تروجان جدید Nerbian با ترفندهای پیشرفته ضد تشخیص

شرکت پروف‌پوینت (.Proofpoint, Inc) از شناسایی بدافزاری جدید خبر داده که با بکارگیری ترفندهای مختلف قادر به دور زدن راهکارهای امنیتی و فرار از چنگ آنها می‌باشد.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده بدافزار مذکور مورد بررسی قرار گرفته است.

نتایج بررسی و تحلیل محققان شرکت پروف‌پوینت حاکی از آن است که این بدافزار یک تروجان دسترسی از راه دور (Remote Access Trojan – به اختصار RAT) بوده و از طریق کارزارهای مخرب ایمیلی با سوءاستفاده از سوژه COVID-19 در حال گسترش است و برای اینکار از ترفندهای مختلفی برای دور زدن راهکارهای امنیتی استفاده می‌کند.

این بدافزار که Nerbian نامگذاری شده به زبان برنامه‌نویسی GO که سازگار با هر نوع سیستم‌عامل است، نوشته شده و بطور قابل توجهی از امکانات ضد تحلیل و ضد مهندسی معکوس استفاده می‌کند.

محققان پروف‌پوینت، نام این تروجان را بر اساس نام یکی از توابع موجود در کد بدافزار که به نظر می‌رسد از «Nerbia» نام مکانی تخیلی در رمان دن‌کیشوت (Don Quixote) اقتباس شده باشد، Nerbian گذاشته‌اند.

بر اساس مشاهدات، توزیع این تروجان‌ برای نخستین بار از 6 اردیبهشت با یک کارزار ایمیلی نه چندان حجیم آغاز شده و در پیام‌هایی به صنایع مختلف و عمدتاً در ایتالیا، اسپانیا و بریتانیا ارسال شده است.

پیام‌های ارسالی ادعا می‌کنند که از سوی سازمان بهداشت جهانی (World Health Organization – به اختصار WHO) ارسال شده‌اند و حاوی اطلاعات مهمی در مورد ویروس COVID-19 هستند. مشابه این پیام‌ها در یک کارزار «فریب سایبری» موسوم به فیشینگ (Phishing) که در روزهای نخستین همه‌گیری کرونا در فروردین سال 1399 بر پا شده بود، ارسال می‌شد.

در نمونه ایمیل‌های منتشر شده، ایمیل‌های ارسالی به‌گونه‌ای هستند که به نظر برسند از سوی سازمان بهداشت جهانی ارسال شده‌اند. این ایمیل‌ها از نشانی‌های who.inter.svc@gmail[.]com یا announce@who-international[.]com و تحت عنوان World Health Organization یا WHO ارسال می‌‌شوند.

این ایمیل‌ها به ظاهر شامل اقدامات ایمنی مربوط به COVID-19 بوده و همچنین شامل پیوست‌هایی هستند که عبارت «covid19» در نام فایل‌ها بکار رفته است. اما در واقع فایل‌های پیوست، فایل‌های Word حاوی ماکروهای مخرب هستند.

در صورت فعال بودن ماکروها در نرم افزار Word، با کلیک کاربر بر روی فایل‌های پیوست، اطلاعاتی در خصوص پیشگیری از COVID-19 به ویژه قرنطینه نمودن و مراقبت از افراد مبتلا به COVID-19 نمایش داده می‌شود. همچنین ماکرو جاسازی شده در فایل اجرا می‌شود که باعث ایجاد یک فایل بر روی سیستم قربانی شده و یک فرآیند PowerShell را به جریان می‌اندازد. این فرآیند فایل فراخوان‌کننده Nerbian را در یک فایل اجرایی 64 بیتی به نام UpdateUAV.exe که به زبان برنامه‌نویسی Go نوشته شده، بارگذاری می‌کند.

محققان معتقدند که زبان برنامه‌نویسی Go، احتمالاً به دلیل یادگیری آسان و سهولت استفاده از آن، در حال تبدیل شدن به زبان محبوب مهاجمان است.

