Backdoor.Win32.JackalControl

شرح کلی

نوع: تروجان (Trojan)
درجه تخریب: زیاد
میزان شیوع: متوسط

اسامی بدافزار

Backdoor.Win32.JackalControl.ap (Padvish)
HEUR:Trojan.MSIL.Agent.gen (Kaspersky)
A Variant Of MSIL/Small.DF (Eset)

بدافزار درب پشتی (Backdoor) چیست؟

بدافزارهای درب پشتی برنامه‌هایی هستند که امکان دور زدن مکانیزم‌های امنیتی یک سیستم را به هکرها داده و منابع مختلفی از آن سیستم را از راه مربوطه در اختیار نفوذگران قرار می‌دهند. هکرها می‌توانند با استفاده از این روش، بدون نیاز به اعتبارسنجی وارد سیستم مورد نظر شده و از تغییر نام کاربری و رمز عبور نگرانی نداشته باشند. بدافزارهای درب پشتی اشکال مختلفی دارند که هکرها بنابر اهداف خود از نفوذ به منابع یک سیستم از آنها استفاده می‌کنند.

بدافزار JackalControl چیست؟

Golden Jackal نام یک گروه هکری می‌باشد که چندین بدافزار به زبان دات‌نت توسعه داده‌اند و آن‌ها را به قصد هدف قرار دادن سازمان‌ها و ارگان‌هایی خاص در منطقه خاورمیانه و جنوب آسیا استفاده کرده‌اند. محدوده مورد هدف، براساس محتوای درون یک فایل word آلوده به عنوان یکی از روش‌های انتشار این خانواده بدافزاری، استنباط شده است. این گروه پنج بدافزار به نام‌های JackalControl، JackalSteal، JackalScreenWatcher، JackalPerInfo و JackalWorm را توسعه داده‌اند. گزارش پیش رو به شرح عملکرد بدافزار JackalControl از این خانواده می‌پردازد.

توضیحات فنی

علائم آلودگی

بسته به آرگومان‌های دریافتی یکی از علائم زیر درون سیستم اتفاق می‌افتد:

  • ایجاد یک تسک درون سیستم که یک کپی از بدافزار را در یکی از مسیرهای %ALLUSERSPROFILE% و %Temp% اجرا می‌کند.
  • ایجاد یک کلید رجیستری در مسیر HKEY_Current_User \Software\Microsoft\Windows\CurrentVersion\Run
  • ایجاد یک سرویس از طریق ابزار sc.exe سیستم‌عامل ویندوز

شرح عملکرد

بدافزار براساس آرگومان‌های دریافتی از خط فرمان، یکی از عملیات زیر را بر روی سیستم انجام می‌دهد.
/h0: ایجاد تسک جهت اجرای فایل بقای بدافزار
/h1: ایجاد یک مقدار در کلید رجیستری RUN جهت اجرای فایل بقای بدافزار
/h2: ایجاد یک سرویس جهت اجرای بدافزار
/r0: اجرا به صورت پردازه استاندارد از طریق تسک زمانبندی شده
/r1: اجرا به صورت پردازه استاندارد از طریق کلید رجیستری RUN
/r2: اجرا به صورت سرویس

بدافزار در ادامه، جهت ایجاد یک شناسه (ID) سه مقدار زیر را از درون سیستم استخراج می‌کند:

  • UUID
  • Machine GUID
  • SerialNumber مربوط به PHYSICALDRIVE0

استخراج مقدار UUID را جهت ایجاد یک شناسه (ID) از درون سیستم

استخراج مقدار Machine GUID را جهت ایجاد یک شناسه (ID) از درون سیستم

استخراج مقدار Machine GUID را جهت ایجاد یک شناسه (ID) از درون سیستم

با استفاده از این پارامترها، شناسه‌‍‌ای‌ از طریق الگوریتم نشان داده شده در تصویر زیر ایجاد می‌شود که در ادامه در الگوریتم رمزگذاری استفاده خواهد شد.

این الگوریتم رمزگذاری که DES در حالت CBC

این الگوریتم رمزگذاری که DES در حالت CBC می‌باشد، به عنوان یکی از مراحل رمزگذاری داده‌ها قبل از ارسال به سرور بدافزار، مورد استفاده قرار می‌گیرد.

