Trojan.Win32.Powersing.lnk

شرح کلی

نوع: تروجان (Trojan)
درجه تخریب: متوسط
میزان شیوع: متوسط

اسامی بدافزار

• Padvish) Trojan.Win32.Powersing.lnk)
• Microsoft) TrojanDropper:Win32/Zervbee.A!attk)
• ESET-NOD32) LNK/TrojanDropper.Agent.K)
• McAfee) Powersing!D83F933B2A6C)

تروجان (Trojan) چیست؟

تروجان‌ها نوعی از بدافزار محسوب می‌شوند که خود را در قالب یک نرم‌افزار سالم و قانونی نشان می‌دهند و بسیار شبیه نرم‌افزارهای مفید و کاربردی رفتار می‌کنند. اما هنگامی ‌که اجرا می‌شوند، خرابی‌های زیادی را برای سیستم ایجاد می‌کنند. نرم‌افزارهای دانلود شده از اینترنت، جاسازی شدن در متن HTML، ضمیمه شدن به یک ایمیل و … از جمله راه‌های ورود تروجان‌ها به سیستم هستند. تروجان‌ها برخلاف ویروس‌ها و کرم‌های کامپیوتری قادر به تکثیر خود نیستند.

بدافزار Powersing چیست؟

گروه DeathStalker یک گروه بدافزارنویسی است که با هدف جمع آوری اطلاعات مهم تجاری از شرکت‌های حقوقی و مالی، بدافزارهای خود را منتشر می‌کند. این گروه که به وجود آورنده بدافزاری مبتنی بر PowerShell و با نام Powersing است، اطلاعاتی مانند نام کامپیوتر، نام آنتی‌ویروس و نسخه سیستم را جمع‌آوری و screenshotهای منظمی را برای سرور خود ارسال می‌کند. همچنین، در هنگام اجرا محیط‌ و ابزارهای تحلیل بدافزار را شناسایی کرده و در صورت اجرا در ماشین مجازی، پردازه خود را بدون آلوده کردن سیستم می‌بندد.

توضیحات فنی

علائم آلودگی

• وجود یک shortcut با نام Microsoft Windows Helper در مسیر زیر:

AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

• وجود پوشه‌ای مخفی با نام ~.tmpF291 در مسیر C:\ProgramData که در نمونه‌های مختلف این بدافزار، مقدار بعد از tmp نام متفاوتی دارد.
• پردازه powershell.exe در لیست پردازه‌های درحال اجرا وجود دارد و پس از هر بار ری‌استارت سیستم cscript.exe و powershell.exe اجرا می‌شوند.

شرح عملکرد

این بدافزار از طریق یک ایمیل فیشینگ به همراه یک فایل پیوست شده با محتوای فایل‌های shortcut آلوده (powersing) منتشر می‌شود. ظاهر فایل شبیه به یک فایل متنی با پسوند pdf است، اما پس از اجرا یک cmd.exe و سپس PowerShell اجرا و عملیات مخرب خود را آغاز می‌کند. همزمان نیز برای گمراه کردن کاربر، یک فایل pdf سالم بر روی سیستم انتقال داده و باز می‌کند.

اجرای تکنیک شناسایی ابزارهای تحلیل و ماشین مجازی

بدافزار با اجرای تکنیک‌هایی تلاش می‌کند تشخیص دهد که آیا برروی ماشین مجازی اجرا شده است یا خیر و همچنین ابزارهای sniffing یا wiershark و Nmap که معمولا توسط محققان برای آنالیز بسته‌های شبکه استفاده می شوند، بر روی کامپیوتر نصب است یا خیر. در صورتی که برروی یک ماشین مجازی اجرا شود یا هر یک از این ابزارها نصب باشند، توابع اصلی بدافزار اجرا نمی‌شود.

رمزگشایی کدهای مخرب و اجرای آن

کدهای powershell مخربی که توسط بدافزار بر روی سیستم انتقال داده می‌شود به صورت رمز شده هستند که برای رمزگشایی نیاز به کلید دارند. این کلید و آدرس سروری که اطلاعات دزدیده شده باید برای آن ارسال شود توسط بدافزارنویس بر روی وب‌سرویس‌هایی مانند twitter ،youtube و دیگر شبکه‌های اجتماعی ذخیره شده است. در تصویر زیر روند اجرای بدافزار را مشاهده می‌کنید:

در صورتی ‌که بدافزار نتواند به این وب سرویس‌ها متصل شود و کلید به دست نیاید، کدهای مخرب بدافزار به صورت رمز شده در فایلی ذخیره می‌شود که این فایل قابل اجرا نیست. در صورت اتصال به شبکه و وب‌سرویس‌ها، از کلید به دست آمده برای رمزگشایی فایل استفاده می‌کند. بدافزار از الگوریتم متقارن برای رمز کردن و رمزگشایی کدها استفاده می‌کند و در نهایت این فایل اجرا می شود. فایل اصلی بعد از اجرا شدن، اطلاعاتی مانند نام کامپیوتر، نام آنتی‌ویروس و نسخه سیستم را جمع آوری می‌کند و به صورت منظم screenshotهای را از سیستم قربانی گرفته و برای سرور ارسال می‌کند.

حفظ بقای بدافزار

یک فایل shortcut با نام Microsoft Windows Helper در مسیر Startup ویندوز ایجاد می‌کند که سبب اجرای بدافزار در هر بار راه اندازی سیستم می‌شود.

روش مقابله و پاک‌سازی سیستم

آنتی ویروس پادویش این بدافزار را شناسایی کرده و از سیستم حذف می‌کند. موارد زیر جهت پیشگیری از آلودگی به این بدافزار توصیه می‌شود:
• به‌روزرسانی ویندوز و سایر نرم افزارهای نصب شده بر روی سیستم
• غیرفعال کردن و محدود کردن اجرای اسکریپت‌های غیرضروری
یکی از روندهای رو به رشد در بدافزارها استفاده از اسکریپت‌های WSF ،VBS ،JS ،SCR ،PS1 و مانند آن به‌عنوان اولین مرحله آلودگی است. با توجه به محدودیت‌های سرویس‌دهنده‌های ایمیل در ارسال فایل‌های اجرایی و برای دور زدن آنتی‌ویروس‌های مبتنی بر امضا، بدافزارنویسان از اسکریپت‌های مبهم شده استفاده می‌کنند.

• اطلاع‌رسانی و آموزش کاربران برای پرهیز از رفتار خطرناک
می‌بایست آموزش‌های کافی به کاربران برای پرهیز از رفتارهای خطرناک ارائه شود. نظیر باز کردن فایل‌های پیوست ایمیل، مراجعه به سایت‌های ناشناس یا کلیک بر روی لینک‌های مشکوک و عدم دریافت فایل از منابع نامعتبر (دانلود فایل‌های کرک نرم‌افزارها و بازی‌ها، نسخه‌های به‌روزرسانی و غیره از منابع نامعتبر، می‌تواند موجب آلودگی سیستم شود).