بهره‌جویی از PowerShell برای توزیع بدافزار Emotet

کمیته رکن چهارم – گردانندگان بدافزار Emotet اکنون به‌جای استفاده از فایل‌های ماکرو Office که به طور پیش‌فرض غیرفعال شده‌اند از فایل‌های میان‌بر Windows (Windows Shortcut Files (.LNK)) که حاوی فرمان‌ها PowerShell هستند برای آلوده کردن کامپیوترهای کاربران استفاده می‌کنند.

بدافزار Emotet بدافزاری است که اغلب از طریق ارسال هرزنامه (spam) که حاوی پیوست‌های مخرب است، توزیع و منتشر می‌شود. هنگامی که کاربر پیوست هرزنامه را باز کند، ماکروها یا برنامه‌های مخرب اقدام به دریافت فایل Emotet DLL کرده و آن را در حافظه بارگذاری می‌کنند.

پس از بارگذاری در حافظه، بدافزار Emotet ایمیل‌ها را برای سوءاستفاده در کارزار‌های آینده خود جست‌وجو و سرقت می‌کند و کدهای مخرب دیگری همچون Cobalt Strike یا بدافزارهای دیگری که معمولاً منجر به حملات باج‌افزاری می‌شود بر روی سیستم قربانی قرار می‌دهد. ولی مهاجمان Emotet در کارزار اخیر خود، از ایمیل‌هایی استفاده کرده‌اند که فایل ZIP رمزدار به پیوست داشتند.

فایل یادشده حاوی فایل‌های میان‌بر (Windows LNK Shortcut) است که در ظاهر شبیه یک فایل Word است.
پیوست‌های مورداستفاده در این کارزار، اغلب دارای عناوین زیر هستند.

اکیداً توصیه می‌شود چنان‌چه ایمیلی با پیوست‌های مشابه دریافت کردید، از باز کردن آنها خودداری کرده و دراسرع‌وقت با مسئولان بخش کامپیوتر سازمان خود تماس گرفته تا با بررسی پیوست مشخص شود آیا آنها مخرب هستند یا خیر.
استفاده از فایل‌های .LNK روش جدیدی نیست، زیرا گردانندگان بدافزار Emotet قبلاً از آنها در ترکیب با برنامه‌های Visual Basic Script (VBS) به‌منظور ایجاد فرمانی برای دریافت کدهای مخرب استفاده کرده‌اند. بااین‌حال، این اولین‌بار است که آنها از میان‌برهای Windows برای اجرای مستقیم دستورات PowerShell استفاده می‌کنند.

تغییر روش بعد از یک تلاش نافرجام

در روش بکار گرفته شده توسط گردانندگان بدافزار Emotet، هنگامی که کاربر روی فایل میان‌بر کلیک می‌کرد، فرمانی اجرا می‌شد تا یک‌رشته خاصی که حاوی کد VBS است را از فایل میان‌بر استخراج کند و آن را به یک فایل VBS اضافه کرده و آن فایل جدید VBS را اجرا ‌کند.

بااین‌حال، ازآنجایی‌که فایل‌های میان‌بر توزیع شده دارای نامی متفاوت از نام ثابتی بود که به دنبال آن جستجو می‌شد، فایل VBS جدید به‌درستی ساخته نمی‌شد. ازاین‌رو گردانندگان بدافزار Emotet، پس از کشف اینکه این اشکال مانع از آلوده شدن کاربران می‌شود، بلافاصله کارزار خود را متوقف کردند.

مدتی بعد گردانندگان بدافزار Emotet ، اشکال یادشده را برطرف و بار دیگر شروع به ارسال هرزنامه به کاربران کردند. پس از رفع اشکال، این میان‌برها اکنون در هنگام اجرای دستور از نام‌ صحیح فایل‌ها استفاده می‌کنند و فایل‌های VBS به‌درستی ایجاد شده و بدافزار Emotet دریافت و بر روی دستگاه‌ قربانیان نصب می‌شود.

محققان امنیتی با بررسی بیشتر این بدافزار متوجه شدند که Emotet به ترفند جدیدی روی آورده است. در این روش مهاجمان از دستورات PowerShell که به فایل LNK متصل است برای دریافت و اجرای یک برنامه بر روی کامپیوتر آلوده استفاده می‌کنند. رشته مخرب اضافه شده به فایل .LNK مبهم‌سازی شده است و با مقدار تهی (Blank Space) پر شده تا در گزینه Properties فایلی که میان‌بر به آن اشاره می‌کند، نمایش داده نشود.

فایل میان‌بر مخرب در بدافزار Emotet شامل نشانی‌ چندین ‌سایت آلوده است که برای ذخیره برنامه مخرب PowerShell استفاده می‌شود. اگر برنامه در یکی از نشانی‌های تعریف شده وجود داشته باشد، به‌عنوان یک برنامه PowerShell دریافت شده و با یک نام تصادفی در پوشه موقت سیستم قرار می‌گیرد. در تصویر زیر، نسخه مبهم‌سازی نشده از رشته مخرب که به فایل میان‌بر متصل شده، نمایش‌داده‌شده است.

این برنامه، برنامه PowerShell دیگری را تولید و راه‌اندازی می‌کند که بدافزار Emotet را از فهرستی از سایت‌های آلوده دریافت کرده و در پوشه % %Temp ذخیره می‌کند. سپس فایل DLL دریافت شده با استفاده از دستور regsvr۳۲.exe اجرا می‌شود. اجرای برنامه PowerShell با استفاده از ابزار خط فرمان Regsvr۳۲.exe صورت‌گرفته و با دریافت و فعال‌سازی بدافزار Emotet به پایان می‌رسد.

محققان امنیتی معتقدند که به‌کارگیری PowerShell در فایل‌های میان‌بر LNK، برای استقرار بدافزار Emotet، روش کاملاً جدیدی است. آنها بر این باورند که این روش جدید تلاشی آشکار برای دورزدن راهکارهای دفاعی و شناسایی خودکار است. محققان امنیتی در شرکت ضدویروس ای‌سِت(ESET, LLC.) همچنین عنوان کردند که استفاده از روش جدید بدافزار Emotet در کشورهای مکزیک، ایتالیا، ژاپن، ترکیه و کانادا بکار گرفته شده و در حال افزایش است.

به‌غیراز به‌کارگیری PowerShell در فایل‌های LNK، گردانندگان بدافزار Emotet تغییرات دیگری مانند انتقال به ماژول‌های ۶۴ بیتی را نیز انجام داده‌اند. این بدافزار معمولاً به‌عنوان دروازه‌ای برای سایر بدافزارها، به‌ویژه تهدیدات باج‌افزاری همچون Conti استفاده می‌شود.

منبع : مرکز مدیریت راهبردی افتا

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Red Captcha Characters Below.