در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده، برگردانی از گزارش محققان امنیتی شرکت پالو آلتو نتورکس در خصوص بدافزار BazarLoader ارائه شده است.
BazarLoader بدافزاری مبتنی بر Windows است که از طریق روشهای مختلفی از جمله ایمیل منتشر میشود. این آلودگیها برای مهاجمان دسترسی به درب پشتی (Backdoor) را فراهم میکنند که مهاجمان از آن برای تعیین اینکه آیا سرویس Active Directory – به اختصار AD – بر روی سرور میزبان فعال است یا خیر، استفاده میکنند. در صورتی که سرور میزبان بخشی از AD باشد، تبهکاران سایبری Cobalt Strike را اجرا کرده و شروع به شناسایی شبکه، ساختار و تحلیل آن مینمایند.
در صورتی که نتایج تحلیل شبکه نشاندهنده هدفی ارزشمند باشد، مهاجمان اغلب باجافزارهایی همچون Conti یا Ryuk را منتشر نموده و اقدام به توسعه دامنه آلودگی (Lateral Movement) میکنند.
این مقاله، یکی از آلودگیهای ایجاد شده توسط BazarLoader را مورد بررسی قرار میدهد، این که چگونه Cobalt Strike اجرا شده و چگونه Cobalt Strike منجر به شناسایی و توسعه آلودگی در شبکه میشود. چنانچه راهبران امنیتی فعالیت مشابهی را در شبکه خود کشف کنند، احتمال آن وجود دارد که مورد حمله باجافزاری قرار گرفته باشند.
روشهای توزیع BazarLoader
در طول تابستان 2021، کارزارهای مختلفی، بدافزار BazarLoader را با استفاده از ایمیل توزیع کردند. از اواخر ژوئیه تا اواسط آگوست 2021، اکثر نمونههای BazarLoader از طریق سه کارزار مختلف منتشر شدند.
یک نمونه از این بدافزار در کارزاری به نام BazarCall که جزییات آن در نشانی زیر اعلام شده، اقدام به توزیع بدافزار BazarLoader نمودند.
https://unit42.paloaltonetworks.com/bazarloader-malware/
در اوایل جولای، کارزاری با نام Copyright violation-themed campaign نیز با بکارگیری فایلهایی از نوع ZIP به نام Stolen Images Evidence.zip شروع به انتشار BazarLoader کرد. شرکت مایکروسافت (Microsoft Corp) جزییات این کارزار را در نشانی زیر شرح داده است.
در اواخر جولای، مهاجمان در کارزاری طولانیمدت به نام TA551 (Shathak) شروع به ارسال BazarLoader از طریق ایمیلهای انگلیسی زبان کردند. جزییات این کارزار در نشانی زیر توضیح داده شده است.
https://attack.mitre.org/groups/G0127/
محققان امنیتی پالو آلتو نتورکس (.Palo Alto Networks, Inc) در تحقیقات خود، علاوه بر سه کارزار مذکور، حداقل یک نمونه از بدافزار BazarLoader را شناسایی نمودند که از طریق یک فایل Excel با منشاء نامشخص توزیع شده است. جزییات بیشتر در لینک زیر قابل دریافت است.
https://www.malware-traffic-analysis.net/2021/08/19/index2.html
محققان امنیتی پالو آلتو نتورکس در روز چهارشنبه 27 مرداد 1400 فایل مخربی از نوع Excel را که دارای پسوند xlsb. بود و تاریخ آخرین بهروزرسانی آن 26 مرداد بود کشف نمودند. فایل مذکور حاوی ماکروهایی بود که به منظور آلوده کردن سرورهای میزبان آسیبپذیر مبتنی بر Windows به بدافزار BazarLoader طراحی شده بود. شکل زیر تصویری از این فایل بدافزاری از نوع Excel را نشان میدهد.
اگرچه لوگوی شرکت داکساین (.DocuSign, Inc) در بالای شکل و فایل نشان داده شده است، اما این فایل Excel توسط مهاجمانی ایجاد شده که سعی داشتند با سوءاستفاده از نام تجاری و تصویر شرکت داکساین، اعتماد دریافتکننده فایل را جلب کنند. مهاجمان مختلف تقریباً روزانه از این لوگو و سایر تصاویر شرکت مذکور استفاده میکنند.
پس از فعال کردن ماکروهای بدافزاری در یک سرور میزبان آسیبپذیر مبتنی بر Windows، فایل Excel، سربرگ (Tab) جدیدی که حاوی فاکتوری جعلی تحت عنوان (Invoice Information Service) است را ارائه کرد. فاکتور مذکور در شکل زیر نشان داده شده است.
با نمایش سربرگ حاوی فاکتور جعلی، کد ماکروی جاسازی شده در فایل Excel، یک فایل بدافزاری (Malicious Binary) را برای BazarLoader فراخوانی میکند.
کد موجود در ماکرو فایل Excel، یک فایل بدافزاری از نوع Dynamic Link Library – به اختصار DLL – را برای BazarLoader از نشانی زیر دانلود میکند.
hxxps://pawevi[.]com/lch5.dll
همانطور که در شکل زیر نشان داده شده، DLL در Home Directory سیستم قربانی در نشانی C:\Users\[username]\tru.dll ذخیره شده و با استفاده از regsvr32.exe اجرا شده است.
