بهره‌گیری مهاجمان از Google Drive به‌عنوان سرور فرماندهی بدافزار

یکی از ترفندهای مخفی‌سازی ارتباطات مخرب بدافزار از دید محصولات امنیتی بکارگیری امکانات و سرویس‌های معتبر در فرایند نصب و اجرای عملیات مورد نظر مهاجمان است.

شرکت‌های پالو آلتو نت‌ورکز و سکیورتی اینترپرایز 360، از شناسایی نسخه جدیدی از بدافزار RogueRobin خبر داده‌اند که از سرویس میزبانی فایل Google Drive به‌عنوان سرور فرماندهی خود استفاده می‌کند.

به گزارش شرکت مهندسی شبکه گستر، RogueRobin بدافزاری از نوع درب‌پشتی است که با زبان #C توسعه داده شده است. RogueRobin از جمله بدافزارهای  مورد استفاده گروه سایبری DarkHydrus است.

DarkHydrus نخستین بار در تابستان امسال توجه محققان امنیتی را به خود جلب کرد. در آن زمان این گروه در کارزاری سایبری با استفاده از یک ابزار کد باز (Open-source) اطلاعات اصالت‌سنجی سیستم‌های نهادهای دولتی و آموزشی کشورهای منطقه خاورمیانه را سرقت می‌کرد.

در حمله اخیر نیز گروه DarkHydrus بر روی منطقه خاورمیانه متمرکز بوده است.

مهاجمان DarkHydrus در ابتدا تلاش می‌کنند تا کاربر را تشویق به باز کردن یک فایل Excel – با نام xlsm.الفهارس یا xlsm.الاطلاع – کنند. فایل مذکور حاوی ماکرویی مخرب است که در صورت فعال شدن / بودن بخش ماکرو موجب دریافت یک فایل TXT و ذخیره آن در مسیر %Temp% می‌شود. در ادامه، ماکرو محتوای فایل TXT را از طریق پروسه معتبر regsvr32.exe به اجرا در می‌آورد. عملیاتی که موجب نصب و اجرای درب‌پشتی RogueRobin می‌شود.

RogueRobin مجهز به قابلیت‌های متعدد مخفی‌سازی خود از دید محصولات امنیتی و تحلیلگران بدافزار است. از جمله این قابلیت‌ها می‌توان به توانایی آن در شناسایی بسترهای قرنطینه امن (Sandbox)، محیط‌های مجازی‌سازی شده و ابزارهای تحلیلگر نصب شده بر روی دستگاه / ماشین اشاره کرد. ضمن اینکه RogueRobin دارای کدهای موسوم به ضددیباگ است.

همانند نسخه قبلی RogueRobin در نسخه جدید نیز از روش DNS Tunneling برای ارسال و دریافت فرامین استفاده می‌شود.

اما آنچه که این نسخه جدید را از نسخه قبلی آن به‌طور خاصی متمامیز می‌کند استفاده آن از توابع Google Drive به‌عنوان کانال دوم برای تبادل اطلاعات با مهاجمان است. بدین‌نحو که RogueRobin یک فایل را به حساب کاربری تحت Google Drive ارسال کرده و به‌طور پیوسته زمان تغییر فایل را مورد بررسی قرار می‌دهد. هدف از این کار آگاهی یافتن بدافزار از اعمال تغییرات جدید در فایل توسط مهاجمان است.

استفاده از قابلیت مجاز ماکرو، انتقال کد در فایل در ظاهر بی‌خطر TXT، اجرا از طریق پروسه معتبر regsvr32.exe، برقراری ارتباط با سرور فرماندهی در بستر DNS و اکنون بکارگیری یک سرویس معروف و پراستفاده میزبانی فایل، عملا کار شناسایی RogueRobin را برای بسیاری از محصولات ضدویروس دشوار و حتی غیرممکن می‌کند.

استفاده از ضدویروس قدرتمند و به‌روز، پیکربندی صحیح تنظیمات ماکرو در مجموعه نرم‌افزاری Office، بهره‌گیری از دیواره‌های آتش پیشرفته و از همه مهمتر آموزش کاربران در پرهیز از اجرای لینک‌ها و فایل‌های ناآشنا همگی در کنار یکدیگر می‌توانند سازمان را از گزند این نوع بدافزارها ایمن نگاه دارند.

گزارش‌های پالو آلتو نت‌ورکز و سکیورتی اینترپرایز 360 در لینک‌های زیر در دسترس است:

همچنین نمونه فایل‌های مخرب اشاره شده در گزارش‌های مذکور و بدافزار RogueRobin با نام‌های زیر قابل شناسایی می‌باشند:

Bitdefender:
   – VB.PwShell.2.Gen
   – Trojan.GenericKD.31520160
   – Trojan.GenericKD.40938848
   – Gen:Variant.Razy.450914

McAfee:
   – RDN/Generic Downloader.x
   – RDN/Generic.dx
   – RDN/Generic.grp
   – X97M/Downloader.cu

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *