شرح کلی
نوع: HackTool
درجه تخریب: زیاد
میزان شیوع: کم
اسامی بدافزار:
- Hacktool.Win32.Nimplant (padvish)
- Win64/NimPlant.C Trojan (ESET)
- Trojan:Win32/Wacatac.B!ml (Microsoft)
- UDS:Backdoor.Win32.Nimpl (Kaspersky)
HackTool چیست؟
Hacktoolها ابزارهایی هستند که جهت کمک به نفوذ طراحی شدهاند. این ابزارها میتوانند توسط نفوذگر برای دریافت برخی اطلاعات از شبکه سازمان قربانی استفاده شوند. معمولا از این ابزارها به منظور بازیابی اطلاعات اعتبارسنجی سرورهای حساس قربانی استفاده میشود. به عنوان مثال نفوذگر میتواند برای حدس زدن کلمات عبور از ابزارهای Hacktool مبتنی بر حملات Brute Force استفاده کند.
در برخی موارد نیز برای بالا بردن سطح دسترسی و سوء استفاده از آسیبپذیریهای موجود، از HackToolها استفاده میشود. به طور کلی ابزارهای هک برنامههایی هستند که میتوانند با شکستن سدهای امنیتی رایانه و شبکه، قابلیتهای مختلفی برای نفوذ به سیستمها مهیا کنند.
بدافزار NimPlant چیست؟
ابزار NimPlant از طریق برقراری ارتباط با سرور از راه دور مهاجم، دستورات وی را دریافت و روی سیستم قربانی اجرا خواهد کرد. این دستورات شامل دستورات دریافت اطلاعات سیستم قربانی شامل کاربران، پردازهها و فایلهای سیستم قربانی، آپلود و دانلود فایل، اجرای فایل و غیره میباشد.
توضیحات فنی
در گزارش پیشرو یک سناریو حمله از طریق ارسال فایل ضمیمه مخرب به ایمیل قربانی بررسی شده است. در این سناریو مهاجم با سوءاستفاده از تکنیک (CVE-2025-8088)Path Traversal، ابزار نفوذ NimPlant را از طریق یک فایل کمپرس شده (RAR) در محیط Microsoft Word در سیستم قربانی به اجرا درمیآورد.
علائم آلودگی
C:\Users\<User>\AppData\Roaming\Microsoft\Word\Startup\Startup.dotm
C:\Users\<User>\AppData\Local\Temp\rpqj.exe
شرح عملکرد
در بررسی انجام شده مشخص شد یک فایل RAR حاوی نمونه بدافزاری است که از آسیبپذیری Path Traversal بهرهبرداری کرده و فایل مخربی با نام startup.dotm را در مسیر زیر قرار میدهد.
C:\Users\<User>\AppData\Roaming\Microsoft\Word\Startup
پس از قرارگیری، با بازشدن نرمافزار Word، فایل متنی دارای ماکروی مخرب اجرا میشود. اجرای ماکرو منجر به اجرای یک Dropper میگردد که یک فایل اجرایی (rpqj.exe) را در پوشه tmp، معادل مسیر زیر ایجاد و داده هایی را در آن قرار میدهد.
C:\Users\<User>\AppData\Local\Temp\rpqj.exe
در ادامه با استفاده از WScript.Shell فایل ایجاد شده اجرا میگردد. فایل rpqj.exe، بدافزاری پیادهسازی شده به زبان nim است که هدف آن استخراج ابزار NimPlant از محتوای فایل خود و اجرای آن است. این بدافزار ابتدا به منظور جلوگیری از ردیابی، ۴ بایت ابتدایی تابع سیستمی NtTraceEvent را در حافظه پردازه خود به دستور ret تغییر میدهد و لذا از ثبت فعالیتهای خود در لاگهای ویندوز(ETW) جلوگیری میکند. در نهایت این بدافزار فایل فشرده شدهای را از ابهام و سپس از حالت فشرده خارج میکند. محتوای بدست آمده، نمونهای از ابزار NimPlant است.