فایل DLL مربوط به BazarLoader، همانطور که در شکل زیر نشان داده شده، بلافاصله در مکان دیگری کپی میشود و از طریق Windows Registry در سیستم ماندگار میشود.
همانطور که در شکل بالا مشاهده میشود، نام فایل از tru.dll به kibuyuink.exe تغییر کرده، هر چند که همچنان از نوع DLL بوده و برای اجرا به regsvr32.exe نیاز دارد. تغییر پسوند نام فایل تکنیک رایجی است که در آلودگیهای مختلف بدافزاری دیده میشود.
ترافیک سرور کنترل و فرماندهی (C2) در Bazar
در ادامه نمونهای از فعالیت سرور کنترل و فرماندهی (C2) مربوط به BazarLoader، که با استفاده از ترافیک HTTPS از 225[.]104.248.174 بر روی درگاه TCP 443، دربپشتی با نام BazarBackdoor را بازیابی میکند، نمایش داده شده است.
سپس دربپشتی مذکور (BazarBackdoor)، سرور C2 را با بکارگیری ترافیک HTTPS به 170[.]104.248.166 روی پورت TCP 443 منتقل میکند. در شکل زیر به این فعالیت ترکیبی C2 به عنوان ترافیک Bazar C2 اشاره شده است.
این نمونه از فعالیت Bazar C2 باعث ایجاد ترافیک در دامنههای (Domain) معتبر و مجاز میشود. این فعالیت به خودی خود ذاتاً مخرب نیست. گونههایمختلف بدافزاری ترافیک مشابهی را جهت بررسی اتصال یا اطمینان از اینکه آیا سرور میزبان آلوده مبتنی بر Windows، به اینترنت متصل است یا خیر، ایجاد میکنند.
اجرای Cobalt Strike
تقریباً 41 دقیقه پس از آلودگی اولیه توسط BazarLoader، سرور میزبان آلوده مبتنی بر Windows، شروع به بکارگیری Cobalt Strike با استفاده از ترافیک HTTPS به gojihu[.]com و yuxicu[.]com میکند. شکل زیر اجرای Cobalt Strike را نشان میدهد.
در این حالت، یک فایل Cobalt Strike از نوع DLL، از طریق ترافیک Bazar C2 ارسال شده و در سرور میزبان آلوده مبتنی بر Windows در AppData\Roaming directory سیستم قربانی ذخیره میشود. شکل زیر نشان میدهد که یک فایل Cobalt Strike از نوع DLL، بر روی دستگاه آلوده شده در حال اجرا است.
Cobalt Strike منجر به شناسایی و کشف بستر سرور میزبان آلوده میشود. طبق گزارش محققان شرکت پالو آلتو نتورکس در محیطهای آزمایشگاهی، این فعالیت اکتشاف میتواند در عرض چند دقیقه پس از اولین ترافیک Cobalt Strike آغاز شود.
در این بررسی محققان پالو آلتو نتورکس دریافتند که مهاجمان تقریباً دو دقیقه پس از شروع فعالیت Cobalt Strike، از ابزاری به نام AdFind که در مسیر C:\ProgramData\AdFind.exe کپی شده، استفاده میکنند. ابزار مذکور از نوع خط فرمان (Command Line) بوده و توسط تبهکاران سایبری به منظور جمعآوری اطلاعات از AD بکار گرفته میشود. محققان در تحقیق خود از Batch File مربوطه برای اجرای ابزار مذکور استفاده نمودند. جزییات کامل ابزار AdFind در نشانی زیر قابل مطالعه است.
https://attack.mitre.org/software/S0552/
شکل زیر، مسیر AdFind، Batch File مربوطه یعنی adf.bat و نتایج جستجوی آن را که در هفت فایل متنی ذخیره شده، نشان میدهد.
در شکلی که در ادامه نمایش داده شده، فرامین بکار گرفته شده در فایل adf.bat که AdFind.exe را اجرا میکند، نشان داده شده است.
فرامین فوق، کاربران، کامپیوترها، فایلهای به اشتراکگذاشته شده و سایر اطلاعات را که در بستر AD مورد هدف قرار داده شده، نشان میدهد.
محققان پالو آلتو نتورکس در این تحقیق و شبیهسازی، هدف ارزشمندی را مورد حمله قرار ندادند و محیط مذکور را طی دو یا سه ساعت پس از آلودگی اولیه پاکسازی کردند. در این مثال، هیچ باجافزاری پس از شناسایی ارسال نشد.
محققان پالو آلتو نتورکس در این تحقیق و شبیهسازی، نمونهای از بدافزار BazarLoader را که به اجرای Cobalt Strike و به دنبال آن به شناسایی سیستمها و فایلهای ارزشمند منجر شده، بررسی و بازبینی کردهاند. هنگامی که مهاجمان از Cobalt Strike استفاده میکنند، توسط ابزاری با نام AdFind اطلاعاتی از AD را جمعآوری میکنند. اگر بستر AD هدفی ارزشمند برای مهاجم باشد، گام بعدی مهاجم توسعه دامنه آلودگی و دسترسی به Domain Controller و سایر سرورهای داخل شبکه است.