شرح کلی
نوع: تروجان (Trojan)
درجه تخریب: متوسط
میزان شیوع: متوسط
اسامی بدافزار
• Padvish) Trojan.Win32.Powersing.lnk)
• Microsoft) TrojanDropper:Win32/Zervbee.A!attk)
• ESET-NOD32) LNK/TrojanDropper.Agent.K)
• McAfee) Powersing!D83F933B2A6C)
تروجان (Trojan) چیست؟
تروجانها نوعی از بدافزار محسوب میشوند که خود را در قالب یک نرمافزار سالم و قانونی نشان میدهند و بسیار شبیه نرمافزارهای مفید و کاربردی رفتار میکنند. اما هنگامی که اجرا میشوند، خرابیهای زیادی را برای سیستم ایجاد میکنند. نرمافزارهای دانلود شده از اینترنت، جاسازی شدن در متن HTML، ضمیمه شدن به یک ایمیل و … از جمله راههای ورود تروجانها به سیستم هستند. تروجانها برخلاف ویروسها و کرمهای کامپیوتری قادر به تکثیر خود نیستند.
بدافزار Powersing چیست؟
گروه DeathStalker یک گروه بدافزارنویسی است که با هدف جمع آوری اطلاعات مهم تجاری از شرکتهای حقوقی و مالی، بدافزارهای خود را منتشر میکند. این گروه که به وجود آورنده بدافزاری مبتنی بر PowerShell و با نام Powersing است، اطلاعاتی مانند نام کامپیوتر، نام آنتیویروس و نسخه سیستم را جمعآوری و screenshotهای منظمی را برای سرور خود ارسال میکند. همچنین، در هنگام اجرا محیط و ابزارهای تحلیل بدافزار را شناسایی کرده و در صورت اجرا در ماشین مجازی، پردازه خود را بدون آلوده کردن سیستم میبندد.
توضیحات فنی
علائم آلودگی
• وجود یک shortcut با نام Microsoft Windows Helper در مسیر زیر:
AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
• وجود پوشهای مخفی با نام ~.tmpF291
در مسیر C:\ProgramData
که در نمونههای مختلف این بدافزار، مقدار بعد از tmp نام متفاوتی دارد.
• پردازه powershell.exe در لیست پردازههای درحال اجرا وجود دارد و پس از هر بار ریاستارت سیستم cscript.exe و powershell.exe اجرا میشوند.
شرح عملکرد
این بدافزار از طریق یک ایمیل فیشینگ به همراه یک فایل پیوست شده با محتوای فایلهای shortcut آلوده (powersing) منتشر میشود. ظاهر فایل شبیه به یک فایل متنی با پسوند pdf است، اما پس از اجرا یک cmd.exe و سپس PowerShell اجرا و عملیات مخرب خود را آغاز میکند. همزمان نیز برای گمراه کردن کاربر، یک فایل pdf سالم بر روی سیستم انتقال داده و باز میکند.
اجرای تکنیک شناسایی ابزارهای تحلیل و ماشین مجازی
بدافزار با اجرای تکنیکهایی تلاش میکند تشخیص دهد که آیا برروی ماشین مجازی اجرا شده است یا خیر و همچنین ابزارهای sniffing یا wiershark و Nmap که معمولا توسط محققان برای آنالیز بستههای شبکه استفاده می شوند، بر روی کامپیوتر نصب است یا خیر. در صورتی که برروی یک ماشین مجازی اجرا شود یا هر یک از این ابزارها نصب باشند، توابع اصلی بدافزار اجرا نمیشود.
رمزگشایی کدهای مخرب و اجرای آن
کدهای powershell مخربی که توسط بدافزار بر روی سیستم انتقال داده میشود به صورت رمز شده هستند که برای رمزگشایی نیاز به کلید دارند. این کلید و آدرس سروری که اطلاعات دزدیده شده باید برای آن ارسال شود توسط بدافزارنویس بر روی وبسرویسهایی مانند twitter ،youtube و دیگر شبکههای اجتماعی ذخیره شده است. در تصویر زیر روند اجرای بدافزار را مشاهده میکنید:
در صورتی که بدافزار نتواند به این وب سرویسها متصل شود و کلید به دست نیاید، کدهای مخرب بدافزار به صورت رمز شده در فایلی ذخیره میشود که این فایل قابل اجرا نیست. در صورت اتصال به شبکه و وبسرویسها، از کلید به دست آمده برای رمزگشایی فایل استفاده میکند. بدافزار از الگوریتم متقارن برای رمز کردن و رمزگشایی کدها استفاده میکند و در نهایت این فایل اجرا می شود. فایل اصلی بعد از اجرا شدن، اطلاعاتی مانند نام کامپیوتر، نام آنتیویروس و نسخه سیستم را جمع آوری میکند و به صورت منظم screenshotهای را از سیستم قربانی گرفته و برای سرور ارسال میکند.
حفظ بقای بدافزار
یک فایل shortcut با نام Microsoft Windows Helper در مسیر Startup ویندوز ایجاد میکند که سبب اجرای بدافزار در هر بار راه اندازی سیستم میشود.
روش مقابله و پاکسازی سیستم
آنتی ویروس پادویش این بدافزار را شناسایی کرده و از سیستم حذف میکند. موارد زیر جهت پیشگیری از آلودگی به این بدافزار توصیه میشود:
• بهروزرسانی ویندوز و سایر نرم افزارهای نصب شده بر روی سیستم
• غیرفعال کردن و محدود کردن اجرای اسکریپتهای غیرضروری
یکی از روندهای رو به رشد در بدافزارها استفاده از اسکریپتهای WSF ،VBS ،JS ،SCR ،PS1 و مانند آن بهعنوان اولین مرحله آلودگی است. با توجه به محدودیتهای سرویسدهندههای ایمیل در ارسال فایلهای اجرایی و برای دور زدن آنتیویروسهای مبتنی بر امضا، بدافزارنویسان از اسکریپتهای مبهم شده استفاده میکنند.
• اطلاعرسانی و آموزش کاربران برای پرهیز از رفتار خطرناک
میبایست آموزشهای کافی به کاربران برای پرهیز از رفتارهای خطرناک ارائه شود. نظیر باز کردن فایلهای پیوست ایمیل، مراجعه به سایتهای ناشناس یا کلیک بر روی لینکهای مشکوک و عدم دریافت فایل از منابع نامعتبر (دانلود فایلهای کرک نرمافزارها و بازیها، نسخههای بهروزرسانی و غیره از منابع نامعتبر، میتواند موجب آلودگی سیستم شود).