شرح کلی
نوع: APT
اسامی بدافزار:
Trojan.Win32.APT27
درجه تخریب: زیاد
میزان شیوع: متوسط
APT چیست؟
APT خلاصه شده کلمه Advanced Persistent Threat و به معنای تهدید مداوم پیشرفته میباشد. همانطور که از نام آن انتظار میرود، این تهدید از تکنیکهای هک مداوم، مخفیانه و پیشرفته برای دستیابی به یک سیستم استفاده میکند و برای مدت زمانی طولانی با پیامدهایی مخرب در داخل سیستم کاربران باقی میماند. بر خلاف حملات سایبری متداول و سطح پایین که عمدتا توسط هکرهای کلاه سیاه و با هدف نفوذ سریع به سیستم و نیل به اهداف مالی در سریعترین زمان ممکن صورت میگیرند، حملات APT به اهدافی با ارزش اطلاعاتی بالا مانند سازمانهای دولتی و شرکتهای بزرگ صورت میگیرد و هدف نهایی مهاجمان، سرقت اطلاعات در طی یک دوره طولانی مدت میباشد. از دیگر مشکلات آلودگی به بدافزارهای APT، احتمال باقی گذاشتن backdoor یا درب پشتی توسط مهاجمان برای بازگشت در زمان دلخواه است.
بدافزار APT27 چیست؟
گروه Emissary Panda که با نامهایی نظیر APT27 ،Bronze Union ،TG-3390 و Lucky Mouse هم شناخته میشود، یک گروه تهیه و تولید بدافزاراست که در حدود 10 سال گذشته در حال فعالیت بوده است و اکثر تولیدات آن بدافزارهایی است که به منظور جاسوسی و سرقت اطلاعات طراحی و ساخته شدهاند. از اهداف گذشتهی این گروه میتوان به کشورهای امارات متحده، عربستان سعودی و مغولستان اشاره کرد.
موج جدید حملات این گروه در سال 2019 میلادی آغاز شده و تا کنون در کشورهای مختلفی مانند مغولستان، امارات، و نیز کشورمان ایران حملات گزارش شده است.
توضیحات فنی
علائم آلودگی
علائمی که پس از آلودگی سیستم مشاهده میشوند شامل موارد زیر میباشند:
• مشاهده کلیدهای رجیستری در مسیرهای HKLM\Software\classes و HKCU\Software\classes که شامل پسوندهای زیر باشند. در داخل این کلیدها تعدادی رشته به صورت رمز شده ذخیره میشوند.
D9B449EC8D04883DC38EB2ADBF2783FB
DHSFSGD375678FDHS237826WFS278346
ll37389743nxshkhjhgee
HjDWr6vsJqfYb89mxxxx
• مشاهده فایلهایی با عناوین و مسیرهای زیر:
مسیرهای زیر در سیستمهای آلوده مشاهده شدهاست. به غیر از مورد اول که وجود آن مبنی بر آلودگی حتمی است، سایر موارد در سیستمهای سالم نیز مشاهده میشوند، چرا که بدافزار فایلهای آلوده خود را در مسیرهای زیر و با نام فایلهای سالم کپی میکند. بنابراین مشاهده سایر مسیرها دلیل قطعی بر آلودگی سیستم نخواهد بود.
sys.bin.url
C:\ProgramData\systemconfig\INISafeWebSSO.exe
C:\ProgramData\systemconfig\kwpsinvfy.exe
C:\ProgramData\vf_host\VFTRACE.dll
C:\ProgramData\plugin_host\PYTHON33.dll
C:\Windows\AppPatch\Custom\GameuxInstallHelper.dll
C:\ProgramData\vf_host_update\VFTRACE.dll
C:\ProgramData\VFTRACE.dll
C:\ProgramData\ThunderBrowser\libcef.dll
C:\Program Files\Silverlight\sllauncher.exe
C:\Program Files\Silverlight\sllauncherENU.dll
C:\Program Files\Silverlight\thumb.dat
C:\WINDOWS\pcawhere\thinprobe.exe
C:\WINDOWS\pcawhere\thinhostprobedll.dll
C:\WINDOWS\pcawhere\thumb.db
C:\Documents and Settings\All Users\Application Data\sysupdate\pdh.dll
C:\Documents and Settings\All Users\Application Data\sysupdate\kwpsinvfy.exe
C:\Users\All Users\sysupdate\pdh.dll
C:\Users\All Users\sysupdate\kwpsinvfy.exe
• لیست commandهای خوداجرا (autorun) در سیستمهای آلوده به شرح زیر میباشد:
"C:\ProgramData\systemconfig\INISafeWebSSO.exe" /update
"C:\ProgramData\systemconfig\kwpsinvfy.exe" /update
"C:\Documents and Settings\All Users\Application Data\systemconfig\gdf.exe" /update
• ساخت یک Mutex خاص با نامی مشخص توسط بدافزار با استفاده از Username و رشتهی Defender
شرح عملکرد
این بدافزار از یک حملهی کلاسیک با نام dll Hijacking استفاده میکند. پکیج بدافزارشامل یک فایل اجرایی سالم، یک فایل dll و یک فایل دیتا (مجموعا سه فایل) در کنار یکدیگر میباشد.
مکانیزم عملکرد به این شکل است که فایل اجرایی که فایل نرمافزار سالم و شناخته شده میباشد، جهت عملکرد خود به یک dll کمکی احتیاج داشته و به محض اجرا فایل dll را بارگذاری میکند. در این نوع حمله یک dll آلوده به جای dll اصلی در کنار فایل اجرایی قرار میگیرد تا فایل اجرایی سالم برای اجرای خود به اشتباه فایل آلوده را بارگذاری کند و ناخواسته سبب اجرای کد آلوده شود. جهت جلوگیری از تشخیص، کد اصلی بدافزار نیز در داخل dll قرار نمیگیرد بلکه dll آلوده صرفا نقش مترجم و رمزگشای یک فایل دیتای رمزشده در کنار فایل اصلی را بر عهده دارد. بسیاری از exeهای سالم به این منظور مورد استفاده قرار میگیرند که از نمونههای آن میتوان به sllauncher.exe ،thunderbrowser.exe ،gdf.exe و vf_host.exe اشاره کرد. به همین علت، شناسایی بدافزارهای APT توسط روشهای حفاظتی متداول سیستم، کاری سخت و دشوار است که نیازمند تکنیکهای پیشرفتهتری خواهد بود.
پس از شروع اجرا به وسیلهی فایل اجرایی، برنامه تابعی از dll را فراخوانی میکند که با این کار، رمزگشایی محتوای رمز شده توسط dll انجام و محتوای آن روی حافظه ذخیره میشود. در پایان، dll با استفاده از یک پرش، اجرا را به سمت اجرای کد رمزگشایی شده مخرب هدایت میکند.
این نسخه همانند سایر APTها، دارای سرورهای فرماندهی و کنترل (Command and Control) بوده که میتواند دستورات را از سرور دریافت و اطلاعات درخواستی را برای سرور ارسال کند.
روش مقابله و پاکسازی سیستم
آنتی ویروس پادویش این بدافزار را با نام Trojan.Win32.APT27 شناسایی و از سیستم حذف میکند. برای اطمینان از عدم آلودگی به این بدافزار، از پویش سریع پادویش استفاده کنید و در صورت مشاهده لاگ، به تیم پشتیبانی پادویش اطلاع دهید.