Backdoor.Egobot: کمپین موفق بدافزاری
Backdoor.Egobot تروجان مورد استفاده در کمپینهایی است که منافع کره را هدف حمله قرار میدهند. بررسیهای صورتگرفته توسط شرکت امنیتی سیمنتک حاکی از آن است که این کمپین از سال ۲۰۰۹ وارد عمل شده است و بهطور پیوسته با اضافهکردن قابلیتهای جدید در حال تحول است.
نفوذگران پشت این ماجرا از چهار قانون طلایی برای راهاندازی کمپین هدفمند خود استفاده میکنند:
شناسایی هدف
سوءاستفاده از هدف (برای رها کردن کد مخرب)
انجام فعالیتهای مخرب (که در این مورد همان سرقت است)
فرار از شناسایی
Egobot مدیران شرکتهای کرهای و نیز مدیرانی را که با کرهجنوبی تعاملات تجاری دارند هدف قرار داده است.
صنایعی که Egobot به آنها علاقه نشان داده عبارتند از:
امور مالی و سرمایهگذاری
زیرساخت و توسعه
سازمانهای دولتی
پیمانکاران دفاعی
اهداف Egobot در سراسر جهان، در کشورهایی همچون کره، استرالیا، روسیه، برزیل و آمریکا استقرار دارند. هدف کمپین Egobot سرقت اطلاعات محرمانه از رایانههای تحت نفوذ است.
سوءاستفاده
مهاجمان اطلاعات مربوط به اهداف خود را به کمک رویکردهای مهندسی اجتماعی پیشین خود جمعآوری نمودهاند تا به این ترتیب قربانیها را به دام بیاندازند. در این جریان رایانامههای اسپیر - فیشینگ به کاربران ارسال میشود، رایانامههایی که اغلب وانمود میکنند از سوی فردی آشنا فرستاده شدهاند. رایانامههای اسپیر – فیشینگ دربرگیرندهی یک پیام فریبنده و یا مرتبط با قربانی هستند و به این صورت او را تشویق به باز نمودن پروندهی پیوست مخرب مینمایند. محتوای مخرب ممکن است یک پروندهی lnk. میانبر باشد که به پروندهای اشاره دارد که در سرویس میزبانی وب GeoCities ژاپن میزبانی میشود.
پروندههای پیوست مخرب گوناگونی در این کمپین استفاده شده است:
پروندههای lnk.: تا به حال نیز شاهد استفاده از چنین شیوهای بودهایم، اما این مهاجمان از 1MSHTA نیز برای بارگیری پروندهی دیگری در سامانه کمک میگیرند.
پروندههای doc.: سوءاستفاده از آسیبپذیریهای زیر:
آسیبپذیری سرریز بافر پروندهی RTF در مایکروسافت آفیس (CVE-2010-3333)
آسیبپذیری تخریب حافظه پروندهی SWF در ادوبی فلشپلیر (CVE-2011-0609)
پروندهی hwp.: حاوی اسکریپتی است که یک پروندهی مخرب را بارگیری میکند.
هنگامی که محتوای مخرب باز میشود، فرآیند بارگیری سهمرحلهای زیر اجرا میشود:
مرحلهی ۱: بارگیری یک پروندهی HTML ناشناس
هر یک از پروندههای پیوست، بدافزاری را از وبگاههای میزبانیشده در GeoCities ژاپن بارگیری میکند. این پروندههای HTML ناشناس که یک پروندهی اجرایی را در سامانه رها میکنند دارای انواع متفاوتی هستند، ولی معمولاً نام همهی آنها update[YYYYMM].xml است.
مرحلهی ۲: بارگیری آرشیو RAR
پروندهی اجرایی که در مرحلهی ۱ رها شده، پروندهی دیگری را از میزبان وب GeoCities ژاپن بازیابی میکند. این پرونده که یک آرشیو RAR قابل اجراست، hotfix[YYYYMM].xml نام دارد. هر دو پروندهی بارگیریشده در دو مرحلهی قبل اسناد XML تشخیص داده میشوند تا پروندهای خالی از اشکال جلوه کرده و مشکوک به نظر نرسند.
