نماد سایت اتاق خبر شبکه گستر

کالبدشکافی نسخه اخیر بدافزار BazarLoader

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده، برگردانی از گزارش محققان امنیتی شرکت پالو آلتو نتورکس در خصوص بدافزار BazarLoader ارائه شده است.

BazarLoader بدافزاری مبتنی بر Windows است که از طریق روش‌های مختلفی از جمله ایمیل منتشر می‌شود. این آلودگی‌ها برای مهاجمان دسترسی به درب پشتی (Backdoor) را فراهم می‌کنند که مهاجمان از آن برای تعیین اینکه آیا سرویس Active Directory – به اختصار AD – بر روی سرور میزبان فعال است یا خیر، استفاده می‌کنند. در صورتی که سرور میزبان بخشی از AD باشد، تبهکاران سایبری Cobalt Strike را اجرا کرده و شروع به شناسایی شبکه، ساختار و تحلیل آن می‌نمایند.

در صورتی که نتایج تحلیل شبکه نشان‌دهنده هدفی ارزشمند باشد، مهاجمان اغلب باج‌افزارهایی همچون Conti یا Ryuk را منتشر نموده و اقدام به توسعه دامنه آلودگی (Lateral Movement) می‌کنند.

این مقاله، یکی از آلودگی‌های ایجاد شده توسط BazarLoader را مورد بررسی قرار می‌دهد، این که چگونه Cobalt Strike اجرا شده و چگونه Cobalt Strike منجر به شناسایی و توسعه آلودگی در شبکه می‌شود. چنانچه راهبران امنیتی فعالیت مشابهی را در شبکه خود کشف کنند، احتمال آن وجود دارد که مورد حمله باج‌افزاری قرار گرفته باشند.

روش‌های توزیع BazarLoader

در طول تابستان 2021، کارزارهای مختلفی، بدافزار BazarLoader را با استفاده از ایمیل توزیع کردند. از اواخر ژوئیه تا اواسط آگوست 2021، اکثر نمونه‌های BazarLoader از طریق سه کارزار مختلف منتشر شدند.

یک نمونه از این بدافزار در کارزاری به نام BazarCall که جزییات آن در نشانی زیر اعلام شده، اقدام به توزیع بدافزار BazarLoader نمودند.

https://unit42.paloaltonetworks.com/bazarloader-malware/

در اوایل جولای، کارزاری با نام Copyright violation-themed campaign نیز با بکارگیری فایل‌هایی از نوع ZIP به نام Stolen Images Evidence.zip شروع به انتشار BazarLoader کرد. شرکت مایکروسافت (Microsoft Corp) جزییات این کارزار را در نشانی زیر شرح داده است.

https://www.microsoft.com/security/blog/2021/04/09/investigating-a-unique-form-of-email-delivery-for-icedid-malware/

در اواخر جولای، مهاجمان در کارزاری طولانی‌مدت به نام TA551 (Shathak) شروع به ارسال BazarLoader از طریق ایمیل‌های انگلیسی زبان کردند. جزییات این کارزار در نشانی زیر توضیح داده شده است.

https://attack.mitre.org/groups/G0127/

محققان امنیتی پالو آلتو نتورکس (.Palo Alto Networks, Inc) در تحقیقات خود، علاوه بر سه کارزار مذکور، حداقل یک نمونه از بدافزار BazarLoader  را شناسایی نمودند که از طریق یک فایل Excel با منشاء نامشخص توزیع شده است. جزییات بیشتر در لینک زیر قابل دریافت است.

https://www.malware-traffic-analysis.net/2021/08/19/index2.html

 

 

محققان امنیتی پالو آلتو نتورکس در روز چهارشنبه 27 مرداد 1400 فایل مخربی از نوع Excel را که دارای پسوند xlsb. بود و تاریخ آخرین به‌روز‌رسانی آن 26 مرداد بود کشف نمودند. فایل مذکور حاوی ماکروهایی بود که به منظور آلوده کردن سرورهای میزبان آسیب‌پذیر مبتنی بر Windows به بدافزار BazarLoader طراحی شده بود. شکل زیر تصویری از این فایل بدافزاری از نوع Excel را نشان می‌دهد.

 

 

اگرچه لوگوی شرکت داک‌ساین (.DocuSign, Inc) در بالای شکل و فایل نشان داده شده است، اما این فایل Excel توسط مهاجمانی ایجاد شده که سعی داشتند با سوءاستفاده از نام تجاری و تصویر شرکت داک‌ساین، اعتماد دریافت‌کننده فایل را جلب کنند. مهاجمان مختلف تقریباً روزانه از این لوگو و سایر تصاویر شرکت مذکور استفاده می‌کنند.

پس از فعال کردن ماکروهای بدافزاری در یک سرور میزبان آسیب‌پذیر مبتنی بر Windows، فایل Excel، سربرگ (Tab) جدیدی که حاوی فاکتوری جعلی تحت عنوان (Invoice Information Service) است را ارائه کرد. فاکتور مذکور در شکل زیر نشان داده شده است.

 

 

با نمایش سربرگ حاوی فاکتور جعلی، کد ماکروی جاسازی شده در فایل Excel، یک فایل بدافزاری (Malicious Binary) را برای BazarLoader فراخوانی می‌کند.

کد موجود در ماکرو فایل Excel، یک فایل بدافزاری از نوع Dynamic Link Library  – به اختصار DLL – را برای BazarLoader از نشانی زیر دانلود می‌کند.

hxxps://pawevi[.]com/lch5.dll

همانطور که در شکل زیر نشان داده شده، DLL در Home Directory سیستم قربانی در نشانی C:\Users\[username]\tru.dll ذخیره شده و با استفاده از regsvr32.exe اجرا شده است.

