کارشناسان کسپرسکی در سپتامبر ماه 2017، یک حمله ی جدید که موسسات مالی را مورد هدف قرار داده بود، شناسایی نمودند. قربانیان این حمله، بانک های روسیه بودند اما چند مورد آلودگی در سازمان های مالزی و ارمنستان نیز مشاهده شد. از نظر تاکتیکی این حمله بسیار شبیه حمله ی پیشرفته ی notorious Carbanak بود، حمله ای که در آن ایمیل های فیشینگ با پیوست های مخرب به کارکنان بانک ها و سازمان های مالی ارسال شد و به دنبال جاسوسی از کاربران، حمله به طور ناگهانی به معامله ای جعلی تبدیل گشت. با استفاده از این روش مجرمان توانستند میلیاردها دلار پول بدست آورند و همین انگیزهای برای تکرار این حمله شده است.با این حال و با گذشت زمان، مجرمان حمله ی فیشینگ را کاملتر و جامعتر از قبل عملی ساختند. پس از آلوده شدن و محکم کاری در زیرساخت های یک سازمان، مجرمان به ارسال "قرارداد" بین شرکای بانک اقدام نمودند. قربانی بعدی، پیام فیشینگ را از طریق آدرس لینک شخص واقعی که در بانک فعالیت می کند، دریافت می کند. احتمال کلیک کردن بر روی لینک از این طریق می تواند بسیار بالا باشد.
تروجان Silence چگونه عمل می کند؟
قربانی یا یک کارمند مالی "قرارداد" را که فایل ضمیمه شده ای با فرمت chm. است را باز میکند. فایل HTML جاسازی شده، شامل کد جاوا اسکریپت مخربی است که یک دراپر را بارگذاری و فعال می سازد و سپس ماژول تروجان Silence را که به عنوان سرویس دهنده های ویندوز عمل می کند را بارگذاری می کند. ما در بین دستورات این حمله ماژول هایی برای کنترل و نظارت، ضبط صفحه ی نمایش و ارتباط با سرورهای کنترل به علاوه ی برنامه هایی برای اجرای دستورات از راه دور کنسول یافتیم.این ماژول ها به مجرمان اجازه ی جمع آوری اطلاعات از شبکه و ضبط تصاویر از صفحه ی نمایش کاربران را می دهد. مجرمان در ابتدا همه ی آن ها را نظارت می کنند، پس از اینکه متوجه شدند اطلاعات مالی مفیدی هستند بر روی آن ها تمرکز کرده و اولویت خود را روی آن ها قرار می دهند. هنگامی که مجرمان شناخت کاملی نسبت به نحوه ی عملکرد سیستم های اطلاعاتی قربانیان بدست آوردند، دستور انتقال وجه به حساب های خود را از حساب های قربانیان می دهند.
جزئیات فنی
مجرمان سایبری با استفاده از تروجان Silence ایمیل های فیشینگ را به عنوان بردارهای آلوده ارسال می کنند، آن ها اغلب با استفاده از آدرس ایمیل های کارمندانی که قبلا آلوده شده اند، عملیات فیشینگ را انجام میدهند. پیامی که در ایمیل نمایان می شود درخواستی کاملا روتین و معمولی است. مجرمان با استفاده از فریب مهندسی اجتماعی به کاربران ثابت می کنند که همه چیز طبیعی است و هیچ مورد مشکوکی وجود ندارد.
فرمت chm. مخرب
پیوستی که ما در این حملهی فیشینگ شناسایی کردیم یک فایل “Microsoft Compiled HTML Help” است. این فایل یک قالب اختصاصی مایکروسافت است کهشامل مجموعه ای از صفحات HTML، نمایهسازی و دیگر ابزارهای نویگیشن میشود. این فایل ها به صورت فشرده شده و با فرمت باینری در پسوند chm. قرار گرفته است. فایل های مخرب مذکور تعاملی هستند و قادرند یک نمونه از تکنولوژی های شامل جاوا اسکریپت را اجرا کنند. به عنوان مثال پس از باز کردن فرمتchm. می تواند قربانی را به سمت یک URL خارجی هدایت نماید. مجرمان به اکسپلویت فایل های CHM برای بارگیری خودکار پیلودهای مخرب اقدام میکنند. هنگامی که فایل پیوست توسط قربانی باز می شود، محتویات جاسازی شده ی htm. اجرا می شود. این فایل شامل جاوا اسکریپت است و هدف اصلی آن دانلود و اجرای یک مرحلهی دیگر از یک hard coded URL است.