در صورتی که بدافزار بدون آرگومان ورودی درون سیستم اجرا شود، روال ایجاد شناسه (ID) تکرار شده و بعد از ارسال داده‌ها به سرور، فرآیند بقای بدافزار درون سیستم به صورت زیر طی خواهد شد:

1️⃣ بدافزار پوشه‌های درون مسیر %ALLUSERSPROFILE% را از سیستم جاری استخراج می‌کند و یک کپی از بدافزار، درون یکی از پوشه‌های لیست که به صورت تصادفی انتخاب می‌شود، قرار می‌دهد.
الگوی نام‌گذاری فایل بقای بدافزار به صورت زیر است:

Launcher.exe + نام یک پوشه به صورت تصادفی در مسیر + %ALLUSERSPROFILE%

مثال: MicrosoftLauncher.exe

در نمونه‌های قدیمی‌تر بدافزار، رشته کاراکتری ثابت Update.exe به جای Launcher.exe در الگوی بالا استفاده شده است.

2️⃣ در صورتی که فرآیند کپی در مرحله بالا موفقیت‌آمیز نباشد، پوشه‌های زیر جستجو می‌شوند و بقای بدافزار درون یکی از آن‌ها کپی خواهد شد:

Google▪️
Viber▪️
AdGuard▪️
WinZip▪️
WinRAR▪️
Adobe▪️
CyberLink▪️
Intel▪️

3️⃣ اگر روال بالا نیز ناموفق باشد، درون یکی از مسیرهای زیر کپی انجام خواهد شد:

%ALLUSERSPROFILE%▪️
%LOCALAPPDATA%▪️
%Temp%▪️

4️⃣ پس از اتمام فرآیند کپی، یک تسک جهت اجرای فایل بقای بدافزار به صورت دوره‌ای ایجاد خواهد شد. فایل تسک در کنار فایل بقای بدافزار ایجاد می‌شود و پس از ایجاد موفقیت‌آمیز تسک، فایل اولیه حذف خواهد شد.

ایجاد Task جهت اجرای فایل بقای بدافزار به صورت دوره‌ای

نحوه ارتباط بدافزار با سرور کنترل و فرمان (c & c)

بدافزار قبل از اخذ ارتباط اولیه با سرور خود، شناسه (ID) سیستم قربانی را به همراه اطلاعات زیر جمع‌آوری می‌کند:

Computer name▪️
OS version▪️
Domain▪️
User▪️
Local time▪️
Interfaces(DESC, TYPE, MAC, IP, GW, DNS, DHCP, DOMAIN)▪️
Remote IP▪️
Current directory▪️
Drives▪️
Applications▪️
Processes▪️

سپس کلیه اطلاعات با فرمت زیر رمزگذاری شده و به سرور بدافزار ارسال می‌شوند:

base64 + base64 + DES + GZip

نمونه نهایی بسته‌ ارسالی به سرور بدافزار به صورت زیر است:

نمونه نهایی بسته‌ی ارسالی به سرور بدافزار

ارتباط با سرور به صورت https صورت می‌گیرد. دو نمونه زیر آدرس‌های ارتباطی بدافزار در این نسخه از بدافزار هستند:

hxxps://nassiraq.iq/wp-includes/class-wp-header-styles.php  🔗

hxxps://sokerpower.com/wp-includes/class-wp-header-styles.php 🔗

بدافزار پس از ارتباط با سرور مهاجم توانایی اجرای برنامه‌ها، دانلود فایل روی سیستم قربانی و آپلود فایل‌ بر روی آن را خواهد داشت.

کد دستور عملکرد
00 اجرای برنامه مورد نظر مهاجم روی سیستم قربانی
01 دانلود فایل
02 آپلود فایل‌

در این گزارش، تنها به یک نسخه از بدافزارهای خانواده Golden Jackal پرداخته شده است. اما همانگونه که قبلا ذکر شد، گروه هکری Golden Jackal دارای انواع مختلفی از بدافزارها و با اهداف متفاوتی هستند. بدین ترتیب مهاجمان آن جهت نیل به مقاصد خود می‌توانند مجموعه‌ای از آن‌ها را در کنار یکدیگر استفاده کنند.

روش مقابله و پاکسازی سیستم

آنتی‌ویروس پادویش، ارتباطات شبکه‌ای بدافزارهای مورد استفاده Golden Jackal را شناسایی و از آن‌ها جلوگیری می‌کند. همچنین نسخه‌های متفاوت این بدافزار را شناسایی و از سیستم حذف می‌کند.

✅ جهت پیشگیری از آلودگی احتمالی به این بدافزار از بازکردن ایمیل‌های ناشناس خودداری کرده و سیستم‌ عامل خود را به صورت مداوم به روزرسانی کنید.

✅ توصیه می‌شود، نرم‌افزارهای مورد نیاز خود را فقط از سایت‌ها و مراجع معتبر دانلود کنید.