مروری بر پروسه آلوده‌سازی در بدافزار بانکی Emotet

Emotet یک بدافزار پیشرفته بانکی است که ساختاری پیمانه‌ای و عملکردی کرم‌گونه دارد. هر چند Emotet مدتهاست که به‌عنوان یکی از مخرب‌ترین و خسارت‌بارترین بدافزارهای بانکی در حال فعالیت است اما در روزهای اخیر چندین شرکت امنیتی نسبت به انتشار گسترده آن هشدار داده‌اند.

به گزارش شرکت مهندسی شبکه گستر، Emotet بدافزاری چندشکلی (Polymorphic) است که ضدویروس‌های سنتی مبتنی بر امضا را در برابر خود ناتوان می‌کند. همچنین با رویکرد پیمانه‌ای و در قالب فایل‌های DLL به‌طور پیوسته قابلیت‌های خود را به‌روز می‌کند. علاوه بر آن، Emotet مجهز به تکنیک‌های ضدتحلیلی نظیر ضدماشین مجازی است. بستری که بسیاری از تحلیلگران ویروس از آنها برای کالبدشکافی بدافزارها استفاده می‌کنند.

گروه پاسخ‌گویی حوادث رایانه‌ای آمریکا، روش رخنه اولیه به سازمان را هرزنامه‌های با پیوست یا لینک‌های مخرب اعلام کرده است. در این هرزنامه‌ها، این‌طور القا می‌شود که موضوع ایمیل در خصوص رسیدهای PayPal، اطلاع‌رسانی‌های انتقال محموله یا صورتحساب‌های مهلت گذشته است.

فایل‌هایی که لینک‌های درج شده در این هرزنامه‌ها به آنها اشاره می‌کنند و همچنین پیوست‌های این ایمیل‌ها، فایل‌های PDF حاوی کد مخرب یا فایل‌های Office حاوی ماکرو هستند.

همان طور که اشاره شد Emotet دارای عملکرد کرم‌گونه بوده و قادر است تا خود را در سطح شبکه منتشر کند. در حال حاضر، از پنج ماژول زیر بدین منظور استفاده می‌شود:

• NetPass.exe – برنامه معتبری است که توسط NirSoft توسعه داده شده است. این نرم‌افزار قادر به کشف رمزهای عبور شبکه‌ای ذخیره شده بر روی یک سیستم است.
• Outlook scraper – ابزاری است که اسامی و نشانی‌های ایمیل را از نرم‌افزار Outlook قربانی استخراج نموده و با حساب کاربری او اقدام به ارسال هرزنامه و ایمیل‌های فیشینگ به آنها می‌کند.
• WebBrowserPassView – نرم‌افزاری است که مهاجم را قادر به دست‌یابی به رمزهای عبور ذخیره شده در مرورگرهای زیر می‌سازد:

– Internet Explorer
– Mozilla Firefox
– Google Chrome
– Safari
– Opera

• Mail PassView – ابزار دیگری است که رمزهای عبور و جزییات حساب کاربری را از نرم‌افزارهای مدیریت ایمیل زیر جمع‌آوری می‌کند:

– Microsoft Outlook
– Windows Mail
– Mozilla Thunderbird
– Hotmail
– Yahoo! Mail
– Gmail

• Credential enumerator – یک فایل خودبازشونده RAR متشکل از دو جز است؛ یک جز کاشف و یک جز سرویس. از جز کاشف برای شناسایی منابع شبکه‌ای نظیر پوشه‌های اشتراکی با سطح دسترس دسترسی نوشتن بر روی آنها از طریق پودمان Server Message Block – به اختصار SMB – یا اجرای حملات موسوم به سعی و خطا (Brute Force) بر ضد نام‌های کاربری همچون administrator استفاده می‌شود. باید توجه داشت که دسترسی Emotet به SMB می‌تواند منجر به آلوده شدن کل دامنه (سرورهای و ایستگاه‌های کاری) گردد. به‌محض شناسایی شدن یک سیستم در دسترس، Emotet، جز سرویس را بر روی آن ذخیره نموده و سپس بدافزار را اجرا می‌کند.

برای ماندگارسازی، Emotet کد خود را به explorer.exe و سایر پروسه‌های در حال اجرا تزریق می‌کند. ضمن این که با ایجاد فرامین Scheduled Tasks و یا از طریق دست‌درازی به محضرخانه (Registry) سبب اجرای خودکار خود در مراحل بعدی می‌شود.

همچنین، Emotet،  اطلاعاتی نظیر نام دستگاه، موقعیت آن و نسخه سیستم عامل را جمع‌آوری نموده و اقدام به گزارش آلودگی به سرور فرماندهی می‌کند. سرور فرماندهی نیز در عوض تنظیمات و فرامینی نظیر اجرای بدافزارهای دیگر را به دستگاه آلوده شده ارسال می‌کند.

نشانی سرورهای فرماندهی Emotet، معمولا، دامنه‌هایی 16 نویسه‌ای با پسوند eu است.

برای فرایب کاربر، نام فایل‌های اجرایی بدافزار از پروسه‌های متعلق به برنامه‌های معروف و شناخته شده الگوبرداری شده است. هر چند که فایل‌هایی با نام تصادفی نیز در پوشه‌های سیستمی ایجاد و به عنوان سرویس بر روی دستگاه قربانی به اجرا در می‌آیند. نمونه هایی از اثرات این بدافزار به شرح زیر است:

– C:\Users\<username>\AppData \Local\Microsoft\Windows\shedaudio.exe
– C:\Users\<username>\AppData\Roaming\Macromedia\Flash Player\macromedia\bin\flashplayer.exe
– C:\Windows\11987416.exe
– C:\Windows\System32\46615275.exe
– C:\Windows\System32\shedaudio.exe
– C:\Windows\SysWOW64\f9jwqSbS.exe

پروسه آلوده‌سازی در روندنمای زیر به طور کامل تشریح شده است.