاریخ امروز برابر است با [ یکشنبه ۲ مهر ۱۳۹۶ ]

با گسترش حملات فیشینگ و کشف بدافزارهای پیوست شده در آن ها توسط محصولات آنتی ویروس، مجرمان اینترنتی همواره در صدد استفاده از روش های جدید برای پنهان کردن محموله مخرب خود هستند. از جمله بدافزار هایی که اخیرا با استفاده ازین روش خبرساز شده میتوان به dridex اشاره کرد.
در این نوشتار نگاهی داریم به روشی قدیمی که مجددا محبوب شده و توسط مجرمان اینترنتی در حال استفاده است.

 

مقدمه :

بسیاری از محصولات شرکت مایکروسافت، از جمله نرم افزار Office، بخشی با عنوان Visual Basic for Applications (VBA) دارند. فایل های حاوی کدهای VBA به فایل های Macro معروف هستند. کدهای VBA سبب سرعت بخشیدن به اموری می شوند که روالی تکرار شونده دارند.
بدافزارنویسان حدود یک دهه قبل بطور گسترده ای از فایل های Macro برای انتشار بدافزارهای خود سوء استفاده می کردند. همین موضوع سبب شد که شرکت مایکروسافت در نسخه های ۲۰۱۰ و ۲۰۱۵ نرم افزار Office امکان Macro را به صورت پیش فرض غیرفعال کند.

مسئله :

Visual Basic ماکرو هایی را برای اجرای فایل ها در هنگام باز شدن اسناد آفیس در نظر گرفته است . این ماکروها کلید یافتن کدهای مخرب هستند . اگرچه هدف از ایجاد آن ها برای مقاصد مشروع بوده است ، اما همیشه باید وجود خطر را در نظر داشت . از ماکروهای موجود برای Word میتوان به AutoOpen() و Document_Open() و برای Excel به Auto_Open() و Workbook_Open() اشاره کرد .

بطور کلی اسناد مخرب را میتوان به دو دسته زیر تقسیم کرد:

-اسناد حاوی کد اکسپلویت برای سو استفاده از آسیب پذیری موجود در برنامه مورد نظر (احتمالا مطالب مربوط به آنالیز آنها که اکثرا بوسیله شناسایی شل کد صورت میگیرد را دیده باشید)
– اسناد حاوی کدهای نهفته مخرب ، از جمله VBA macros یا JavaScript

اما نکته جالب در مورد استفاده از این روش در این است که تعداد زیادی از آنتی ویروس ها قادر به شناسایی فایل های مخرب ارائه شده توسط این اسناد ، نیستند . بطور مثال سندی که چند روز قبل بطور اتفاقی شناسایی و بهانه ایی برای نوشتن این مقاله شد را در وبسایت virus total مورد بررسی قرار میدهیم :

 

همان طور که مشاهده میکنید از بین ۵۵ آنتی ویروس تنها ۵ مورد قادر به شناسایی بدافزار هستند .
اگر این سند را باز کنید با چنین تصویری روبرو خواهید شد

 

متن نوشته شده به نظر میرسد به زبان فرانسوی باشد و از کاربر درخواست کرده تا برای به نمایش در آمدن تصویر ماکرو را فعال کند . هشدار امنیتی نرم افزار word نسبت به وجود ماکرو نیز قابل مشاهده است .

اکنون قصد داریم نگاهی دقیق تر به این فایل داشته باشیم
آن چه در نگاه اول توجه ما را جلب میکند وجود حرف m در پسوند این سند است که به معنی استفاده از ماکرو ها میباشد .
 

 

برای دیدن جزئیات بیشتر این سند با استفاده از winrar فایل های همراه با آن را استخراج میکنیم . کافی است روی فایل کلیک راست کرده و گزینه view file را انتخاب کنیم :

 

 

پس از باز کردن این سند در Word برای دیدن کدهای VBA باید به بخش developer مراجعه کنیم . پس از مراجعه به این قسمت مشاهده میشود که کدها با رمز عبور محافظت شده اند .

 

 

برای از بین بردن رمز عبور ، فایل vbaProject.bin را در یک برنامه hex editor باز کرده و سپس تگ “DPB” را جستجو میکنیم :

 

 

عبارتی که در مقابل “DPX” قرار گرفته در واقع رمز عبور رمزنگاری شده است ، کافی است آن را با عبارت رمز شده ایی که از قبل آن را میدانیم جایگزین کنیم .پس از اجرا در Word کد ها قابل مشاهده خواهند بود .

 

 

 

علاوه بر استفاده از auto open استفاده از chr و  xor برای درهم سازی کد ، جالب توجه است. با همین روش نسبتا ساده بسیاری از آنتی ویروس ها در شناسایی این سند ناتوان خواهند بود.
 
اکنون در محیط آزمایشگاه اقدام به باز کردن این سند و ضبط رفتار های آن میکنیم .
پس از باز کردن این سند ، فایلی به نام settledTeqOCqX.exe در پوشه temp ویندوز قرار داده میشود . نتیجه اسکن در virustotal :

 

 

 با نرم افزار pestudio اقدام به باز کردن این فایل میکنیم . در بخش version به اطلاعات جالبی برخورد میکنیم . این فایل با استفاده از برنامه launch4j فایل اصلی که به زبان جاوا بوده است را به فایل اجرا شدنی ویندوز (exe) تبدیل کرده است .

