پنهان‌نگاری فرامین مخرب در تصاویر

پنهان‌نگاری (Steganography) که در جریان آن کدهای مخرب، درون فایل‌های غیراجرایی همچون فایل‌های تصویری مخفی می‌شود از جمله تکنیک‌های مورد استفاده مهاجمان حرفه‌ای است. هدف از بکارگیری تکنیک‌های پنهان‌نگاری مخفی نگاه داشتن ارتباطات و کدهای مخرب از دید محصولات امنیتی نظیر ضدویروس‌ها و دیواره‌های آتش است.

در این سناریوها، کد تزریق شده در فایل، خود به تنهایی قابلیت اجرا نداشته و صرفا وظیفه انتقال داده‌ها – نظیر فرمان، کد مخرب، اطلاعات سرقت شده و … – را بر عهده دارد.

به‌تازگی محققان شرکت ترند مایکرو جزییات بدافزاری را منتشر کرده‌اند که مهاجمان آن علاوه بر این تکنیک حرفه‌ای از روشی خلاقانه برای بهره‌گیری از یک شبکه اجتماعی عمومی و یک سرویس رایگان به‌اشتراک‌گذاری متن به‌عنوان سرور فرماندهی خود استفاده کرده‌اند.

بدافزار مذکور پس از اجرا شدن بر روی دستگاه قربانی اقدام به اتصال به صفحه توییتر حساب کاربری تحت کنترل مهاجمان نموده و با الگوی زیر تصاویر به اشتراک گذاشته شده در آن حساب را دریافت می‌کند:

<img src=\”(.*?):thumb\” width=\”.*?\” height=\”.*?\”/>

در ادامه، بدافزار فایل‌های دریافت‌شده را پردازش کرده و به دنبال فرامینی می‌گردد که با نویسه “/” از کدهای تصویر متمایز شده‌اند.

در گزارش ترند مایکرو به دو فایل با نام‌های DqVe1PxWoAIQ44B.jpg و DqfU9sZWoAAlnFh.jpg اشاره گردیده که هر دوی آنها حاوی فرمان print/ هستند.

به گزارش شرکت مهندسی شبکه گستر، بدافزار بر اساس فرمان مذکور از صفحه نمایش کاربر تصویربرداری کرده و آنها را به یک نشانی خاص ارسال می‌کند. این نشانی از روی اطلاعاتی که توسط مهاجمان در سایت Pastebin به اشتراک گذاشته شده استخراج می‌شود.

Pastebin سایتی است که امکان به‌اشتراک‌گذاری متن را به رایگان ارائه می‌کند.

این بدافزار، علاوه بر print/ از فرامین زیر پشتیبانی می‌کند:

• processos/ که فهرستی از پروسه‌های اجرا شده را استخراج می‌کند.
• clip/ که محتوای حافظه موقت Clipboard را کپی می‌کند.
• username/ که نام کاربر جاری دستگاه آلوده شده را باز می‌گرداند.
• docs/ که نام فایل‌های ذخیره شده در مسیری خاص را ارسال می‌کند.

ترند مایکرو از روش انتشار این بدافزار اظهار بی‌اطلاعی کرده است.

مشروح گزارش این شرکت در مسیر زیر قابل دریافت و مطالعه است:

https://blog.trendmicro.com/trendlabs-security-intelligence/cybercriminals-use-malicious-memes-that-communicate-with-malware

همچنین نمونه بدافزارهای اشاره شده در گزارش ترند مایکرو با نام‌های زیر قابل شناسایی هستند:

Bitdefender:
   – Generic.MSIL.DownloaderB.B9608547
   – Gen:Heur.MSIL.Krypt.2
   – Generic.MSIL.DownloaderB.E64D9E16
   – Trojan.AgentWDCR.PJY

McAfee:
   – RDN/Generic PWS.y
   – RDN/Generic.dx
   – RDN/Generic Downloader.x
   – Generic.dzn

Sophos:
   – Mal/Generic-S
   – Mal/Generic-L