سوءاستفاده از سرویس معتبر Windows برای اجرای “بدون فایل” بدافزار

مهاجمان با تزریق کد مخرب به سرویس معتبر Windows Error Reporting – به اختصار WER – اقدام به اجرای حملات موسوم به “بدون فایل” (Fileless) کرده‌اند.

این نخستین بار نیست که تاکتیک بهره‌جویی (Exploit) از سرویس WER مورد استفاده مهاجمان قرار می‌گیرد و پیش‌تر نیز در باج‌افزار Cerber و بدافزار NetWire RAT گزارش شده بود.

در حمله اخیر که شرکت ملوربایتز آن را گزارش کرده مهاجمان با هک یک سایت از آن برای میزبانی کد مخرب بهره گرفته‌اند. در ادامه نیز ضمن بکارگیری چندین تکنیک ضدتحلیل از CactusTorch Framework به‌منظور اجرای حمله به‌صورت “بدون فایل” استفاده کرده‌اند.

به گزارش شرکت مهندسی شبکه گستر، ملوربایتز این حمله را اولین بار در 27 شهریور در حین بررسی ایمیل‌های فیشینگ با پیوست یک فایل فشرده ZIP کشف کرد.

در فایل مذکور سندی به چشم می‌خورد که در آن یک ماکروی مخرب که نسخه‌ای سفارشی شده از ماژول CactusTorch  است لحاظ شده بود.

به‌محض باز شدن سند و فعال شدن ماکرو، کد موسوم به Shellcode دریافت شده و در ادامه کدی مبتنی بر NET. مستقیما در حافظه Windows فراخوانی می‌شود.

پس از آن بدون کپی شدن هر گونه فایل بر روی دیسک سخت دستگاه قربانی، Shellcode در پروسه سرویس WER (فایل WerFault.exe) تزریق می‌شود.

در ابتدا رشته اجرایی (Thread) سرویس جدید با چندین سازوکار ضدتحلیل اطمینان حاصل می‌کند که بر روی یک ماشین مجازی، سندباکس و به‌طور کلی بسترهای مورد استفاده محققان و تحلیلگران بدافزار اجرا نشده باشد. در غیر این صورت اجرای خود را متوقف می‌کند.

بعد از آن، Shellcode نهایی در رشته اجرایی WER رمزگشایی و اجرا می‌شود که این خود موجب اجرا در یک رشته اجرایی جدید می‌گردد.

در نهایت، کد نهایی بدافزار نیز که در فایلی با نام favicon32.ico بر روی asia-kotoba[.]net میزبانی شده دریافت و در یک پروسه جدید تزریق می‌شود.

با توجه به از دسترس خارج شدن URL مذکور، شرکت ملوربایتز موفق به دستیابی به کد نهایی نشده است.

دامنه‌ای که از آن برای میزبانی پیوست‌های ایمیل‌های فیشینگ استفاده شده (yourrighttocompensation[.]com) در شهر هوشی‌مین ویتنام ثبت شده است. به همین بخاطر اجرای حمله توسط گروه ویتنامی APT32 محتمل دانسته شده است. این گروه حمله مؤسسات تحقیقاتی، سازمان‌های حامی حقوق بشر و رسانه‌ها در کشورهای مختلف را در کارنامه دارد.

مشروح گزارش ملوربایتز در لینک زیر قابل مطالعه است:

https://blog.malwarebytes.com/malwarebytes-news/2020/10/kraken-attack-abuses-wer-service/

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *