شرح کلی
نوع: HackTool
درجه تخریب: زیاد
میزان شیوع: متوسط
اسامی بدافزار
- padvish (Hacktool.Win32.BackdoorDiplomacy)
- (Eset (Win32/Korplug.A
- (Kaspersky (Backdoor.Win32.Gulpix.ab
- (Microsoft (Trojan:Win32/Plugx.B
HackTool چیست؟
Hacktoolها ابزارهایی هستند که برای کمک به نفوذ طراحی شدهاند. این ابزارها میتوانند توسط یک نفوذگر برای دریافت برخی اطلاعات از شبکه سازمان قربانی استفاده شوند. معمولا از این ابزارها جهت بازیابی اطلاعات اعتبارسنجی سرورهای حساس قربانی استفاده میشود. به عنوان مثال هکر میتواند برای حدس زدن کلمات عبور از ابزارهای Hacktool مبتنی بر حملات Brute Force استفاده کند. در برخی موارد نیز برای بالا بردن سطح دسترسی و سوء استفاده از آسیبپذیریهای موجود، از HackToolها استفاده میشود. به طور کلی ابزارهای هک برنامههایی هستند که میتوانند با شکستن سدهای امنیتی رایانه و شبکه، قابلیتهای مختلفی برای نفوذ به سیستمها مهیا کنند.
بدافزار BackdoorDiplomacy چیست؟
بدافزار BackdoorDiplomacy، ابزاری برای دسترسی از راه دور (RAT) است که امکان کنترل کامل سیستم قربانی را به نفوذگر میدهد. این بدافزار شامل مجموعه پلاگینهایی است که امکانات گستردهای از جمله موارد زیر را برای مهاجم فراهم میسازد:
- اعمال تغییرات بر روی فایلها و پوشهها
- ثبت کلیدهای فشرده شده صفحه کلید
- گرفتن عکس از دسکتاپ قربانی
- اجرای فایل یا دستور اجرایی
- دسترسی به پایگاه داده موجود بر روی سیستم قربانی و اجرای کوئری SQL بر روی آن
توضیحات فنی
علائم آلودگی
🔸وجود دایرکتوری \AllUsersProfile%\SxS% شامل فایلهای زیر:
- Nv.exe
- NvSmartMax.dll
- NvSmart.chm یا فایل دیتا با پسوندهای متفاوت
- فایلهایی با پسوند .plg
🔸وجود سرویس و مدخل Autorun برای فایل اجرایی موجود در مسیر فایلهای بدافزار
شرح عملکرد
فایلهای بدافزار BackdoorDiplomacy ، غالبا شامل یک فایل کتابخانهای مخرب و یک فایل دیتا میباشد که در واقع یک PE (فایل اجرایی) فشرده و مبهم است. بدافزار BackdoorDiplomacy برای اجرای خود از تکنیکی تحت عنوان DLL Hijacking استفاده میکند که در آن فایلهای مخرب مذکور در کنار یک فایل اجرایی سالم قرار میگیرند. فایل کتابخانهای مخرب بدافزار توسط فایل اجرایی سالم بارگذاری شده و از این طریق فایل دیتا نیز در حافظه بارگذاری، از حالت فشرده خارج و اجرا میشود که در نهایت منجر به اجرای اقدامات مخرب بدافزار میشود.
گونهای از این بدافزار، از فایل قانونی Nv.exe مربوط به برنامه کاربردی NVIDIA، به منظور اجرای خود استفاده میکند. فایلهای مربوط به این گونه از بدافزار شامل موارد زیر است:
| نام فایل | توضیحات |
| Nv.exe | برنامه قانونی مربوط به برنامه کاربردی NVIDIA که فایل کتابخانهای مخرب بدافزار را سهواً بارگذاری میکند. |
| NvSmartMax.dll یا Max.dll | فایل کتابخانهای مخرب بدافزار BackdoorDiplomacy که وظیفه بارگذاری فایل فایل دیتا و اجرای آن را برعهده دارد. |
| NvSmart.chm یا Nv.mpc | فایل شبه کد که در واقع یک PE فشرده و مبهم شده است و شامل عملیات اصلی بدافزار BackdoorDiplomacy است. |
عملیات شبکه
این بدافزار در ابتدای اجرای خود تلاش میکند که با سرورهای کنترل و فرمان خود ارتباط برقرار کند. بسته به پیکربندی اولیه این بدافزار، ارتباط با سرور از راه دور میتواند بر بستر یکی از پروتکلهای TCP،UDP، ICMP یا HTTP انجام شود. بدافزار پس از متصل شدن به سرور خود، با توجه به دستوری که از مهاجم دریافت میکند، پلاگین مربوطه را اجرا میکند. در ادامه لیست سرورهای این بدافزار مشاهده میشود:
