ايتنا - تروجانی که سازمان‌های مالی را مورد هدف قرار داده

قربانیان این حمله، بانک‌های روسیه بودند اما چند مورد آلودگی در سازمان‌های مالزی و ارمنستان نیز مشاهده شد. از نظر تاکتیکی این حمله بسیار شبیه حمله پیشرفته notorious Carbanak بود، حمله‌ای که در آن ایمیل‌های فیشینگ با پیوست‌های مخرب به کارکنان بانک‌ها و سازمان‌های مالی ارسال شد و به دنبال جاسوسی از کاربران، حمله به طور ناگهانی به معامله ای جعلی تبدیل گشت. با استفاده از این روش مجرمان توانستند میلیاردها دلار پول بدست آورند و همین انگیزه‌ای برای تکرار این حمله شده است.

به گزارش ایتنا از کسپرسکی آنلاین، با این حال و با گذشت زمان، مجرمان حمله فیشینگ را کامل‌تر و جامع‎تر از قبل عملی ساختند. پس از آلوده شدن و محکم کاری در زیرساخت‌های یک سازمان، مجرمان به ارسال "قرارداد" بین شرکای بانک اقدام نمودند. قربانی بعدی، پیام فیشینگ را از طریق آدرس لینک شخص واقعی که در بانک فعالیت می‌کند، دریافت می‌کند. احتمال کلیک کردن بر روی لینک از این طریق می‌تواند بسیار بالا باشد.

تروجان Silence چگونه عمل می‌کند؟
قربانی یا یک کارمند مالی "قرارداد" را که فایل ضمیمه شده‌ای با فرمت chm. است را باز می‎کند. فایل HTML جاسازی شده، شامل کد جاوا اسکریپت مخربی است که یک دراپر را بارگذاری و فعال می‌سازد و سپس ماژول تروجان Silence را که به عنوان سرویس دهنده‌های ویندوز عمل می‌کند را بارگذاری می کند. ما در بین دستورات این حمله ماژول‌هایی برای کنترل و نظارت، ضبط صفحه نمایش و ارتباط با سرورهای کنترل به علاوه برنامه‌هایی برای اجرای دستورات از راه دور کنسول یافتیم.
این ماژول‌ها به مجرمان اجازه جمع آوری اطلاعات از شبکه و ضبط تصاویر از صفحه ی نمایش کاربران را می دهد. مجرمان در ابتدا همه آنها را نظارت می‌کنند، پس از اینکه متوجه شدند اطلاعات مالی مفیدی هستند بر روی آنها تمرکز کرده و اولویت خود را روی آنها قرار می‌دهند. هنگامی که مجرمان شناخت کاملی نسبت به نحوه عملکرد سیستم های اطلاعاتی قربانیان بدست آوردند، دستور انتقال وجه به حساب‌های خود را از حساب‌های قربانیان می‌دهند.

جزئیات فنی
مجرمان سایبری با استفاده از تروجان Silence ایمیل‌های فیشینگ را به عنوان بردارهای آلوده ارسال می کنند، آنها اغلب با استفاده از آدرس ایمیل‌های کارمندانی که قبلا آلوده شده‌اند، عملیات فیشینگ را انجام می‌دهند. پیامی که در ایمیل نمایان می‌شود درخواستی کاملا روتین و معمولی است. مجرمان با استفاده از فریب مهندسی اجتماعی به کاربران ثابت می‌کنند که همه چیز طبیعی است و هیچ مورد مشکوکی وجود ندارد.

فرمت chm. مخرب
پیوستی که ما در این حمله‌ فیشینگ شناسایی کردیم یک فایل “Microsoft Compiled HTML Help” است. این فایل یک قالب اختصاصی مایکروسافت است که شامل مجموعه ای از صفحات HTML، نمایه‌سازی و دیگر ابزارهای نویگیشن می‌شود. این فایل ها به صورت فشرده شده و با فرمت باینری در پسوند chm. قرار گرفته است. فایل‌های مخرب مذکور تعاملی هستند و قادرند یک نمونه از تکنولوژی های شامل جاوا اسکریپت را اجرا کنند.
به عنوان مثال پس از باز کردن فرمتchm. می‌تواند قربانی را به سمت یک URL خارجی هدایت نماید. مجرمان به اکسپلویت فایل‌های CHM برای بارگیری خودکار پیلودهای مخرب اقدام می‌کنند. هنگامی که فایل پیوست توسط قربانی باز می‌شود، محتویات جاسازی شده ی htm. اجرا می‌شود. این فایل شامل جاوا اسکریپت است و هدف اصلی آن دانلود و اجرای یک مرحله‌ دیگر از یک hard coded URL است.

هدف اسکریپت دانلود و اجرای یک VBS script مبهم است که مجدداً به دانلود و اجرای دراپر می‌پردازد.

دراپر
دراپر یک فایل باینری win32 قابل اجرا است که هدف آن برقراری ارتباط با سرور فرمان و کنترل (C&C)، ارسال شناسه ی دستگاه آلوده و در نهایت دانلود و اجرای پیلودهای مخرب است.

پس از اجرا دراپر با استفاده از یک درخواست GET به سرور (C&C) متصل می‎شود و شناسه‎ قربانی را ارسال، پیلودها را دانلود و آنها را با استفاده از تابع CreateProcess اجرا می‌کند.

پیلودها
پیلودها تعدادی از ماژول‌ها هستند که بر روی سیستم آلوده به منظور انجام برخی وظایف همانند ضبط صفحه‌ی نمایش، آپلود داده‌ها و غیره اجرا می‌شوند. تمام ماژول‌های پیلودی که ما قادر به شناسایی آن ها بودیم، به عنوان سرویس‌های ویندوز ثبت شده بودند.