پیچیدگی برای فرار از چنگ راهکارهای امنیتی

به نقل از محققان، تروجان Nerbian در چندین مرحله از چند مؤلفه ضد تحلیل و چندین کتابخانه منبع باز استفاده می‌کند. در واقع، بدافزار در سه مرحله مجزا عمل می‌کند و بسیار پیچیده است. همانطور که توضیح داده شد، بدافزار با انتشار فایل مخرب فوق از طریق حملات فیشینگ شروع کرده و سپس با فایل اجرایی UpdateUAV.exe ادامه می‌دهد. فایل فراخوان‌کننده بدافزار قبل از اجرا و فعالسازی Nerbian، کنترل‌های مختلفی را انجام می‌دهد تا مطمئن شود در محیط آزمایشگاهی، قرنطینه یا جعبه شنی اجرا نمی‌شود. در نهایت، تروجان از طریق یک فایل پیکربندی و رمزگذاری‌شده با احتیاط بسیار اجرا می‌شود. به منظور اطمینان از رصد نشدن و دورزدن راهکارهای امنیتی، داده‌های ارسالی به سرورهای کنترل و فرمان‌دهی (Command-and-Control – به اختصار C2) رمزگذاری شده و از طریق ارتباطات امن منتقل می‌شوند.

محققان پروف‌پوینت اظهار داشتند که این بدافزار علاوه بر ارتباط و تبادل اطلاعات با سرورهای C2، سایر کارهای معمول یک تروجان، همچون ضبط کلیدهای فشرده شده توسط کاربر (Keylogging) و تصویربرداری از صفحه نمایش (Screen Capture) را نیز به شیوه خود انجام می‌دهد. ضبط کلیدهای فشرده شده توسط کاربر را به صورت رمزگذاری شده انجام می‌دهد؛ در حالی که ابزار تصویربرداری از صفحه نمایش آن نیز در تمامی انواع سیستم‌های عامل کار می‌کند.

ارزیابی دقیق

شاید پیچیده‌ترین بخش گریز از راهکارهای امنیتی در این فرآیند سه مرحله‌ای، مرحله قبل از اجرای فایل فراخوان‌کننده بدافزار Nerbian باشد. به گفته محققان، فایل فراخوان‌کننده بدافزار، به صورت دقیق و گسترده، سیستم قربانی را بررسی نموده و در صورت وجود هر یک از شرایط زیر، اجرای آن را متوقف می‌کند.  

  • اندازه دیسک سخت سیستم کمتر از یک اندازه معین (100 گیگابایت) باشد.
  • نام دیسک سخت حاوی «virtual» ،«vbox» یا «vmware» باشد.
  • آدرس MAC درخواست شده مقادیر OUI خاصی را برگرداند.
  • چنانچه هر یک از برنامه‌های مهندسی معکوس/اشکال زدایی در فهرست فرآیندها مشاهده شوند.
  • اگر برنامه‌های تحلیل حافظه/ تخریب حافظه همچون Dumplt.exe ،RAMMap.exe ،RAMMap64.exe و یا vmmap.exe در فهرست فرآیندها وجود داشته باشند.
  • و در نهایت چنانچه مقدار زمان سپری شده برای اجرای توابع خاص «بیش از حد» در نظر گرفته شود، که نشان‌دهنده اجرا در محیط آزمایشگاهی است.

با این حال، با وجود این همه پیچیدگی جهت اطمینان از شناسایی نشدن تروجان Nerbian در مسیر نفوذ به دستگاه قربانی، فایل فراخوان‌کننده بدافزار و خود بدافزار، به غیر از استفاده از فشرده‌ساز UPX، از روش‌های مخفی‌سازی استفاده نمی‌کنند. بکارگیری UPX نیز لزوماً منجر به مخفی‌سازی نمی‌شود و تنها باعث کاهش اندازه فایل اجرایی را می‌شود.

همچنین محققان اظهار داشته‌اند که درک نحوه عملکرد برنامه‌های فراخوان‌کننده بدافزار و خود بدافزار، به دلیل وجود داده‌هایی در کد این برنامه‌ها که به منابعی بر روی بستر برنامه‌نویسی GitHub اشاره دارند، آسان است.

مشروح گزارش شرکت پروف‌پوینت درخصوص تروجان Nerbian در نشانی زیر قابل مطالعه می‌باشد:

https://www.proofpoint.com/us/blog/threat-insight/nerbian-rat-using-covid-19-themes-features-sophisticated-evasion-techniques

 

منبع:

https://threatpost.com/nerbian-rat-advanced-trick/179600/

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *