کمیته رکن چهارم – چند روز پیش قفل نرم افزار Trillium Security MultiSploit Tool شکسته و فایل قفل شکسته آن بر روی چندین تالار گفتگوی اینترنتی به اشتراک گذاشته شد.
Trillium که یک ابزار ساخت بدافزار است توسط یک برنامه نویس با همین نام نوشته شده است. نرم افزار حاوی یک توافقنامه است که در آن گفته شده که از نرم افزار نباید برای مقاصد مخرب استفاده شود.
برای بکار گیری این ابزار کاربر باید توافقنامه را با کلیک بر روی یک دگمه تایید کند. بنابراین عملاً هر کس از این ابزار استفاده می کند این توافقنامه را نقض کرده است.
همچنین با ساخت هر بهره جو (Exploit) یا دانلود کننده (Downloader) توسط این ابزار نفوذ، مجدد به کاربر یادآوری می شود که از آن استفاده مخرب نشود.
در اواخر سال میلادی گذشته، نسخه نخست این ابزار، با قیمت ۳۰۰ دلار در یک تالار گفتگوی معروف نفوذگران به فروش می رسید. از آن زمان تا کنون سه نسخه از این ابزار ارائه شده است.
این ابزار نفوذ مهاجم را قادر به ساخت سه نوع بدافزار می کند:
بهره جوهای میانبر (Windows Shortcut Exploits)
بهره جوهای بی صدا (Silent Exploits)
بهره جوهای ماکرویی (Macro Exploits)
بهره جوهای میانبر Windows، فایل مخرب را در قالب یک فایل LNK و از طریق پروسه مجاز PowerShell اجرا می کنند.
tril_010316_005
یک بهره جوی بی صدا نیز فایل خاصی را از اینترنت دانلود و آن را بر روی سیستم قربانی اجرا می کند. مهاجم قادر است این نوع بهره جو را با پسوندهای زیر ایجاد کند:
*.chm,*.wsf, *.vbs, *.hta, *.htm, *.html, *.bat, *.cmd, *.ps1, *.psc1, *.exe, *.pif, *.scr, *.com, *.url, *.lnk
بسته به گزینه انتخاب شده خروجی این نوع بهره جو یکی از فایل های زیر خواهد بود:
یک اسکریپت Powershell
یک فایل اجرایی Visual Basic
یک اسکریپت Visual Basic
اسکریپت Powershell فایل مخرب را با استفاده از این پروسه Windows اجرا می کند.
tril_010316_007
فایل اجرایی Visual Basic نیز یک فایل اجرایی را بر روی دستگاه قربانی دانلود و اجرا می کند.
tril_010316_011
اسکریپت Visual Basic نیز کاری مشابه را انجام می دهد.
tril_010316_032
بهره جو ماکرویی نیز به مهاجم امکان می دهد از طریق قابلیت Macro در نرم افزار Office یک فایل را دانلود و اجرا کند. در سال ۹۴ تعداد قابل توجهی از کاربران ایرانی از طریق این روش به باج افزارها آلوده شدند.
tril_010316_013
همچنین از این ابزار جهت توزیع بدافزارها از طریق هرزنامه ها نیز استفاده شده است.
tril_010316_014-2
محصولات امنیتی شرکت McAfee فایل های ایجاد شده توسط این ابزار را با به روز رسانی DAT 8094 و بعد از آن با نام های زیر شناسایی می کند:
Trojan-FHYT
Trojan-FHYU
W97M/Downloader.azi
W97M/Downloader.azj
W97M/Downloader.azk
به گزارش کمیته رکن چهارم،