بهرهجویی از PowerShell برای توزیع بدافزار Emotet
به گزارش محققان امنیتی، گردانندگان بدافزار Emotet اکنون بجای استفاده از فایلهای ماکرو Office که بطور پیشفرض غیرفعال شدهاند، از فایلهای میانبر Windows ا(Windows Shortcut Files (.LNK)) که حاوی فرامین PowerShell هستند، برای آلوده کردن کامپیوترهای کاربران استفاده میکنند.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده بدافزار مذکور مورد بررسی قرار گرفته است.
Emotet بدافزاری است که اغلب از طریق ارسال هرزنامه (spam) که حاوی پیوستهای مخرب است، توزیع و منتشر میشود. هنگامی که کاربر پیوست هرزنامه را باز کند، ماکروها یا برنامههای مخرب اقدام به دریافت فایل Emotet DLL نموده و آن را در حافظه بارگذاری میکنند.
پس از بارگذاری در حافظه، بدافزار Emotet ایمیلها را جهت سوءاستفاده در کارزارهای آینده خود جستجو و سرقت میکند و کدهای مخرب دیگری همچون Cobalt Strike یا بدافزارهای دیگری که معمولاً منجر به حملات باجافزاری میشود، بر روی سیستم قربانی قرار میدهد.
ولی مهاجمان Emotet در کارزار اخیر خود، از ایمیلهایی که فایل ZIP رمزدار به پیوست داشتند، استفاده کردهاند. فایل مذکور حاوی فایلهای میانبر (Windows LNK Shortcut) است که در ظاهر شبیه یک فایل Word است.
پیوستهای مورد استفاده در این کارزار، اغلب دارای عناوین زیر میباشند. اکیداً توصیه میشود چنانچه ایمیلی با پیوستهای مشابه دریافت کردید، از باز نمودن آنها خوداری کرده و در اسرع وقت با مسئولان بخش کامپیوتر سازمان خود تماس گرفته تا با بررسی پیوست مشخص شود آیا آنها مخرب هستند یا خیر.
استفاده از فایلهای LNK. روش جدیدی نیست، زیرا گردانندگان بدافزار Emotet قبلاً از آنها در ترکیب با برنامههای Visual Basic Script (VBS) به منظور ایجاد فرمانی جهت دریافت کدهای مخرب استفاده کردهاند. با این حال، این اولین بار است که آنها از میانبرهای Windows برای اجرای مستقیم دستورات PowerShell استفاده میکنند.
تغییر روش بعد از یک تلاش نافرجام
در روش بکارگرفته شده توسط گردانندگان بدافزار Emotet، هنگامی که کاربر روی فایل میانبر کلیک میکرد، فرمانی اجرا میشد تا یک رشته خاصی که حاوی کد VBS است را از فایل میانبر استخراج کند و آن را به یک فایل VBS اضافه نموده و آن فایل جدید VBS را اجرا کند.
با این حال، از آنجایی که فایلهای میانبر توزیع شده دارای نامی متفاوت از نام ثابتی که به دنبال آن جستجو میشد، بود، فایل VBS جدید به درستی ساخته نمیشد. از این رو گردانندگان بدافزار Emotet، پس از کشف اینکه این اشکال مانع از آلوده شدن کاربران میشود، بلافاصله کارزار خود را متوقف کردند.
مدتی بعد گردانندگان بدافزار Emotet، اشکال مذکور را برطرف کردند و بار دیگر شروع به ارسال هرزنامه به کاربران کردند. پس از رفع اشکال، این میانبرها اکنون در هنگام اجرای دستور از نام صحیح فایلها استفاده میکنند و فایلهای VBS به درستی ایجاد شده و بدافزار Emotet دریافت و بر روی دستگاه قربانیان نصب میشود.
محققان امنیتی با بررسی بیشتر این بدافزار متوجه شدند که Emotet به ترفند جدیدی روی آورده است. در این روش مهاجمان از دستورات PowerShell که به فایل LNK متصل است برای دریافت و اجرای یک برنامه بر روی کامپیوتر آلوده استفاده میکنند. رشته مخرب اضافه شده به فایل LNK. مبهمسازی شده است و با مقدار تهی (Blank Space) پر شده تا در گزینه Properties فایلی که میانبر به آن اشاره میکند، نمایش داده نشود.
فایل میانبر مخرب در بدافزار Emotet شامل نشانی چندین سایت آلوده است که برای ذخیره برنامه مخرب PowerShell مورد استفاده قرار میگیرد. اگر برنامه در یکی از نشانیهای تعریف شده وجود داشته باشد، به عنوان یک برنامه PowerShell دریافت شده و با یک نام تصادفی در پوشه موقت سیستم قرار میگیرد. در تصویر زیر، نسخه مبهمسازی نشده از رشته مخرب که به فایل میانبر متصل شده، نمایش داده شده است.
این برنامه، برنامه PowerShell دیگری را تولید و راهاندازی میکند که بدافزار Emotet را از فهرستی از سایتهای آلوده دریافت کرده و در پوشه %Temp% ذخیره میکند. سپس فایل DLL دریافت شده با استفاده از دستور regsvr32.exe اجرا میشود. اجرای برنامه PowerShell با استفاده از ابزار خط فرمان Regsvr32.exe صورت گرفته و با دریافت و فعالسازی بدافزار Emotet به پایان میرسد.
محققان امنیتی معتقدند که بکارگیری PowerShell در فایلهای میانبر LNK، جهت استقرار بدافزار Emotet، روش کاملاً جدیدی میباشد. آنها بر این باورند که این روش جدید تلاشی آشکار برای دور زدن راهکارهای دفاعی و شناسایی خودکار است. محققان در شرکت ضدویروس ایسِت (.ESET, LLC) همچنین عنوان نمودند که استفاده از روش جدید بدافزار Emotet در کشورهای مکزیک، ایتالیا، ژاپن، ترکیه و کانادا بکارگرفته شده و در حال افزایش است.
به غیر از بکارگیری PowerShell در فایلهای LNK، گردانندگان بدافزار Emotet تغییرات دیگری مانند انتقال به ماژولهای 64 بیتی را نیز انجام دادهاند. این بدافزار معمولاً به عنوان دروازهای برای سایر بدافزارها، به ویژه تهدیدات باجافزاری همچون Conti مورد استفاده قرار میگیرد.
منابع:
