بهره‌جویی از PowerShell برای توزیع بدافزار Emotet

به گزارش محققان امنیتی، گردانندگان بدافزار Emotet اکنون بجای استفاده از فایلهای ماکرو Office که بطور پیش‌فرض غیرفعال شده‌اند، از فایل‌های میانبر  Windows ا(Windows Shortcut Files (.LNK)) که حاوی فرامین PowerShell هستند، برای آلوده کردن کامپیوترهای کاربران استفاده می‌کنند.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده بدافزار مذکور مورد بررسی قرار گرفته است.

Emotet بدافزاری است که اغلب از طریق ارسال هرزنامه (spam) که حاوی پیوست‌های مخرب است، توزیع و منتشر می‌شود. هنگامی که کاربر پیوست هرزنامه را باز کند، ماکروها یا برنامه‌های مخرب اقدام به دریافت فایل Emotet DLL نموده و آن را در حافظه بارگذاری می‌کنند.

پس از بارگذاری در حافظه، بدافزار Emotet ایمیل‌ها را جهت سوءاستفاده در کارزار‌های آینده خود جستجو و سرقت می‌کند و کدهای مخرب دیگری همچون Cobalt Strike یا بدافزارهای دیگری که معمولاً منجر به حملات باج‌افزاری می‌شود، بر روی سیستم قربانی قرار می‌دهد.

ولی مهاجمان Emotet در کارزار اخیر خود، از ایمیل‌هایی که فایل ZIP رمزدار به پیوست داشتند، استفاده کرده‌اند. فایل مذکور حاوی فایل‌های میانبر (Windows LNK Shortcut) است که در ظاهر شبیه یک فایل Word است.

 

پیوست‌های مورد استفاده در این کارزار، اغلب دارای عناوین زیر می‌باشند. اکیداً توصیه می‌شود چنانچه ایمیلی با پیوست‌های مشابه دریافت کردید، از باز نمودن آنها خوداری کرده و در اسرع وقت با مسئولان بخش کامپیوتر سازمان خود تماس گرفته تا با بررسی پیوست مشخص شود آیا آنها مخرب هستند یا خیر.

 

استفاده از فایل‌های LNK. روش جدیدی نیست، زیرا گردانندگان بدافزار Emotet قبلاً از آنها در ترکیب با برنامه‌های Visual Basic Script (VBS) به منظور ایجاد فرمانی جهت دریافت کدهای مخرب استفاده کرده‌اند. با این حال، این اولین بار است که آنها از میانبرهای Windows برای اجرای مستقیم دستورات PowerShell استفاده می‌کنند.

 

تغییر روش بعد از یک تلاش نافرجام

در روش بکارگرفته شده توسط گردانندگان بدافزار Emotet، هنگامی که کاربر روی فایل میانبر کلیک می‌کرد، فرمانی اجرا می‌شد تا یک رشته خاصی که حاوی کد VBS است را از فایل میانبر استخراج کند و آن را به یک فایل VBS اضافه نموده و آن فایل جدید VBS را اجرا ‌کند.

 

با این حال، از آنجایی که فایل‌های میانبر توزیع شده دارای نامی متفاوت از نام ثابتی که به دنبال آن جستجو می‌شد، بود، فایل VBS جدید به درستی ساخته نمی‌شد. از این رو گردانندگان بدافزار Emotet، پس از کشف اینکه این اشکال مانع از آلوده شدن کاربران می‌شود، بلافاصله کارزار خود را متوقف کردند.

مدتی بعد گردانندگان بدافزار Emotet، اشکال مذکور را برطرف کردند و بار دیگر شروع به ارسال هرزنامه به کاربران کردند. پس از رفع اشکال، این میانبرها اکنون در هنگام اجرای دستور از نام‌ صحیح فایل‌ها استفاده می‌کنند و فایل‌های VBS به درستی ایجاد شده و بدافزار Emotet دریافت و بر روی دستگاه‌ قربانیان نصب می‌شود.

محققان امنیتی با بررسی بیشتر این بدافزار متوجه شدند که Emotet به ترفند جدیدی روی آورده است. در این روش مهاجمان از دستورات PowerShell که به فایل LNK متصل است برای دریافت و اجرای یک برنامه بر روی کامپیوتر آلوده استفاده می‌کنند. رشته مخرب اضافه شده به فایل LNK. مبهم‌سازی شده است و با مقدار تهی (Blank Space) پر شده تا در گزینه Properties فایلی که میانبر به آن اشاره می‌کند، نمایش داده نشود.

 

 

فایل میانبر مخرب در بدافزار Emotet شامل نشانی‌ چندین ‌سایت آلوده است که برای ذخیره برنامه مخرب PowerShell مورد استفاده قرار می‌گیرد. اگر برنامه در یکی از نشانی‌های تعریف شده وجود داشته باشد، به عنوان یک برنامه PowerShell دریافت شده و با یک نام تصادفی در پوشه موقت سیستم قرار می‌گیرد. در تصویر زیر، نسخه مبهم‌سازی نشده از رشته مخرب که به فایل میانبر متصل شده، نمایش داده شده است.

این برنامه، برنامه PowerShell دیگری را تولید و راه‌اندازی می‌کند که بدافزار Emotet را از فهرستی از سایت‌های آلوده دریافت کرده و در پوشه %Temp% ذخیره می‌کند. سپس فایل DLL دریافت شده با استفاده از دستور regsvr32.exe اجرا می‌شود. اجرای برنامه PowerShell با استفاده از ابزار خط فرمان Regsvr32.exe صورت گرفته و با دریافت و فعالسازی بدافزار Emotet به پایان می‌رسد.

محققان امنیتی معتقدند که بکارگیری PowerShell در فایل‌های میانبر LNK، جهت استقرار بدافزار Emotet، روش کاملاً جدیدی می‌باشد. آنها بر این باورند که این روش جدید تلاشی آشکار برای دور زدن راهکارهای دفاعی و شناسایی خودکار است. محققان در شرکت ضدویروس ای‌سِت (.ESET, LLC) همچنین عنوان نمودند که استفاده از روش جدید بدافزار Emotet در کشورهای مکزیک، ایتالیا، ژاپن، ترکیه و کانادا بکارگرفته شده و در حال افزایش است.

به غیر از بکارگیری PowerShell در فایل‌های LNK، گردانندگان بدافزار Emotet تغییرات دیگری مانند انتقال به ماژول‌های 64 بیتی را نیز انجام داده‌اند. این بدافزار معمولاً به عنوان دروازه‌ای برای سایر بدافزارها، به ویژه تهدیدات باج‌افزاری همچون Conti مورد استفاده قرار می‌گیرد.

 

منابع:

https://www.bleepingcomputer.com/news/security/emotet-malware-now-installs-via-powershell-in-windows-shortcut-files/

https://www.bleepingcomputer.com/news/security/emotet-malware-infects-users-again-after-fixing-broken-installer/

 

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *