توزیع ابزار دسترسی از راه دور NetSupport Manager از طریق به‌روزرسانی‌های جعلی

کمیته رکن چهارم – فایرآی گزارش می‌دهد، یک پویش که فقط چند ماه از فعالیت آن می‌گذرد از وب‌گاه‌های آسیب‌دیده برای توزیع به‌روزرسانی‌‌های نرم‌افزار‌ی جعلی استفاده می‌کند و در بعضی موارد با این روش ابزار دسترسی از راه دور NetSupport Manager را توزیع می‌کند.

به گزارش کمیته رکن چهارم،ابزار NetSupport Manager یک ابزار تجاری دسترسی از راه دور است که توسط مدیران برای دسترسی از راه دور به رایانه‌های کارخواه به کار گرفته می‌شود. با این حال، این برنامه‌ی قانونی همچنین می‌تواند توسط عاملان مخرب که این برنامه را بدون اطلاع مالکان در رایانه‌‌های قربانی نصب می‌کنند، مورد سوء استفاده قرار بگیرد و مهاجم از این طریق می‌تواند به صورت غیرمجاز به دستگاه‌های هدف دسترسی پیدا کند.

عاملان مخرب برای توزیع این نرم‌افزار از وب‌گاه‌های آسیب‌دیده سوء استفاده می‌کنند و این ابزار دسترسی از راه دور را به عنوان به‌روزرسانی برای برنامه‌های محبوب مانند ادوبی‌فلش، کروم، و فایرفاکس ارائه می‌دهند. در صورتی که کاربر این به‌روزرسانی را بپذیرد، غالبا از طریق یک پیوند دراپ‌باکس یک پرونده‌ی جاوااسکریپت مخرب بارگیری می‌شود.

این پرونده اطلاعات پایه‌ی سامانه را جمع‌آوری کرده و آن را به یک کارگزار ارسال می‌کند، دستوراتی را از کارگزار دریافت می‌کند، و سپس یک پرونده‌ی جاوا اسکریپت را برای توزیع بار داده‌ی نهایی اجرا می‌کند. به گفته‌ی فایرآی، این پرونده‌ی جاوا اسکریپت که Update.js نام دارد، بار داده‌ای را تحویل می‌دهد که با کمکwscript.exe از %AppData% اجرا می‌شود.

نویسندگان این بدافزار چندین لایه‌ی مبهم‌سازی برای مخفی کردن پرونده‌ی جاوا اسکریپت اولیه اعمال کرده‌اند و تلاش کرده‌اند که تجزیه و تحلیل پرونده‌ی جاوا اسکریپت دوم را دشوارتر کنند. با استفاده از کد تابع caller و callee برای دریافت کلید رمزگشایی، مهاجمان اطمینان حاصل می‌کنند که با حذف یا تغییر هر چیزی از پرونده‌ی اسکریپت توسط یک تحلیل‌گر، کلید بازیابی نخواهد شد.

پس از اجرای اولیه، این پرونده‌ی جاوا اسکریپت ارتباط با کارگزار دستور و کنترل را آغاز کرده و یک مقدار با نام tid و تاریخ جاری سامانه را به صورت رمزنگاری‌شده ارسال می‌کند. این اسکریپت سپس پاسخ‌ کارگزار را رمزگشایی می‌کند و آن را به عنوان یک تابع به نام step۲ اجرا می‌کند.

این تابع اطلاعات مختلف سامانه از جمله معماری، نام رایانه، نام کاربری، پردازنده‌ها، سامانه عامل، دامنه، سازنده، مدل، نسخه‌ی BIOS، محصول ضد بدافزار، محصول ضد جاسوس‌افزار، آدرس مک، صفحه کلید، دستگاه اشاره‌گر، پیکربندی کنترل‌کننده‌ی صفحه نمایش، و فهرست فرآیندها را جمع آوری می‌کند، آن‌ها را رمزنگاری کرده و به کارگزار دستور و کنترل ارسال می‌کند.

سپس کارگزار با محتوای رمزنگاری‌شده پاسخ می‌دهد: یک تابع به نام step۳ و پرونده‌ی Update.js، که بار داده‌ی نهایی را بارگیری و اجرا می‌کنند.

این کد از دستورات پاورشل برای بارگیری چندین پرونده از کاگزار از جمله یک پرونده‌ی اجرایی ۷zip مستقل، یک پرونده‌ی بایگانی دارای گذرواژه که حاوی ابزار دسترسی از راه دور است، و یک اسکریپت دسته‌ای batch)) برای نصب کارخواه NetSupport در سامانه استفاده می‌کند.

این اسکریپت دسته‌ای که برای غیرفعال کردن گزارش خطای ویندوز و سازگاری برنامه طراحی شده است، همچنین کارخواه کنترل از راه دور اجرایی را به فهرست برنامه‌های دارای مجوز از دیواره‌ی آتش اضافه می‌کند، یک رجیستری Run را اضافه می‌کند یا به منظور پایداری، پنهان کردن پرونده‌ها، واجرای ابزار دسترسی از راه دور یک پرونده‌ی میانبر را در پوشه‌ی استارت‌آپ قرار می‌دهد. در طی تجزیه و تحلیل، پژوهش‌گران متوجه شدند که این اسکریپت به طور مرتب توسط بدافزار به‌روزرسانی‌ می‌شود.

با کمک NetSupport Manager، مهاجمان می‌توانند به سامانه‌های تحت تاثیر از راه دور دسترسی پیدا کنند، پرونده‌ها را انتقال دهند، برنامه‌ها را راه‌اندازی کنند، موقعیت مکانی سامانه را به دست آورند، و از راه دور اطلاعات سامانه را بازیابی کنند.

جاوا اسکریپت نهایی همچنین یک پرونده‌ی txt را بارگیری کرده است که به گفته‌ی پژوهش‌گران حاوی فهرستی از آدرس‌های آی‌پی است که متعلق به سامانه‌هایی هستند که می‌توانند تحت تاثیر قرار بگیرند. این آی‌پی‌ها بیشتر متعلق به آمریکا، آلمان، و هلند هستند، اما مناطق دیگری را نیز شامل می‌شوند.

منبع:securityweek