محققان سیسکو تالوس، بدافزاری را بررسی کردند که از اسکریپت پاورشِل برای واکشی دستورات از رکوردهای TXT سرویس DNS استفاده می‌کند. کارشناسان تالوس گزارش مبسوطی را در مورد یک بدافزار ارائه کردند. این بدافزار در حملات هدفمند مورد استفاده قرار می‌گیرد و از اسناد مایکروسافت ورد استفاده می‌کند که از طریق هرزنامه توزیع می‌شوند.

کد مخربی که در این حملات مورد استفاده قرار می‌گیرد، مبتنی بر اسکریپت پاورشِل ویندوز است و ارتباط با زیرساخت دستور و کنترل با استفاده از سرویس نام دامنه (DNS) انجام می‌شود. مهاجمان از سرویس DNS برای ارتباط با کارگزار دستور و کنترل استفاده می‌کنند چرا که درخواست‌های DNS در شبکه‌های سازمانی هیچ‌گاه مسدود نمی‌شوند.

این کد مخرب اولین بار توسط محقق امنیتی با شناسه‌ی simpo۱۳@ کشف شد. او در ادامه یافته‌ی خود را به محققان امنیتی سیسکو تالوس گزارش داد چرا که متوجه شد در این کد مخرب، ارجاعی به برنامه‌ی امنیتی SourceFire شرکت سیسکو وجود دارد. این ارجاع به شکل یک متن کدشده به‌صورت «SourceFireSux» است.

مهاجمان از یک روش مهندسی اجتماعی استفاده می‌کنند تا کاربران را وادار به باز کردن سند مخرب بکنند. در وبلاگ تالوس می‌خوانیم: «به‌طرز جالبی این سند ورد، طوری طراحی شده که به نظر می‌رسد از طریق سرویس رایانامه‌ی امن دریافت شده و با استفاده از مک‌آفی محافظت می‌شود. این روش احتمالاً به این خاطر استفاده شده که قربانی با مک‌آفی آشنا بوده و سریع به این سند اعتماد کرده و آن را باز می‌کند. این سند به کاربر اطلاعات می‌دهد که محافظت‌شده است و برای نمایش محتوا باید ماکرو را فعال کند.»

وقتی قربانی سند ورد را باز می‌کند، فرآیند آلودگی چندمرحله‌ای آغاز می‌شود. ابتدا با اجرا شدن یک پرونده‌ی ویژوال بیسیک یا ماکروی سند ورد، دستورات پاورشِل اجرا شده و یک دربِ پشتی بر روی ماشین نصب می‌شود. گروه تالوس در ادامه توضیح داد: «فهرست درهم‌سازی که در Pastebin وجود داشت ما را به سمت یک سند ورد هدایت کرد که بر روی یک جعبه شنی عمومی بارگذاری شده بود. این سند نیز با فرآیند چندمرحله‌ای آلودگی آغاز شده بود و از طریق ماکروی مخرب فرآیند آلودگی را تکمیل می‌کرد.»

اسکریپت ویژوال بیسیک، یک پرونده‌ی فشرده و مبهم‌سازی‌شده‌ی پاورشِل را برای مرحله‌ی دوم، از بسته خارج می‌کند. این پاروشِل نسخه‌ی پاورشِلی که بر روی سامانه نصب شده را تشخیص می‌دهد و یک رکورد به رجیستری ویندوز اضافه می‌کند. در ادامه نیز یک پاورشِل را برای مرحله‌ی سوم آغاز می‌کند که به‌عنوان یک دربِ پشتی عمل می‌کند. اگر کاربرِ قربانی دارای دسترسی‌های مدیریتی باشد، نصب‌کننده‌ی پاورشِل یک دربِ پشتی را در پایگاه داده‌ی ابزار مدیریت ویندوز (WMI) اضافه می‌کند تا پس از راه‌اندازی مجدد سامانه، دارای ویژگی ماندگاری باشد. زمانی‌که دربِ پشتی بر روی سامانه نصب شد، در مرحله‌ی چهارم حمله، کد مخرب به‌طور دوره‌ای درخواست‌های DNS را به سمت آدرس‌هایی که در اسکریپت هاردکد شده ارسال می‌کند.

رکوردهای TXT موجود در درخواست‌های DNS حاوی دستورات پاورشِل هستند که به‌طور مستقیم بر روی سامانه‌ی آلوده اجرا خواهند شد. نکته‌ی مهمی که وجود دارد این است که اطلاعات از رکوردهای DNS بازیابی شده ولی بر روی سامانه‌ی محلی نوشته نمی‌شود. اسکریپتی که در مرحله‌ی ۴ مورد استفاده قرار می‌گیرد، در حقیقت ابزار کنترل از راه دور است که توسط مهاجمان بهره‌برداری می‌شود. اگر دستوری از طرف مهاجمان از طریق رکوردهای DNS دریافت شود، بر روی سامانه اجرا شده و نتایج آن به سمت کارگزار دستور و کنترل ارسال می‌شود. این راه‌کار باعث می‌شود تا مهاجم قادر باشد هر دستور ویندوزی را بر روی سامانه‌ی قربانی اجرا کند.

محققان امنیتی نتوانستند زیرساخت ارتباطی و دستور و کنترل را مورد تحلیل و بررسی قرار دهند. این بدافزار نمونه‌ی عالی از حملاتی است که مهاجمان از پروتکلی استفاده کرده‌اند که فرآیند شناسایی را برای محققان سخت کرده است. از این به بعد باید در شبکه‌های سازمانی، پروتکل DNS را روشی بدانیم که مهاجمان از آن به‌عنوان زیرساخت دستور و کنترل استفاده می‌کنند.

منبع: asis

درباره نماد امن

کانال اخبار فناوری اطلاعات نماد امن

“نماد امن” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

بدافزار پاورشِل، از پروتکل DNS به‌عنوان زیرساخت دستور و کنترل استفاده می‌کند

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *