مروری بر ابزار ساخت بدافزار Trillium

به گزارش شرکت مهندسی شبکه گستر به نقل از شرکت امنیتی McAfee، چند روز پیش قفل نرم افزار Trillium Security MultiSploit Tool شکسته و فایل قفل شکسته آن بر روی چندین تالار گفتگوی اینترنتی به اشتراک گذاشته شد.

tril_010316_001

 Trillium که یک ابزار ساخت بدافزار است توسط یک برنامه نویس با همین نام نوشته شده است. نرم افزار حاوی یک توافقنامه است که در آن گفته شده که از نرم افزار نباید برای مقاصد مخرب استفاده شود.

tril_010316_002

برای بکار گیری این ابزار کاربر باید توافقنامه را با کلیک بر روی یک دگمه تایید کند. بنابراین عملاً هر کس از این ابزار استفاده می کند این توافقنامه را نقض کرده است.

همچنین با ساخت هر بهره جو (Exploit) یا دانلود کننده (Downloader) توسط این ابزار نفوذ، مجدد به کاربر یادآوری می شود که از آن استفاده مخرب نشود.

tril_010316_003

در اواخر سال میلادی گذشته، نسخه نخست این ابزار، با قیمت 300 دلار در یک تالار گفتگوی معروف نفوذگران به فروش می رسید. از آن زمان تا کنون سه نسخه از این ابزار ارائه شده است.

tril_010316_004

این ابزار نفوذ مهاجم را قادر به ساخت سه نوع بدافزار می کند:

  • بهره جوهای میانبر (Windows Shortcut Exploits)
  • بهره جوهای بی صدا (Silent Exploits)
  • بهره جوهای ماکرویی (Macro Exploits)

بهره جوهای میانبر Windows، فایل مخرب را در قالب یک فایل LNK و از طریق پروسه مجاز PowerShell اجرا می کنند. 

tril_010316_005

یک بهره جوی بی صدا نیز فایل خاصی را از اینترنت دانلود و آن را بر روی سیستم قربانی اجرا می کند. مهاجم قادر است این نوع بهره جو را با پسوندهای زیر ایجاد کند:

*.chm,*.wsf, *.vbs, *.hta, *.htm, *.html, *.bat, *.cmd, *.ps1, *.psc1, *.exe, *.pif, *.scr, *.com, *.url, *.lnk

بسته به گزینه انتخاب شده خروجی این نوع بهره جو یکی از فایل های زیر خواهد بود:

  • یک اسکریپت Powershell
  • یک فایل اجرایی Visual Basic
  • یک اسکریپت Visual Basic

اسکریپت Powershell فایل مخرب را با استفاده از این پروسه Windows اجرا می کند.

tril_010316_007

فایل اجرایی Visual Basic نیز یک فایل اجرایی را بر روی دستگاه قربانی دانلود و اجرا می کند.

tril_010316_011

اسکریپت Visual Basic نیز کاری مشابه را انجام می دهد.

tril_010316_032

بهره جو ماکرویی نیز به مهاجم امکان می دهد از طریق قابلیت Macro در نرم افزار Office یک فایل را دانلود و اجرا کند. در سال 94 تعداد قابل توجهی از کاربران ایرانی از طریق این روش به باج افزارها آلوده شدند.

tril_010316_013

همچنین از این ابزار جهت توزیع بدافزارها از طریق هرزنامه ها نیز استفاده شده است.

tril_010316_014-2

محصولات امنیتی شرکت McAfee فایل های ایجاد شده توسط این ابزار را با به روز رسانی DAT 8094 و بعد از آن با نام های زیر شناسایی می کند:

  • Trojan-FHYT
  • Trojan-FHYU
  • W97M/Downloader.azi
  • W97M/Downloader.azj
  • W97M/Downloader.azk

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *