مروری بر ابزار ساخت بدافزار Trillium
به گزارش شرکت مهندسی شبکه گستر به نقل از شرکت امنیتی McAfee، چند روز پیش قفل نرم افزار Trillium Security MultiSploit Tool شکسته و فایل قفل شکسته آن بر روی چندین تالار گفتگوی اینترنتی به اشتراک گذاشته شد.
Trillium که یک ابزار ساخت بدافزار است توسط یک برنامه نویس با همین نام نوشته شده است. نرم افزار حاوی یک توافقنامه است که در آن گفته شده که از نرم افزار نباید برای مقاصد مخرب استفاده شود.
برای بکار گیری این ابزار کاربر باید توافقنامه را با کلیک بر روی یک دگمه تایید کند. بنابراین عملاً هر کس از این ابزار استفاده می کند این توافقنامه را نقض کرده است.
همچنین با ساخت هر بهره جو (Exploit) یا دانلود کننده (Downloader) توسط این ابزار نفوذ، مجدد به کاربر یادآوری می شود که از آن استفاده مخرب نشود.
در اواخر سال میلادی گذشته، نسخه نخست این ابزار، با قیمت 300 دلار در یک تالار گفتگوی معروف نفوذگران به فروش می رسید. از آن زمان تا کنون سه نسخه از این ابزار ارائه شده است.
این ابزار نفوذ مهاجم را قادر به ساخت سه نوع بدافزار می کند:
- بهره جوهای میانبر (Windows Shortcut Exploits)
- بهره جوهای بی صدا (Silent Exploits)
- بهره جوهای ماکرویی (Macro Exploits)
بهره جوهای میانبر Windows، فایل مخرب را در قالب یک فایل LNK و از طریق پروسه مجاز PowerShell اجرا می کنند.
یک بهره جوی بی صدا نیز فایل خاصی را از اینترنت دانلود و آن را بر روی سیستم قربانی اجرا می کند. مهاجم قادر است این نوع بهره جو را با پسوندهای زیر ایجاد کند:
*.chm,*.wsf, *.vbs, *.hta, *.htm, *.html, *.bat, *.cmd, *.ps1, *.psc1, *.exe, *.pif, *.scr, *.com, *.url, *.lnk
بسته به گزینه انتخاب شده خروجی این نوع بهره جو یکی از فایل های زیر خواهد بود:
- یک اسکریپت Powershell
- یک فایل اجرایی Visual Basic
- یک اسکریپت Visual Basic
اسکریپت Powershell فایل مخرب را با استفاده از این پروسه Windows اجرا می کند.
فایل اجرایی Visual Basic نیز یک فایل اجرایی را بر روی دستگاه قربانی دانلود و اجرا می کند.
اسکریپت Visual Basic نیز کاری مشابه را انجام می دهد.
بهره جو ماکرویی نیز به مهاجم امکان می دهد از طریق قابلیت Macro در نرم افزار Office یک فایل را دانلود و اجرا کند. در سال 94 تعداد قابل توجهی از کاربران ایرانی از طریق این روش به باج افزارها آلوده شدند.
همچنین از این ابزار جهت توزیع بدافزارها از طریق هرزنامه ها نیز استفاده شده است.
محصولات امنیتی شرکت McAfee فایل های ایجاد شده توسط این ابزار را با به روز رسانی DAT 8094 و بعد از آن با نام های زیر شناسایی می کند:
- Trojan-FHYT
- Trojan-FHYU
- W97M/Downloader.azi
- W97M/Downloader.azj
- W97M/Downloader.azk