هدف اسکریپت دانلود و اجرای یک VBS script مبهم است که مجدداً به دانلود و اجرای دراپر می پردازد.
دراپر
دراپر یک فایل باینری win32 قابل اجرا است که هدف آن برقراری ارتباط با سرور فرمان و کنترل (C&C)، ارسال شناسه ی دستگاه آلوده و در نهایت دانلود و اجرای پیلودهای مخرب است.
پس از اجرا دراپر با استفاده از یک درخواست GET به سرور (C&C) متصل میشود و شناسهی قربانی را ارسال، پیلودها را دانلود و آنها را با استفاده از تابعCreateProcess اجرا میکند.
پیلودها
پیلودها تعدادی از ماژول ها هستند که بر روی سیستم آلوده به منظور انجام برخی وظایف همانند ضبط صفحهی نمایش، آپلود داده ها و غیره اجرا می شوند. تمام ماژول های پیلودی که ما قادر به شناسایی آن ها بودیم، به عنوان سرویس های ویندوز ثبت شده بودند.
نظارت و کنترل ماژول
وظیفه ی اصلی این ماژول نظارت بر فعالیت قربانی است. برای انجام این کار چندین اسکرین شات از صفحه ی نمایش فعال قربانی گرفته می شود و شبه ویدئویی از تمام فعالیت های قربانی ارائه می شود. این یک تکنیکی است که مشابه آن در پروندهی Carbanak مورد استفاده قرار گرفته بود و توانسته بود فعالیت روزمرهی قربانی را ضبط کند.
این ماژول توسط یک سرویس ویندوز با نام “Default monitor” ثبت و آغاز می شود. پس از راه اندازی اولیه، آن یک pipe با یک مقدار سخت افزاری – “\\.\pipe\{73F7975A-A4A2-4AB6-9121-AECAE68AABBB}”. ایجاد میکند که از آن برای اشتراک گذاری داده ها در ارتباطات مخرب بین پردازش ماژول ها مورد استفاده قرار می گیرد.
بدافزار، داده های مسدود شده را رمزنگاری و آن ها را عنوان یک فایل باینری با اسم hardcoded “mss.exe” در یک مکان موقت در ویندوز ذخیره و سپس آن را با استفاده از تابع CreateProcessAsUser اجرا می کند.این دراپر باینری ماژولی است که مسئول ضبط فعالیتهای صفحه ی نمایش است. پس از آن ماژول نظارت، منتظر یک ماژول دراپ برای آغاز اشتراک گذاری داده های ضبط شده با دیگر ماژول هایی که از named pipe استفاده می کردند، می ماند.
ماژول جمع آوری فعالیت های صفحه نمایش
این ماژول از هر دو رابط گرافیکی ویندوز (GDI) و API برای ضبط فعالیت های صفحه ی قربانی استفاده می کند. این کار با استفاده از توابعCreateCompatibleBitmap و GdipCreateBitmapFromHBITMAP انجام می شود.از این پس ماژول به named pipe که توسط ماژولی که در بالا آن را شرح دادیم متصل می شود و داده ها را در آن جا می نویسد.
ماژول ارتباطی C&C با کنسول backconnect
ماژول ارتباطی C&C همانند دیگر ماژولها، یکی از سرویسهای ویندوز است. این ماژول، دسترسی backconnect را به دستگاه قربانی با استفاده از دستور فرمان کنسول فراهم می سازد که این ویژگی یکی از قابلیت های اصلی ماژول ارتباطی C&C است.پس از گذشت این مرحله، این ماژول Windows API function names را رمزگشایی و آن ها را با استفاده از LoadLibrary بارگذاری و با استفاده از توابعGetProcAddress آن ها را انتخاب می کند.
پس از بارگذاری موفق تابع WinAPI، بدافزار تلاش می کند تا با استفاده از یک ادرس آی پی hardcoded به سرور C&C متصل شود.
