Hacktool.Win32.BackdoorDiplomacy

شرح کلی

نوع: HackTool
درجه تخریب: زیاد
میزان شیوع: متوسط

اسامی بدافزار

  • padvish (Hacktool.Win32.BackdoorDiplomacy)
  • (Eset (Win32/Korplug.A
  • (Kaspersky (Backdoor.Win32.Gulpix.ab
  • (Microsoft (Trojan:Win32/Plugx.B

HackTool چیست؟

Hacktoolها ابزارهایی هستند که برای کمک به نفوذ طراحی شده‌اند. این ابزارها می‌توانند توسط یک نفوذگر برای دریافت برخی اطلاعات از شبکه سازمان قربانی استفاده شوند. معمولا از این ابزارها جهت بازیابی اطلاعات اعتبارسنجی سرورهای حساس قربانی استفاده می‌شود. به عنوان مثال هکر می‌تواند برای حدس زدن کلمات عبور از ابزارهای Hacktool مبتنی بر حملات Brute Force استفاده کند. در برخی موارد نیز برای بالا بردن سطح دسترسی و سوء استفاده از آسیب‌پذیری‌های موجود، از HackToolها استفاده می‌شود. به طور کلی ابزارهای هک برنامه‌هایی هستند که می‌توانند با شکستن سدهای امنیتی رایانه و شبکه، قابلیت‌های مختلفی برای نفوذ به سیستم‌ها مهیا کنند.

بدافزار BackdoorDiplomacy چیست؟

بدافزار BackdoorDiplomacy، ابزاری برای دسترسی از راه دور (RAT) است که امکان کنترل کامل سیستم قربانی را به نفوذگر می‌دهد. این بدافزار شامل مجموعه پلاگین‌هایی است که امکانات گسترده‌ای از جمله موارد زیر را برای مهاجم فراهم می‌سازد:

  • اعمال تغییرات بر روی فایل‌ها و پوشه‌ها
  • ثبت کلیدهای فشرده شده صفحه کلید
  • گرفتن عکس از دسکتاپ قربانی
  • اجرای فایل یا دستور اجرایی
  • دسترسی به پایگاه داده موجود بر روی سیستم قربانی و اجرای کوئری SQL بر روی آن

توضیحات فنی

علائم آلودگی

🔸وجود دایرکتوری \AllUsersProfile%\SxS% شامل فایل‌های زیر:

  • Nv.exe
  •  NvSmartMax.dll
  • NvSmart.chm یا فایل دیتا با پسوندهای متفاوت‌
  • فایل‌هایی با پسوند .plg 

🔸وجود سرویس و مدخل Autorun برای فایل اجرایی موجود در مسیر فایل‌های بدافزار

شرح عملکرد

فایل‌های بدافزار BackdoorDiplomacy ، غالبا شامل یک فایل کتابخانه‌ای مخرب و یک فایل دیتا می‌باشد که در واقع یک PE (فایل اجرایی) فشرده و مبهم است. بدافزار BackdoorDiplomacy برای اجرای خود از تکنیکی تحت عنوان DLL Hijacking استفاده می‌کند که در آن فایل‌های مخرب مذکور در کنار یک فایل اجرایی سالم قرار می‌گیرند. فایل کتابخانه‌ای مخرب بدافزار توسط فایل اجرایی سالم بارگذاری شده و از این طریق فایل دیتا نیز در حافظه بارگذاری، از حالت فشرده خارج و اجرا می‌شود که در نهایت منجر به اجرای اقدامات مخرب بدافزار می‌شود.
گونه‌ای از این بدافزار، از فایل قانونی Nv.exe مربوط به برنامه کاربردی NVIDIA، به منظور اجرای خود استفاده می‌کند. فایل‌های مربوط به این گونه از بدافزار شامل موارد زیر است:

نام فایل توضیحات
Nv.exe برنامه قانونی مربوط به برنامه کاربردی NVIDIA که فایل کتابخانه‌ای مخرب بدافزار را سهواً بارگذاری می‌کند.
NvSmartMax.dll یا Max.dll فایل کتابخانه‌ای مخرب بدافزار BackdoorDiplomacy که وظیفه بارگذاری فایل فایل دیتا و اجرای آن را برعهده دارد.
NvSmart.chm یا Nv.mpc فایل شبه کد که در واقع یک PE فشرده و مبهم شده است و شامل عملیات اصلی بدافزار BackdoorDiplomacy است.

