Trojan.Win32.NetWire

شرح کلی

نوع: تروجان (Trojan)
درجه تخریب: متوسط
میزان شیوع: متوسط

اسامی بدافزار

  • Padvish) Trojan.Win32.NetWire.a)
  • Microsoft) Backdoor:Win32/Netwire.GG!MTB)
  • ESET-NOD32) A Variant Of Win32/Kryptik.HLLV)

تروجان (Trojan) چیست؟

تروجان‌ها نوعی از بدافزار محسوب می‌شوند که خود را در قالب یک نرم‌افزار سالم و قانونی نشان می‌دهند و بسیار شبیه نرم‌افزارهای مفید و کاربردی رفتار می‌کنند. اما هنگامی ‌که اجرا می‌شوند، خرابی‌های زیادی را برای سیستم ایجاد می‌کنند. نرم‌افزارهای دانلود شده از اینترنت، جاسازی شدن در متن HTML، ضمیمه شدن به یک ایمیل و … از جمله راه‌های ورود تروجان‌ها به سیستم هستند. تروجان‌ها برخلاف ویروس‌ها و کرم‌های کامپیوتری قادر به تکثیر خود نیستند.

بدافزار NetWire چیست؟

NetWire یک تروجان از نوع RAT است که با هدف دسترسی به سیستم قربانی از راه دور و نظارت و یا کنترل سیستم آلوده طراحی شده است. این بدافزار به مهاجم امکان اتصال از راه دور به سیستم قربانی را به منظور اجرای کدهای مخرب، از سرور فرمان و کنترل خود می‌دهد. همچنین قابلیت‌های نظارتی این بدافزار عبارت است از ثبت کلیدهای فشرده شده از صفحه کلید، گرفتن عکس از صفحه نمایش، سرقت گذرواژه‌ها و دسترسی به دوربین وب و میکروفون.

توضیحات فنی

علائم آلودگی

1. وجود فایل Host.exe در مسیر AppData%\Install%
2. ایجاد بقا در رجیستری برای اجرای فایل Host.exe
3. وجود فایلی با نامی با قالب DAY-MONTH-YEAR در مسیر AppData%/Roaming/Logs%

شرح عملکرد

با اجرای بدافزار، فایلی با نام “Host.exe” در مسیر “AppData%\Install\Host.exe%” ایجاد و اجرا می‌کند. NetWire کلید اصلی خود را در مسیر (HKCU \ SOFTWARE \ NetWire) رجیستری ایجاد می‌کند. به این ترتیب، هنگامی که سیستم آلوده شروع به کار می‌کند، کپی بدافزار به طور خودکار اجرا می‌شود. همانطور که در تصویر زیر مشاهده می‌کنید، بدافزار به ازای سیستم قربانی یک شناسه منحصر به فرد تحت عنوان HostID-XXXXXX در رجیستری ثبت می‌کند.

بدافزار سعی می‌کند داده‌های ورود کاربران را از مرورگرهای وب همچون Google Chrome و Brave Browser جمع آوری کند.

همچنین در مرورگر Internet Explorer گذرواژه‌ها به صورت رمز شده در مسیر رجیستری زیر ذخیره می‌شوند که مهاجم تلاش دارد به داده‌های آن دسترسی پیدا کند:

HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2

از دیگر اقدامات این بدافزار این است که فهرست پروفایل‌های Microsoft Outlook را بر روی دستگاه قربانی اسکن می‌کند تا اطلاعاتی را جمع آوری کند.

در ادامه بدافزار تلاش دارد با جمع آوری و ثبت حرکت ماوس و ورودی‌های کیبورد به عنوان منبع بالقوه از اطلاعات حساس قربانی برای فعالیت‌های مخرب یا منافع مالی خود استفاده کند. NetWire داده‌ها و اطلاعات به دست آمده را در یک فایل لاگ در مسیر “%AppData%/Roaming/Logs” مطابق با تاریخ آلوده شدن دستگاه قربانی ذخیره می‌کند.

داده‌های موجود در فایل log با استفاده از یک الگوریتم رمزنگاری رمز می‌شوند . هرچه بدافزار روی سیستم قربانی باقی بماند، فایل بزرگتر می‌شود، زیرا داده و اطلاعات بیشتری از سیستم قربانی را جمع آوری می‌کند.

NetWire در حین جمع آوری اطلاعات، تلاش خواهد کرد تا یک اتصال TCP با سرور خود از راه دور ایجاد کند. در نمونه‌های بررسی شده، مشخص شد این بدافزار تلاش‌های مستمری برای ایجاد ارتباط بر روی پورت 3382 با آدرس مورد نظر انجام می‌دهد.

در صورت موفقیت آمیز بودن این اتصال، مهاجم می‌تواند داده‌های گرفته شده را منتقل کرده یا اقدامات مخرب دیگری مانند بارگیری و اجرای کدهای مخرب اضافی را انجام دهد. آدرسی که بدافزار سعی در دستیابی به آن دارد:

“automan[.]duckdns[.]org:3382”

روش مقابله و پاک‌سازی سیستم

آنتی ویروس پادویش این بدافزار را شناسایی کرده و از سیستم حذف می‌کند. جهت پیشگیری از ورود این دست بدافزارها به سیستم پیشنهاد می‌شود از کلیک بر روی لینک‌های مشکوک خودداری نموده و فایل‌های ضمیمه ایمیل‌ها را قبل از اجرا، حتما پویش کنید. همچنین، در صورت امکان همیشه سیستم‌عامل و آنتی‌ویروس خود را به روز نگه دارید.