بدافزار درخواست های خاصی را با شناسه ی خودش به سرور فرماندهی ارسال می کند و سپس منتظر پاسخ می ماند تا کدها برای عملیات اجرا شوند. این کدها به صورت زیر هستند:
در نهایت بدافزار دستورالعمل هایی را در مورد اینکه کدام کنسول ها فرمان اجرا می دهند، را دریافت می کند.
روش شرح داده شده به مجرمان اجازه می دهد تا بتوانند هر ماژول مخرب دیگری را نصب کنند. فعالیت مخرب می تواند به راحتی و با استفاده از دستور “sc create” کنسول صورت گیرد.ابزارWinexecsvcما همچنین بر روی برخی از کامپیوترهای آلوده ابزاری را به نام "Winexesvc" یافتیم. این ابزار مشابه عملکرد ابزار شناخته شده ی “psexec” عمل می نماید. تفاوت اصلی آن این است که ابزار Winexesvc دستورات را از راه دور بر روی سیستم عامل لینوکس اجرا می کند. هنگامی که باینری "winexe" علیه ویندوز سرور ایجاد می شود، winexesvc.exe به عنوان یک سرویس ایجاد و نصب می شود.
چگونه می توان از کسب و کار خود در برابر حمله ی Silence محافظت نمود؟
همانطور که متوجه شدید یادآوری به کارمندان برای باز نکردن فایل های پیوست در ایمیل های خارجی کافی نیست. برای محافظت از موسسات مالی در برابر حملات سایبری امروزه توصیه می شود که:
راهکارهای امنیتی لابراتوار کسپرسکی تروجان Silence را با عنوان های زیر شناسایی کرده است:
تروجان Silence چگونه عمل می کند؟
قربانی یا یک کارمند مالی "قرارداد" را که فایل ضمیمه شده ای با فرمت chm. است را باز میکند. فایل HTML جاسازی شده، شامل کد جاوا اسکریپت مخربی است که یک دراپر را بارگذاری و فعال می سازد و سپس ماژول تروجان Silence را که به عنوان سرویس دهنده های ویندوز عمل می کند را بارگذاری می کند. ما در بین دستورات این حمله ماژول هایی برای کنترل و نظارت، ضبط صفحه ی نمایش و ارتباط با سرورهای کنترل به علاوه ی برنامه هایی برای اجرای دستورات از راه دور کنسول یافتیم.این ماژول ها به مجرمان اجازه ی جمع آوری اطلاعات از شبکه و ضبط تصاویر از صفحه ی نمایش کاربران را می دهد. مجرمان در ابتدا همه ی آن ها را نظارت می کنند، پس از اینکه متوجه شدند اطلاعات مالی مفیدی هستند بر روی آن ها تمرکز کرده و اولویت خود را روی آن ها قرار می دهند. هنگامی که مجرمان شناخت کاملی نسبت به نحوه ی عملکرد سیستم های اطلاعاتی قربانیان بدست آوردند، دستور انتقال وجه به حساب های خود را از حساب های قربانیان می دهند.
جزئیات فنی
مجرمان سایبری با استفاده از تروجان Silence ایمیل های فیشینگ را به عنوان بردارهای آلوده ارسال می کنند، آن ها اغلب با استفاده از آدرس ایمیل های کارمندانی که قبلا آلوده شده اند، عملیات فیشینگ را انجام میدهند. پیامی که در ایمیل نمایان می شود درخواستی کاملا روتین و معمولی است. مجرمان با استفاده از فریب مهندسی اجتماعی به کاربران ثابت می کنند که همه چیز طبیعی است و هیچ مورد مشکوکی وجود ندارد.
پیوستی که ما در این حملهی فیشینگ شناسایی کردیم یک فایل “Microsoft Compiled HTML Help” است. این فایل یک قالب اختصاصی مایکروسافت است کهشامل مجموعه ای از صفحات HTML، نمایهسازی و دیگر ابزارهای نویگیشن میشود. این فایل ها به صورت فشرده شده و با فرمت باینری در پسوند chm. قرار گرفته است. فایل های مخرب مذکور تعاملی هستند و قادرند یک نمونه از تکنولوژی های شامل جاوا اسکریپت را اجرا کنند. به عنوان مثال پس از باز کردن فرمتchm. می تواند قربانی را به سمت یک URL خارجی هدایت نماید. مجرمان به اکسپلویت فایل های CHM برای بارگیری خودکار پیلودهای مخرب اقدام میکنند. هنگامی که فایل پیوست توسط قربانی باز می شود، محتویات جاسازی شده ی htm. اجرا می شود. این فایل شامل جاوا اسکریپت است و هدف اصلی آن دانلود و اجرای یک مرحلهی دیگر از یک hard coded URL است.