عملیات شبکه

این بدافزار در ابتدای اجرای خود تلاش می‌کند که با سرورهای کنترل و فرمان خود ارتباط برقرار کند. بسته به پیکربندی اولیه این بدافزار، ارتباط با سرور از راه دور می‌تواند بر بستر یکی از پروتکل‌های TCP،UDP، ICMP یا HTTP انجام شود. بدافزار پس از متصل شدن به سرور خود، با توجه به دستوری که از مهاجم دریافت می‌کند، پلاگین مربوطه را اجرا می‌کند. در ادامه لیست سرورهای این بدافزار مشاهده می‌شود:

▪️picture[.]efanshion[.]com

▪️mail[.]popanalysis[.]com

▪️dl-adobe[.]com

پلاگین های بدافزار

همان‌طور که گفته شد، بدافزار BackdoorDiplomacy متشکل از تعدادی پلاگین است که هر کدام هدف مشخصی دارند. در جدول زیر، هدف هر پلاگین و دستورات قابل اجرا در هر پلاگین برای نمونه‌ای از این بدافزار فهرست شده است:

نام دستور زیر دستورها عملکرد
Option

▪️0x2000

▪️0x2001

▪️0x2002

▪️0x2003

▪️0x2005

▪️قفل کردن (سیستم کاربر) workStation

▪️درخواست اجبار به خاموش کردن سیستم

▪️راه‌اندازی مجدد (reboot) کردن سیستم

▪️درخواست خاموش کردن سیستم (به کاربر اجازه انجام فعالیت‌هایی پیش از خاموش شدن می‌دهد)

▪️درخواست نشان دادن پیغام‌های مورد نظر نفوذگر روی صفحه نمایش

Disk

▪️0x3000

▪️0x3001

▪️0x3002

▪️0x300A

▪️0x3004

▪️0x3007

▪️0x300D

▪️0x300C

▪️0x300E

▪️درخواست شمارش تعداد درایوها

▪️درخواست پیدا کردن فایل مورد نظر

▪️درخواست پیدا کردن فایل به صورت بازگشتی

▪️ایجاد یک دایرکتوری

▪️درخواست خواندن فایل

▪️درخواست نوشتن روی فایل

▪️درخواست کپی کردن/ تغییر نام دادن/ پاک کردن و جابه جا کردن فایل مورد نظر

▪️ایجاد یک desktop جدید و اجرای یک پردازه در آن

▪️درخواست expanded environment string

Screen

▪️0x4000

▪️0x4004

▪️0x4005

▪️0x4006

▪️0x4100

▪️درخواست توانایی‌های از راه دور مربوط به یک desktop

▪️ارسال رخدادهای مربوط به موس

▪️ارسال رخدادهای مربوط به صفحه کلید

▪️ارسال CTRL-Alt-Delete

▪️درخواست گرفتن یک تصویر از صفحه در لحظه کنونی (Screen Shot)

Process

▪️0x5000

▪️0x5001

▪️0x5002

▪️درخواست ایجاد یک فرآیند

▪️درخواست جهت شمارش فرآیندهای در حال اجرا

▪️از بین بردن و خاتمه دادن به کار یک فرآیند

Service

▪️0x6000

▪️0x6001

▪️0x6002

▪️0x6003

▪️0x6004

▪️ارسال یک query برای دریافت تنظیمات یک سرویس

▪️تغییر تنظیمات سرویس مورد نظر

▪️درخواست آغاز به کار یک سرویس

▪️درخواست کنترل یک سرویس

▪️درخواست پاک کردن یک سرویس

Shell 0x7002 درخواست آغاز به کار cmd
Telnet 0x7100 درخواست آغاز به کار سرویس مربوط به telnet
RegEdit

▪️0x9000

▪️0x9001

▪️0x9002

▪️0x9003

▪️0x9004

▪️0x9005

▪️0x9006

▪️0x9007

▪️شمارش کلید رجیستری‌های موجود

▪️ایجاد کلید مورد نظر

▪️پاک کردن کلید رجیستری مورد نظر

▪️کپی کردن کلید رجیستری مورد نظر

▪️شمارش مقدارهای موجود در کلید رجیستری خاص

▪️تنظیم مقداری برای یک کلید رجیستری

▪️پاک کردن یک مقدار کلید(value)

▪️قرار دادن یک مقدار برای value یک کلید

Nethood 0xA000 درخواست شمارش منابع شبکه
Portmap 0xB000 دستوری در جهت آغاز به انجام نگاشت درگاه‌ها (port mapping)
SQL

▪️0xC000

▪️0xC001

▪️0xC002

▪️درخواست دریافت اطلاعات مربوط به منابع داده

▪️درخواست دریافت توضیحات مربوط به driver‌ آن

▪️اجرای کوئری SQL

Netstat

▪️0xD000

▪️0xD001

▪️0xD002

▪️دریافت جدول مربوط به ارتباطات TCP

▪️دریافت جدول مربوط به ارتباطات udp

▪️تنظیم مقداری از جدول مربوط به ارتباطات TCP

Keylogger 0xE000 دستور آغاز به کار thread مربوط به keyLogger

روش مقابله و پاک‌سازی سیستم

✔️ آنتی ویروس پادویش این بدافزار را شناسایی و از سیستم حذف می‌کند. جهت پیشگیری از ورود این دست بدافزارها به سیستم پیشنهاد می‌شود از کلیک بر روی لینک‌های مشکوک خودداری نموده و فایل‌های پیوست ایمیل‌ها و دستگاه‌های قابل‌ حمل خود را قبل از استفاده حتما پویش کنید.

✔️ سیستم‌عامل و آنتی‌ویروس خود را همیشه به روز نگه دارید.