 

 

با مراجعه به وبسایت این برنامه و دانلود آن این موضوع بهتر مشخص میشود :

 

استخراج فایل اصلی جاوا از فایل اجرایی تولید شده توسط این نرم افزار نیز امکان پذیر است (اما همیشه موفقیت آمیز نیست) . در واقع این برنامه با افزودن برخی هدرها فایل اصلی جاوا را حفظ کرده و آن را در قالب یک فایل exe قرار میدهد. بدین منظور کافی است در برنامه hexeditor به دنبال عبارت PK بگردید که نشان دهنده ابتدای آرشیو jar می باشد، و سپس سایر قسمت های قبل از آن را حذف کرده و فایل را با پسوند .jar ذخیره می کنیم.

 

 

سپس اقدام به دیکامپایل فایل بدست آمده کردم که چنین نتیجه ایی داشت (کد خاصی در این مرحله بدست نیامد، جستجو در فایل ها هم صرفا به یافتن چند تابع مورد استفاده ختم شد)

 

 

در ادامه برای مشاهده لیست توابع مورد استفاده توسط این بد افزار از سندباکس VxStream استفاده کردم ، توابع زیر مربوط به دستکاری رجیستری هستند :

 

ADVAPI32.dll
SetSecurityDescriptorDacl
RegCreateKeyExW
RegFlushKey
RegCloseKey
GetUserNameA
RegQueryValueExA
RegEnumKeyExW
RegOpenKeyExW
InitializeSecurityDescriptor
RegSetValueExA
RegOpenKeyExA
RegQueryValueExW

 

 بنابراین با استفاده از نرم افزار regshot اقدام به بررسی رفتار های این فایل میکنیم .
نصب در startup:

دستکاری تنظیمات Lan setting

 

 

مورد بعدی که با کمک سندباکس VxStream  یافت شد، سرقت اطلاعات موجود در مرورگر پس از تزریق در پروسه ی explorer میباشد

 

توابع مربوط به ارتباطات شبکه :

 

 

با ابزار wireshark ارتباطات شبکه را مورد بررسی قرار دادم :

 

بدافزار قصد اتصال به دامنه commalgo.org را دارد .
به نظر میرسد این سرور قبلا توسط خرابکاران بعنوان سرور C&C استفاده شده باشد، اما هم اکنون غیر فعال است.
با مراجعه به وبسایت threat crowd میتوان لیست فایل های مرتبط با این دامنه را جستجو کرد

 

 

در لیست فایل ها ، امضای md5 فایلی که در حال بررسی آن هستیم وجود دارد ، با کلیک بر روی آن به اطلاعات بهتری میتوان دست پیدا کرد

 

 

به نقل از ویکی پدیا فارسی :

زئوس تروجان (یا تروجان Zbot)، یکی از قدیمی‌ترین خانواده بدافزارهای مالی در جهان است که همچنان به حیات خود ادامه می‌دهد. هدف اصلی از فعالیت آن سرقت و کلاه‌برداری از بانک‌ها است و در عین حال می‌تواند انواع مختلف اطلاعات شخصی را نیز به سرقت ببرد. لازم به ذکر است که Zeus این روزها توسط خالق اولیه خود توسعه نمی‌یابد.
در تاریخ ۱۴ ژوئیه ۲۰۱۰ شرکت امنیتی Trusteer گزارش داد که کارت های اعتباری بیش از ۱۵ بانک آمریکایی در معرض خطر حمله این بدافزار قرار دارند. لازم به ذکر است که این شرکت هیچ نامی از این بانک ها نبرد.
پس از گذشت حدوداً سه ماه از این گزارش ، FBI ( پلس فدرال آمریکا ) اعلام کرد مدارکی از وجود یک شبکه بزرگ جرائم اینترنتی حکایت می کند. این شبکه با استفاده از تروجان زئوس به سیستم های کامپیوتری کشور آمریکا نفوذ کرده و تابحال مبلغی در حدود ۷۰ میلیون دلار سرقت کرده است.
تاکنون بیش از ۱۰۰ نفر از افرادی که از این تروجان استفاده کرده اند دستگیر شدند که ۹۰ نفر از آنها آمریکایی و بقیه انگلیسی و اوکراینی هستند
زئوس اطلاعات مربوط به اکانت های شما در شبکه های اجتماعی ، سرویس های پست الکترونیک و موسسات مالی مثل بانک ها را هدف قرار می دهد.
طبق گزارشی که موسسه امنیتی Netwitness منتشر کرده است، وب سایت های زیر بیشترین آمار ربوده شدن اطلاعات اکانت کاربرانشان را دارا هستند: فیس بوک، یاهو،Hi5 ، Metroflag،Sonico ،Netlog

 

جمع بندی :

استفاده از ماکرو ها برای اجرای بدافزارهای پنهان شده در اسناد آفیس هم اکنون یک روش موثر توسط خرابکاران است و اخیرا استفاده از آن ها در سرور های نفوذ شده گزارش شده است  . پیشگیری از این روش مستلزم رعایت موارد امنیتی توسط کاربر و بهبود روش های شناسایی توسط آنتی ویروس ها میباشد .

:: نظرات

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد.

*