کمیته رکن چهارم – یکی از ترفندهای مخفیسازی ارتباطات مخرب بدافزار از دید محصولات امنیتی بکارگیری امکانات و سرویسهای معتبر در فرایند نصب و اجرای عملیات مورد نظر مهاجمان است.
شرکتهای پالو آلتو نتورکز و سکیورتی اینترپرایز ۳۶۰، از شناسایی نسخه جدیدی از بدافزار RogueRobin خبر دادهاند که از سرویس میزبانی فایل Google Drive بهعنوان سرور فرماندهی خود استفاده میکند.
RogueRobin بدافزاری از نوع دربپشتی است که با زبان #C توسعه داده شده است. RogueRobin از جمله بدافزارهای مورد استفاده گروه سایبری DarkHydrus است.
DarkHydrus نخستین بار در تابستان امسال توجه محققان امنیتی را به خود جلب کرد. در آن زمان این گروه در کارزاری سایبری با استفاده از یک ابزار کد باز (Open-source) اطلاعات اصالتسنجی سیستمهای نهادهای دولتی و آموزشی کشورهای منطقه خاورمیانه را سرقت میکرد.
در حمله اخیر نیز گروه DarkHydrus بر روی منطقه خاورمیانه متمرکز بوده است.
مهاجمان DarkHydrus در ابتدا تلاش میکنند تا کاربر را تشویق به باز کردن یک فایل Excel – با نام xlsm.الفهارس یا xlsm.الاطلاع – کنند. فایل مذکور حاوی ماکرویی مخرب است که در صورت فعال شدن / بودن بخش ماکرو موجب دریافت یک فایل TXT و ذخیره آن در مسیر %Temp% میشود. در ادامه، ماکرو محتوای فایل TXT را از طریق پروسه معتبر regsvr32.exe به اجرا در میآورد. عملیاتی که موجب نصب و اجرای دربپشتی RogueRobin میشود.
RogueRobin مجهز به قابلیتهای متعدد مخفیسازی خود از دید محصولات امنیتی و تحلیلگران بدافزار است. از جمله این قابلیتها میتوان به توانایی آن در شناسایی بسترهای قرنطینه امن (Sandbox)، محیطهای مجازیسازی شده و ابزارهای تحلیلگر نصب شده بر روی دستگاه / ماشین اشاره کرد. ضمن اینکه RogueRobin دارای کدهای موسوم به ضددیباگ است.
همانند نسخه قبلی RogueRobin در نسخه جدید نیز از روش DNS Tunneling برای ارسال و دریافت فرامین استفاده میشود.
اما آنچه که این نسخه جدید را از نسخه قبلی آن بهطور خاصی متمامیز میکند استفاده آن از توابع Google Drive بهعنوان کانال دوم برای تبادل اطلاعات با مهاجمان است. بدیننحو که RogueRobin یک فایل را به حساب کاربری تحت Google Drive ارسال کرده و بهطور پیوسته زمان تغییر فایل را مورد بررسی قرار میدهد. هدف از این کار آگاهی یافتن بدافزار از اعمال تغییرات جدید در فایل توسط مهاجمان است.
استفاده از قابلیت مجاز ماکرو، انتقال کد در فایل در ظاهر بیخطر TXT، اجرا از طریق پروسه معتبر regsvr32.exe، برقراری ارتباط با سرور فرماندهی در بستر DNS و اکنون بکارگیری یک سرویس معروف و پراستفاده میزبانی فایل، عملا کار شناسایی RogueRobin را برای بسیاری از محصولات ضدویروس دشوار و حتی غیرممکن میکند.
استفاده از ضدویروس قدرتمند و بهروز، پیکربندی صحیح تنظیمات ماکرو در مجموعه نرمافزاری Office، بهرهگیری از دیوارههای آتش پیشرفته و از همه مهمتر آموزش کاربران در پرهیز از اجرای لینکها و فایلهای ناآشنا همگی در کنار یکدیگر میتوانند سازمان را از گزند این نوع بدافزارها ایمن نگاه دارند.
گزارشهای پالو آلتو نتورکز و سکیورتی اینترپرایز ۳۶۰ در لینکهای زیر در دسترس است:
- https://unit42.paloaltonetworks.com/darkhydrus-delivers-new-trojan-that-can-use-google-drive-for-c2-communications/
- https://ti.360.net/blog/articles/latest-target-attack-of-darkhydruns-group-against-middle-east-en/
همچنین نمونه فایلهای مخرب اشاره شده در گزارشهای مذکور و بدافزار RogueRobin با نامهای زیر قابل شناسایی میباشند:
Bitdefender:
– VB.PwShell.2.Gen
– Trojan.GenericKD.31520160
– Trojan.GenericKD.40938848
– Gen:Variant.Razy.450914
McAfee:
– RDN/Generic Downloader.x
– RDN/Generic.dx
– RDN/Generic.grp
– X97M/Downloader.cu
منبع : شبکه گستر