مرحلهی ۳: بارگیری مؤلفهی در پشتی
پروندهی اجرایی RAR مسئول آمادهسازی سامانه است. این پرونده مجموعهای از پروندههای دیگر را که وظیفهی انتشار پروندهها را بر عهده دارند، رها میکند؛ همچنین مؤلفهای را به فرآیندها تزریق میکند و اطلاعات سامانهای زیر را میرباید:
نسخهی ویندوز
نسخهی سرویسپک نصبشده
زبان مورد استفاده
نام کاربری
اطلاعات سرقتی با قالب زیر در کارگزار فرماندهی و کنترل Egobot قرار میگیرد:
اطلاعاتی که به کارگزار فرماندهی و کنترل بازپس فرستاده میشوند با استفاده از یک کلید تعبیهشده در بدافزار رمزگذاری میشود. سیمنتک این دو کلید خاص را رؤیت نموده است:
در پایان پروندهی اجرایی RAR، مؤلفهی آخر را از GeoCities ژاپن بارگیری میکند. این پروندهی بارگیریشده با توجه به مقدار arg1 موجود در دستور GET، که به کارگزار C&C فرستاده شده، نامگذاری میشود. در این قسمت Egobot سعی میکند پروندهای به نام 1irst.tmp را، که همان کد مخرب اصلی است، بارگیری نماید.
سرقت اطلاعات
این کد مخرب قابلیتهای ویژهای دارد که احتمالاً برای مدیران بخشهای تجاری فاجعهبار هستند. این قابلیتها عبارتند از:
ضبط ویدئو
ضبط صوت
تهیهی اسکرینشات
بارگذاری پروندهها در یک کارگزار راه دور
به دست آوردن فهرست اسنادی که اخیراً استفاده شدهاند
جستوجوی یک رشته یا الگو در یک پرونده
پاکسازی و تنظیم نقاط بازیابی
اطلاعات ربودهشده روی کارگزار راه دوری بارگذاری میشود که در مالزی، هنگکنگ، و کانادا میزبانی میگردد. مهاجمان کد مورد استفادهی خود را بهروز کردهاند تا از نسخههای ۶۴ بیتی بسترها نیز پشتیبانی شود.
جلوگیری از شناسایی
Egobot به کمک ابزارهای بستهبندی تجاری exe32pack و UPX، در پوشش یک بایگانی RAR که با مؤلفههای گوناگونی همراه است، در سامانه بارگیری میشود. مؤلفههای زیر برای مخفی نمودن حضور بدافزار در سامانه مورد استفاده قرار میگیرند:
مؤلفهی تغییر مسیر: Backdoor.Egobot با استفاده از یک نسخهی قدیمیِ بستهی نرمافزاری Detours مایکروسافت کامپایل شده است، این نرمافزار شامل پروندهی detoured.dll میباشد. این پرونده برای ضمیمهنمودن پروندههای مخرب dll. به پروندههای باینری Win32 استفاده میشود. Egobot میتواند به کمک این پرونده خود را در حافظهی یک فرآیند مُجاز اجرا نماید، و طوری ظاهرسازی کند که گویا یک فرآیند بیاشکال و معمول است.
مؤلفهی هماهنگکننده: آمادهسازی پروندهها با انتقال آنها به پوشههای مربوطه و تزریقشان به فرآیندهای مُجاز. معمولاً Backdoor.Egobot در فرآیندهای explorer.exe ،subst.ex و alg.exe تزریق میشود.
عملکرد زمانسنج: برخی نسخههای مؤلفهی این در پشتی مجهز به یک قابلیت زمانسنج هستند که به واسطهی آن، تروجان میتواند پس از طی یک مدتزمان مشخص خود را پاک کند. این ویژگی هرگونه ردی از Backdoor.Egobot را نابود میکند.