دراپر یک فایل باینری win32 قابل اجرا است که هدف آن برقراری ارتباط با سرور فرمان و کنترل (C&C)، ارسال شناسه ی دستگاه آلوده و در نهایت دانلود و اجرای پیلودهای مخرب است.
پیلودها تعدادی از ماژول ها هستند که بر روی سیستم آلوده به منظور انجام برخی وظایف همانند ضبط صفحهی نمایش، آپلود داده ها و غیره اجرا می شوند. تمام ماژول های پیلودی که ما قادر به شناسایی آن ها بودیم، به عنوان سرویس های ویندوز ثبت شده بودند.
نظارت و کنترل ماژول
وظیفه ی اصلی این ماژول نظارت بر فعالیت قربانی است. برای انجام این کار چندین اسکرین شات از صفحه ی نمایش فعال قربانی گرفته می شود و شبه ویدئویی از تمام فعالیت های قربانی ارائه می شود. این یک تکنیکی است که مشابه آن در پروندهی Carbanak مورد استفاده قرار گرفته بود و توانسته بود فعالیت روزمرهی قربانی را ضبط کند.
ماژول جمع آوری فعالیت های صفحه نمایش
این ماژول از هر دو رابط گرافیکی ویندوز (GDI) و API برای ضبط فعالیت های صفحه ی قربانی استفاده می کند. این کار با استفاده از توابعCreateCompatibleBitmap و GdipCreateBitmapFromHBITMAP انجام می شود.از این پس ماژول به named pipe که توسط ماژولی که در بالا آن را شرح دادیم متصل می شود و داده ها را در آن جا می نویسد.
ماژول ارتباطی C&C همانند دیگر ماژولها، یکی از سرویسهای ویندوز است. این ماژول، دسترسی backconnect را به دستگاه قربانی با استفاده از دستور فرمان کنسول فراهم می سازد که این ویژگی یکی از قابلیت های اصلی ماژول ارتباطی C&C است.پس از گذشت این مرحله، این ماژول Windows API function names را رمزگشایی و آن ها را با استفاده از LoadLibrary بارگذاری و با استفاده از توابعGetProcAddress آن ها را انتخاب می کند.
- “htrjyytrn”: در زبان انگیسی به معنای "اتصال مجدد" می باشد.
- “htcnfhn” : در زبان انگیسی به معنای "راه اندازی مجدد" می باشد.
- “ytnpflfybq”: در زبان انگیسی به معنای "بدون وظیفه" می باشد.
در نهایت بدافزار دستورالعمل هایی را در مورد اینکه کدام کنسول ها فرمان اجرا می دهند، را دریافت می کند.
چگونه می توان از کسب و کار خود در برابر حمله ی Silence محافظت نمود؟
همانطور که متوجه شدید یادآوری به کارمندان برای باز نکردن فایل های پیوست در ایمیل های خارجی کافی نیست. برای محافظت از موسسات مالی در برابر حملات سایبری امروزه توصیه می شود که:
- به منظور افزایش آگاهی کارمندان خود نسبت به مسائل امنیت سایبری جلسات و کارگاه های آموزشی برگذارکنید؛
- از راهکارهای امنیتی قوی که قادر به شناسایی تهدیدات در شبکه و زیرساخت ها هستند، استفاده کنید. راهکارهای امنیتی کسپرسکی برای کسب و کارها از وجود هرگونه تهدید در شبکه جلوگیری و فورا آن را مسدود می سازد.
راهکارهای امنیتی لابراتوار کسپرسکی تروجان Silence را با عنوان های زیر شناسایی کرده است:
- Backdoor.Win32.Agent.dpke
- Backdoor.Win32.Agent.dpiz
- Trojan.Win32.Agentb.bwnk
- Trojan.Win32.Agentb.bwni
- Trojan-Downloader.JS.Agent.ocr
- HEUR:Trojan.Win32.Generic