NimPlant، ابزاری پیادهسازی شده به زبان nim، rust و python است که هدف آن فراهم آوردن چارچوبی برای اجرای مکانیزم کنترل و فرمان (C2) است. نمونه موردنظر این ابزار در تحلیل حاضر، به زبان nim است. این نمونه پس از اجرا شدن، پس از تکمیل جدول Import خود، اقدام به استخراج و ابهامزدایی فایل پیکربندی گنجانده شده در فایل خود میکند.
طبق پیکربندی نمونه مورد تحلیل ، آدرس سرور مهاجم از راه دور، “auth[.]tciran[.]com:443” است و ارتباطات بدافزار با سرور در مسیرهای آورده شده در جدول زیر میباشد:
| مسیر ارسال پکت در سرور | هدف از ارسال پکت |
| page/ | اولین ارتباط بدافزار با سرور مهاجم به منظور ثبت کلاینت قربانی |
| tabs/ | ارتباطات بعدی، پس از ثبت قربانی، با سرور مهاجم |
| article/ | دریافت دستور از سرور مهاجم |
| books/ | ارسال نتیجه اجرای دستور دریافتی |
جدول ۱– مسیرهایی از سرور مهاجم یرای دریافت پکت از قربانی
بدافزار با ارسال پکتی با هدرهای آورده شده در تصویر زیر به مسیر “page/”، ابتدا قصد ثبت کلاینت قربانی در سرور مهاجم را دارد. در زمان تحلیل این نمونه، ارتباط ناموفق بود.
شرح دستورات قابل دریافت از مهاجم در جدول زیر آورده شده است:
|
دستور |
شرح دستور |
|
cat |
ارسال محتوای یک فایل |
|
cd |
تغییر دایرکتوری فعلی |
|
cp |
کپی کردن فایل/دایرکتوری در مسیر دیگر |
|
curl |
ارسال درخواست http به آدرس موردنظر مهاجم و بازگرداندن نتیجه درخواست به وی |
|
download |
دریافت فایل از سرور |
|
env |
ارسال لیست متغیرهای env سیستم قربانی به مهاجم |
|
getav |
ارسال نام آنتیویروس(های) سیستم قربانی به مهاجم |
|
getdom |
ارسال نام دامنه فعلی کامپیوتر قربانی به مهاجم |
|
getlocaladm |
ارسال لیست نام کاربران گروه Administrators به مهاجم |
|
ls |
ارسال لیست نام فایلهای موجود در یک دایرکتوری |
|
mkdir |
ایجاد دایرکتوری |
|
mv |
جابجایی فایل یا دایرکتوری |
|
ps |
ارسال لیست پردازههای جاری سیستم |
|
pwd |
ارسال دایرکتوری فعلی(pwd) |
|
reg |
مدیریت رجیستری سیستم قربانی شامل خواندن یا تغییر در آن |
|
rm |
حذف فایل یا دایرکتوری |
|
run |
اجرای یک باینری به عنوان زیرپردازه و بازگرداندن نتیجه به مهاجم |
|
screenshot |
گرفتن اسکرینشات از دسکتاپ قربانی و ارسال آن به مهاجم به صورت عکس کدگذاری شده |
|
upload |
آپلود فایلهای قربانی در سرور مهاجم |
|
wget |
اجرای دستور wget برای انجام یک درخواست Http و ارسال نتیجه به مهاجم |
|
whoami |
مشخص کردن اینکه آیا کاربر فعلی، کاربر سطح بالا هست |
جدول۲– دستورات قابل دریافت از مهاجم
روش مقابله و پاکسازی سیستم
✔️ آنتی ویروس پادویش فایلهایی را که در آنها از آسیبپذیری Path Traversal استفاده شده باشد، شناسایی و از سیستم حذف میکند. همچنین قادر است ابزارهایی که جهت هک و نفوذ توسط نفوذگران ارسال میشوند را شناسایی و از سیستم حذف کند.
به منظور پیشگیری از ورود این دست بدافزارها به سیستم پیشنهاد میشود از کلیک بر روی لینکهای مشکوک خودداری نموده و فایلهای پیوست ایمیلها و دستگاههای قابل حمل خود را قبل از استفاده حتما پویش کنید.
✔️ سیستمعامل و آنتیویروس خود را همیشه به روز نگه دارید.