▪️picture[.]efanshion[.]com
▪️mail[.]popanalysis[.]com
▪️dl-adobe[.]com
پلاگین های بدافزار
همانطور که گفته شد، بدافزار BackdoorDiplomacy متشکل از تعدادی پلاگین است که هر کدام هدف مشخصی دارند. در جدول زیر، هدف هر پلاگین و دستورات قابل اجرا در هر پلاگین برای نمونهای از این بدافزار فهرست شده است:
| نام دستور | زیر دستورها | عملکرد |
|---|---|---|
| Option |
▪️0x2000 ▪️0x2001 ▪️0x2002 ▪️0x2003 ▪️0x2005 |
▪️قفل کردن (سیستم کاربر) workStation ▪️درخواست اجبار به خاموش کردن سیستم ▪️راهاندازی مجدد (reboot) کردن سیستم ▪️درخواست خاموش کردن سیستم (به کاربر اجازه انجام فعالیتهایی پیش از خاموش شدن میدهد) ▪️درخواست نشان دادن پیغامهای مورد نظر نفوذگر روی صفحه نمایش |
| Disk |
▪️0x3000 ▪️0x3001 ▪️0x3002 ▪️0x300A ▪️0x3004 ▪️0x3007 ▪️0x300D ▪️0x300C ▪️0x300E |
▪️درخواست شمارش تعداد درایوها ▪️درخواست پیدا کردن فایل مورد نظر ▪️درخواست پیدا کردن فایل به صورت بازگشتی ▪️ایجاد یک دایرکتوری ▪️درخواست خواندن فایل ▪️درخواست نوشتن روی فایل ▪️درخواست کپی کردن/ تغییر نام دادن/ پاک کردن و جابه جا کردن فایل مورد نظر ▪️ایجاد یک desktop جدید و اجرای یک پردازه در آن ▪️درخواست expanded environment string |
| Screen |
▪️0x4000 ▪️0x4004 ▪️0x4005 ▪️0x4006 ▪️0x4100 |
▪️درخواست تواناییهای از راه دور مربوط به یک desktop ▪️ارسال رخدادهای مربوط به موس ▪️ارسال رخدادهای مربوط به صفحه کلید ▪️ارسال CTRL-Alt-Delete ▪️درخواست گرفتن یک تصویر از صفحه در لحظه کنونی (Screen Shot) |
| Process |
▪️0x5000 ▪️0x5001 ▪️0x5002 |
▪️درخواست ایجاد یک فرآیند ▪️درخواست جهت شمارش فرآیندهای در حال اجرا ▪️از بین بردن و خاتمه دادن به کار یک فرآیند |
| Service |
▪️0x6000 ▪️0x6001 ▪️0x6002 ▪️0x6003 ▪️0x6004 |
▪️ارسال یک query برای دریافت تنظیمات یک سرویس ▪️تغییر تنظیمات سرویس مورد نظر ▪️درخواست آغاز به کار یک سرویس ▪️درخواست کنترل یک سرویس ▪️درخواست پاک کردن یک سرویس |
| Shell | 0x7002 | درخواست آغاز به کار cmd |
| Telnet | 0x7100 | درخواست آغاز به کار سرویس مربوط به telnet |
| RegEdit |
▪️0x9000 ▪️0x9001 ▪️0x9002 ▪️0x9003 ▪️0x9004 ▪️0x9005 ▪️0x9006 ▪️0x9007 |
▪️شمارش کلید رجیستریهای موجود ▪️ایجاد کلید مورد نظر ▪️پاک کردن کلید رجیستری مورد نظر ▪️کپی کردن کلید رجیستری مورد نظر ▪️شمارش مقدارهای موجود در کلید رجیستری خاص ▪️تنظیم مقداری برای یک کلید رجیستری ▪️پاک کردن یک مقدار کلید(value) ▪️قرار دادن یک مقدار برای value یک کلید |
| Nethood | 0xA000 | درخواست شمارش منابع شبکه |
| Portmap | 0xB000 | دستوری در جهت آغاز به انجام نگاشت درگاهها (port mapping) |
| SQL |
▪️0xC000 ▪️0xC001 ▪️0xC002 |
▪️درخواست دریافت اطلاعات مربوط به منابع داده ▪️درخواست دریافت توضیحات مربوط به driver آن ▪️اجرای کوئری SQL |
| Netstat |
▪️0xD000 ▪️0xD001 ▪️0xD002 |
▪️دریافت جدول مربوط به ارتباطات TCP ▪️دریافت جدول مربوط به ارتباطات udp ▪️تنظیم مقداری از جدول مربوط به ارتباطات TCP |
| Keylogger | 0xE000 | دستور آغاز به کار thread مربوط به keyLogger |
روش مقابله و پاکسازی سیستم
✔️ آنتی ویروس پادویش این بدافزار را شناسایی و از سیستم حذف میکند. جهت پیشگیری از ورود این دست بدافزارها به سیستم پیشنهاد میشود از کلیک بر روی لینکهای مشکوک خودداری نموده و فایلهای پیوست ایمیلها و دستگاههای قابل حمل خود را قبل از استفاده حتما پویش کنید.
✔️ سیستمعامل و آنتیویروس خود را همیشه به روز نگه دارید.