سرقت Ramsay از سیستم‌های غیرمتصل به اینترنت

کمیته رکن چهارم – کارشناسان ESET به بررسی بدافزار Ramsay پرداختند که می‌تواند فایل‌های حساس را از سیستم‌های غیرمتصل به اینترنت سرقت کند.

محققان نمونه‌هایی از یک بدافزار جدید با نام Ramsay یافته‌اند که قادر به جمع‌آوری و سرقت فایل‌های حساس از روی سیستم‌های غیرمتصل به اینترنت است. تا این لحظه تعداد قربانیان Ramsay محدود گزارش شده‌است.

این بدافزار که تا پیش از این به‌صورت عمومی مستند نشده‌بود از طریق یک فایل مخرب RTF به دستگاه راه یافته و در ادامه اقدام به پویش درایوهای جداشدنی (Removable Drive) و پوشه‌های اشتراکی برای یافتن مستندات Word، فایل‌های PDF و آرشیوهای ZIP می‌کند.

محققان شرکت ESET که جزییات این بدافزار را منتشر کرده‌اند از طریق سایت VirusTotal به نمونه Ramsay دست پیدا کرده‌اند. نمونه مورد بررسی از دستگاهی با نشانی IP متعلق به کشور ژاپن بر روی این سایت ارسال شده‌بود.

حداقل، سه نسخه از این بدافزار با شناسه‌های v۱، v۲.a و v۲.b فعال بوده‌اند. بر اساس تاریخ کامپایل، Ramsay v۱ قدیمی‌ترین و ساده‌ترین نمونه این بدافزار تلقی می‌شود.

دو نسخه دیگر (v۲ و v۲.b) کامل‌تر بوده و ظاهراً به‌ترتیب در ۱۷ اسفند و ۸ فروردین کامپایل شده‌اند. گرچه هر دو مجهز به روت‌کیت هستند اما تنها ۲.a دارای توانایی انتشار است.

به‌نظر می‌رسد که بستر Ramsay تحت توسعه بوده و روش‌های انتشار آن در حال تعریف است.

نسخ کمتر پیچیده این بدافزار از طریق مستندات مخرب حاوی بهره‌جوهای CVE-۲۰۱۷-۰۱۹۹ و CVE-۲۰۱۷-۱۱۸۸۲ که اجرای کد را فراهم می‌کنند دریافت و اجرا می شوند.

در یک روش حمله دیگر که در آن نسخه به‌مراتب کامل‌تر Ramsay v۲.a انتشار می‌یافته، بدافزار خود را به‌عنوان یک نصاب ابزار رمزگذاری ۷-Zip معرفی می‌کند.

بخش انتشاردهنده در این نسخه به‌شدت مخرب بوده و هر فایل اجرایی بر روی درایوهای مقصد را به خود آلوده می‌کند. منطقاً از این قابلیت می‌توان این طور نتیجه‌گیری کرد که مهاجمان قصد انتشار در دامنه گسترده‌ای را داشته‌اند. نبود قابلیت مذکور در نسخ دیگر نیز می‌تواند نشانه‌ای از این باشد که مهاجمان نیاز به کنترل‌های سخت‌گیرانه‌تری برای توزیع در شبکه‌های هدف آن نسخ داشته‌اند. مورد حمله قرار دادن یک سیستم غیرمتصل به اینترنت – نه همه شبکه – نیز دیگر احتمال مطرح شده در خصوص عدم قابلیت آلوده‌سازی کل فایل‌های اجرایی است.

هدف Ramsay سرقت فایل‌ها از روی دستگاه‌های آلوده است. تمامی نسخ تحلیل شده توسط ESET اقدام به جمع‌آوری مستندات Word از روی سیستم فایل کامپیوتر قربانی می‌کنند. نمونه‌های جدیدتر به جست‌وجوی فایل‌های PDF و ZIP بر روی درایوهای شبکه‌ای و درایوهای جداشدنی نیز می‌پردازند.

فایل‌های جمع‌آوری شده به این روش با الگوریتم RC۴ رمزگذاری و با ابزار WinRAR که توسط نصاب Ramsay دریافت شده فشرده می‌شوند. در ادامه بخشی دیگر از بدافزار مخفی کردن و ارسال نمودن آنها را تسهیل می‌کند.