 

 

فایل DLL مربوط به BazarLoader، همانطور که در شکل زیر نشان داده شده، بلافاصله در مکان دیگری کپی می‌شود و از طریق Windows Registry در سیستم ماندگار می‌شود.

 

 

همانطور که در شکل بالا مشاهده می‌شود، نام فایل از tru.dll به kibuyuink.exe تغییر کرده، هر چند که همچنان از نوع DLL بوده و برای اجرا به regsvr32.exe نیاز دارد. تغییر پسوند نام فایل تکنیک رایجی است که در آلودگی‌های مختلف بدافزاری دیده می‌شود.

ترافیک سرور کنترل و فرمان‌دهی (C2) در Bazar

در ادامه نمونه‌ای از فعالیت سرور کنترل و فرمان‌دهی (C2) مربوط به BazarLoader، که با استفاده از ترافیک HTTPS از 225[.]104.248.174 بر روی درگاه TCP 443، درب‌پشتی با نام BazarBackdoor را بازیابی می‌کند، نمایش داده شده است.

سپس درب‌پشتی مذکور (BazarBackdoor)، سرور C2 را با بکارگیری ترافیک HTTPS به 170[.]104.248.166 روی پورت TCP 443 منتقل می‌کند. در شکل زیر به این فعالیت ترکیبی C2 به عنوان ترافیک Bazar C2 اشاره شده است.

 

 

این نمونه از فعالیت Bazar C2 باعث ایجاد ترافیک در دامنه‌های (Domain) معتبر و مجاز می‌شود. این فعالیت به خودی خود ذاتاً مخرب نیست. گونه‌های‌مختلف بدافزاری ترافیک مشابهی را جهت بررسی اتصال یا اطمینان از اینکه آیا سرور میزبان آلوده مبتنی بر Windows، به اینترنت متصل است یا خیر، ایجاد می‌کنند.

اجرای Cobalt Strike

تقریباً 41 دقیقه پس از آلودگی اولیه توسط BazarLoader، سرور میزبان آلوده مبتنی بر Windows، شروع به بکارگیری Cobalt Strike با استفاده از ترافیک HTTPS به gojihu[.]com و yuxicu[.]com می‌کند. شکل زیر اجرای Cobalt Strike را نشان می‌دهد.

 

 

در این حالت، یک فایل Cobalt Strike از نوع DLL، از طریق ترافیک Bazar C2 ارسال شده و در سرور میزبان آلوده مبتنی بر Windows در AppData\Roaming directory سیستم قربانی ذخیره می‌شود. شکل زیر نشان می‌دهد که یک فایل Cobalt Strike از نوع DLL، بر روی دستگاه آلوده شده در حال اجرا است.

 

 

Cobalt Strike منجر به شناسایی و کشف بستر سرور میزبان آلوده می‌شود. طبق گزارش محققان شرکت پالو آلتو نتورکس در محیط‌های آزمایشگاهی، این فعالیت اکتشاف می‌تواند در عرض چند دقیقه پس از اولین ترافیک Cobalt Strike آغاز شود.

در این بررسی محققان پالو آلتو نتورکس دریافتند که مهاجمان تقریباً دو دقیقه پس از شروع فعالیت Cobalt Strike، از ابزاری به نام AdFind که در مسیر C:\ProgramData\AdFind.exe کپی شده، استفاده می‌کنند. ابزار مذکور از نوع خط فرمان (Command Line) بوده و توسط تبهکاران سایبری به منظور جمع‌آوری اطلاعات از AD بکار گرفته می‌شود. محققان در تحقیق خود از Batch File مربوطه برای اجرای ابزار مذکور استفاده نمودند. جزییات کامل ابزار AdFind در نشانی زیر قابل مطالعه است.

https://attack.mitre.org/software/S0552/

شکل زیر، مسیر AdFind، Batch File مربوطه یعنی adf.bat و نتایج جستجوی آن را که در هفت فایل متنی ذخیره شده، نشان می‌دهد.

 

 

در شکلی که در ادامه نمایش داده شده، فرامین بکار گرفته شده در فایل adf.bat که AdFind.exe را اجرا می‌کند، نشان داده شده است.

 

 

فرامین فوق، کاربران، کامپیوترها، فایل‌های به اشتراک‌گذاشته شده و سایر اطلاعات را که در بستر AD مورد هدف قرار داده شده، نشان می‌دهد.

محققان پالو آلتو نتورکس در این تحقیق و شبیه‌سازی، هدف ارزشمندی را مورد حمله قرار ندادند و محیط مذکور را طی دو یا سه ساعت پس از آلودگی اولیه پاکسازی کردند. در این مثال، هیچ باج‌افزاری پس از شناسایی ارسال نشد.

محققان پالو آلتو نتورکس در این تحقیق و شبیه‌سازی، نمونه‌ای از بدافزار BazarLoader را که به اجرای Cobalt Strike و به دنبال آن به شناسایی سیستم‌ها و فایل‌های ارزشمند منجر شده، بررسی و بازبینی کرده‌اند. هنگامی که مهاجمان از Cobalt Strike استفاده می‌کنند، توسط ابزاری با نام AdFind اطلاعاتی از AD را جمع‌آوری می‌کنند. اگر بستر AD هدفی ارزشمند برای مهاجم باشد، گام بعدی مهاجم توسعه دامنه آلودگی و دسترسی به Domain Controller و سایر سرورهای داخل شبکه است.

خروج از نسخه موبایل