نظارت و کنترل ماژول
وظیفه اصلی این ماژول نظارت بر فعالیت قربانی است. برای انجام این کار چندین اسکرین شات از صفحه نمایش فعال قربانی گرفته می‌شود و شبه ویدئویی از تمام فعالیت‌های قربانی ارائه می‌شود. این یک تکنیکی است که مشابه آن در پرونده‌ Carbanak مورد استفاده قرار گرفته بود و توانسته بود فعالیت روزمره‌ قربانی را ضبط کند.

این ماژول توسط یک سرویس ویندوز با نام “Default monitor” ثبت و آغاز می شود. پس از راه‌اندازی اولیه، آن یک pipe با یک مقدار سخت‌افزاری – “\\.\pipe\{73F7975A-A4A2-4AB6-9121-AECAE68AABBB}”. ایجاد می‌کند که از آن برای اشتراک گذاری داده‌ها در ارتباطات مخرب بین پردازش ماژول‌ها مورد استفاده قرار می‌گیرد.

بدافزار، داده‌های مسدود شده را رمزنگاری و آنها را عنوان یک فایل باینری با اسم hardcoded “mss.exe” در یک مکان موقت در ویندوز ذخیره و سپس آن را با استفاده از تابع CreateProcessAsUser اجرا می‌کند.

این دراپر باینری ماژولی است که مسئول ضبط فعالیت‌های صفحه نمایش است. پس از آن ماژول نظارت، منتظر یک ماژول دراپ برای آغاز اشتراک گذاری داده‌های ضبط شده با دیگر ماژول‌هایی که از named pipe استفاده می‌کردند، می‌ماند.

ماژول جمع‌آوری فعالیت‌های صفحه نمایش
این ماژول از هر دو رابط گرافیکی ویندوز (GDI) و API برای ضبط فعالیت‌های صفحه قربانی استفاده می‌کند. این کار با استفاده از توابع CreateCompatibleBitmap و GdipCreateBitmapFromHBITMAP انجام می‌شود.
از این پس ماژول به named pipe که توسط ماژولی که در بالا آن را شرح دادیم متصل می‌شود و داده‌ها را در آن جا می‌نویسد.

ماژول ارتباطی C&C با کنسول backconnect
ماژول ارتباطی C&C همانند دیگر ماژول‌ها، یکی از سرویس‌های ویندوز است. این ماژول، دسترسی backconnect را به دستگاه قربانی با استفاده از دستور فرمان کنسول فراهم می‌سازد که این ویژگی یکی از قابلیت‌های اصلی ماژول ارتباطی C&C است.

پس از گذشت این مرحله، این ماژول Windows API function names را رمزگشایی و آنها را با استفاده از LoadLibrary بارگذاری و با استفاده از توابعGetProcAddress آنها را انتخاب می‌کند.

پس از بارگذاری موفق تابع WinAPI، بدافزار تلاش می‌کند تا با استفاده از یک ادرس آی.پی hardcoded به سرور C&C متصل شود.

بدافزار درخواست‌های خاصی را با شناسه خودش به سرور فرماندهی ارسال می‌کند و سپس منتظر پاسخ می‌ماند تا کدها برای عملیات اجرا شوند. این کدها به صورت زیر هستند:

  htrjyytrn”: در زبان انگیسی به معنای "اتصال مجدد" می‌باشد.
  htcnfhn” : در زبان انگیسی به معنای "راه اندازی مجدد" می‌باشد.
  ytnpflfybq”: در زبان انگیسی به معنای "بدون وظیفه" می‌باشد.

در نهایت بدافزار دستورالعمل‌هایی را در مورد اینکه کدام کنسول‌ها فرمان اجرا می‌دهند، را دریافت می‌کند.

روش شرح داده شده به مجرمان اجازه می‌دهد تا بتوانند هر ماژول مخرب دیگری را نصب کنند. فعالیت مخرب می‌تواند به راحتی و با استفاده از دستور “sc create” کنسول صورت گیرد.

ابزار Winexecsvc
ما همچنین بر روی برخی از کامپیوترهای آلوده ابزاری را به نام "Winexesvc" یافتیم. این ابزار مشابه عملکرد ابزار شناخته شده “psexec” عمل می‌نماید. تفاوت اصلی آن این است که ابزار Winexesvc دستورات را از راه دور بر روی سیستم عامل لینوکس اجرا می‌کند. هنگامی که باینری "winexe" علیه ویندوز سرور ایجاد می‌شود، winexesvc.exe به عنوان یک سرویس ایجاد و نصب می‌شود.

چگونه می‌توان از کسب و کار خود در برابر حمله Silence محافظت نمود؟
همانطور که متوجه شدید یادآوری به کارمندان برای باز نکردن فایل‌های پیوست در ایمیل‌های خارجی کافی نیست. برای محافظت از موسسات مالی در برابر حملات سایبری امروزه توصیه می‌شود که:

به منظور افزایش آگاهی کارمندان خود نسبت به مسائل امنیت سایبری جلسات و کارگاه‌های آموزشی برگذارکنید؛
از راهکارهای امنیتی قوی که قادر به شناسایی تهدیدات در شبکه و زیرساخت‌ها هستند، استفاده کنید. راهکارهای امنیتی کسپرسکی برای کسب‌وکارها از وجود هرگونه تهدید در شبکه جلوگیری و فورا آن را مسدود می‌سازد.

راهکارهای امنیتی لابراتوار کسپرسکی تروجان Silence را با عنوان‌های زیر شناسایی کرده است:

Backdoor.Win32.Agent.dpke
Backdoor.Win32.Agent.dpiz
   Trojan.Win32.Agentb.bwnk
   Trojan.Win32.Agentb.bwni
Trojan-Downloader.JS.Agent.ocr
   HEUR:Trojan.Win32.Generic