Ramsay با استفاده از دو رابط برنامه‌نویسی WriteFile و CloseHandle از روشی غیرمتمرکز برای ذخیره کردن این اطلاعات بر روی سیستم قربانی استفاده می‌کند. داده‌های سرقت شده به انتهای یک سند پاک Word افزوده می‌شوند. برای عادی به نظر رسیدن فایل، یک پسایند (Footer) به فایل اضافه می‌شود. سند حاصل شده همانند یک فایل معتبر عمل کرده و می‌توان آن را در Microsoft Word باز کرد.

در تحقیق ESET تنها به بررسی بخش‌هایی از بدافزار Ramsay که وظیفه انتشار بر روی سایر سیستم‌ها، سرقت فایل‌ها و آماده‌سازی داده‌ها برای ارسال را برعهده دارند پرداخته شده‌است. از آنجا که Ramsay سیستم‌های غیرمتصل به اینترنت را هدف قرار می‌دهد مهاجمان قادر به برقراری ارتباط مستقیم با سیستم‌های قربانی برای استخراج داده‌های سرقت شده یا دریافت فرامین نیستند.

به گفته محققان بدافزار با پویش سیستم‌فایل محلی، پوشه‌های اشتراکی در شبکه یا درایوهای جداشدنی اقدام به یافتن فایل‌های موسوم به کنترل ویژه که شامل فرامین مهاجمان است می‌پردازد. این بدان معناست که جزء دیگری از Ramsay وجود دارد که وظیفه آن استخراج داده‌ها و انتقال فرامین به بدافزار است. اگر چه ESET نمونه‌ای از ابزار مورد استفاده بدافزار برای استخراج را نیافته اما احتمال می‌دهد که چنین ابزاری به‌نحوی باید مورد استفاده قرار گرفته‌باشد.

یکی از روش‌هایی که مهاجمان را قادر به انجام آن می‌کند آلوده‌سازی سیستم‌های متصل به اینترنت است؛ سیستم‌هایی که کارمند از آنها برای انتقال فایل‌ها به یک شبکه غیرمتصل به اینترنت استفاده می‌کند.

چنین سیستمی به‌عنوان واسطی میان کامپیوترهای غیرمتصل که وجه اشتراک آنها استفاده از یک درایو جداشدنی مشترک است عمل می‌کند. یک فایل کنترلی ویژه (Special Control File)، بدافزار را به‌نحوی هدایت می‌کند که فایل Word حاوی داده‌های سرقت شده را بر روی درایو کپی کند. زمانی که درایو به کامپیوتر متصل به اینترنت وصل می‌شود فایل‌های سرقت شده استخراج می‌شوند. روشی که در نمونه بدافزارهای مخرب مورد استفاده گروه Sednit – که با نام APT۲۸ نیز شناخته می‌شود – در کارزار موسوم به USB Stealer در اواخر سال ۲۰۱۴ نیز مشاهده شده‌بود.

سناریوی مطرح شده دیگر، دسترسی فیزیکی مهاجمان به سیستم آلوده است. در این صورت پس از گذشت مدتی از آلوده شدن دستگاه به Ramsay مهاجم با دسترسی که در اختیار دارد فایل حاوی اطلاعات سرقت شده را جمع‌آوری می‌کند.

علی‌رغم وجود تکه‌کدهایی مشابه با درِ پشتی Retro که پیش‌تر توسط گروه DarkHotel مورد استفاده قرار گرفته‌بود مرتبط دانستن Ramsay با این گروه حداقل در حال حاضر ممکن نیست. ازجمله این شباهت‌ها وجود توکن‌هایی یکسان در هر دوی این بدافزارهاست.

از دیگر شباهت‌های Ramsay و Retro استفاده از API مشترک برای ایجاد شناسه GUID برای ماشین‌های آلوده و الگوریتمی یکسان برای رمز کردن آن است.

ضمن اینکه هر دو، فایل‌های لاگی با الگوی نامگذاری مشترک ایجاد کرده و با اتکا به ابزارهای کد باز (Open-source) سطح دسترسی خود را برای توزیع برخی اجزای خود استفاده می‌کنند و از همه مهم‌تر اینکه در فراداده Ramsay از کلمه کره‌ای استفاده شده‌است. با وجود این نشانه‌ها نمی‌توان با قطعیت Ramsay را مرتبط با DarkHotel دانست.

محققان ESET معتقدند که گردانندگان Ramsay در خصوص بستر قربانیان خود اطلاعات کافی داشته و با روش‌های اختصاصی، بدون استفاده از منابع غیرضروری به شبکه آنها رخنه می‌کرده‌اند.

منبع: مرکز مدیریت راهبردی افتا