• پایان فعالیت بخشهای انجمن: امکان ایجاد موضوع یا نوشته جدید برای عموم کاربران غیرفعال شده است

Silence: تروجان جدیدی که سازمان های مالی را مورد هدف قرار داده است!

sanjary

Registered User
تاریخ عضویت
29 اکتبر 2017
نوشته‌ها
99
لایک‌ها
1
سن
35
کارشناسان کسپرسکی در سپتامبر ماه 2017، یک حمله ی جدید که موسسات مالی را مورد هدف قرار داده بود، شناسایی نمودند. قربانیان این حمله، بانک های روسیه بودند اما چند مورد آلودگی در سازمان های مالزی و ارمنستان نیز مشاهده شد. از نظر تاکتیکی این حمله بسیار شبیه حمله ی پیشرفته ی notorious Carbanak بود، حمله ای که در آن ایمیل های فیشینگ با پیوست های مخرب به کارکنان بانک ها و سازمان های مالی ارسال شد و به دنبال جاسوسی از کاربران، حمله به طور ناگهانی به معامله ای جعلی تبدیل گشت. با استفاده از این روش مجرمان توانستند میلیاردها دلار پول بدست آورند و همین انگیزه‌ای برای تکرار این حمله شده است.با این حال و با گذشت زمان، مجرمان حمله ی فیشینگ را کامل‌تر و جامع‎تر از قبل عملی ساختند. پس از آلوده شدن و محکم کاری در زیرساخت های یک سازمان، مجرمان به ارسال "قرارداد" بین شرکای بانک اقدام نمودند. قربانی بعدی، پیام فیشینگ را از طریق آدرس لینک شخص واقعی که در بانک فعالیت می کند، دریافت می کند. احتمال کلیک کردن بر روی لینک از این طریق می تواند بسیار بالا باشد.
تروجان Silence چگونه عمل می کند؟
قربانی یا یک کارمند مالی "قرارداد" را که فایل ضمیمه شده ای با فرمت chm. است را باز می‎کند. فایل HTML جاسازی شده، شامل کد جاوا اسکریپت مخربی است که یک دراپر را بارگذاری و فعال می سازد و سپس ماژول تروجان Silence را که به عنوان سرویس دهنده های ویندوز عمل می کند را بارگذاری می کند. ما در بین دستورات این حمله ماژول هایی برای کنترل و نظارت، ضبط صفحه ی نمایش و ارتباط با سرورهای کنترل به علاوه ی برنامه هایی برای اجرای دستورات از راه دور کنسول یافتیم.این ماژول ها به مجرمان اجازه ی جمع آوری اطلاعات از شبکه و ضبط تصاویر از صفحه ی نمایش کاربران را می دهد. مجرمان در ابتدا همه ی آن ها را نظارت می کنند، پس از اینکه متوجه شدند اطلاعات مالی مفیدی هستند بر روی آن ها تمرکز کرده و اولویت خود را روی آن ها قرار می دهند. هنگامی که مجرمان شناخت کاملی نسبت به نحوه ی عملکرد سیستم های اطلاعاتی قربانیان بدست آوردند، دستور انتقال وجه به حساب های خود را از حساب های قربانیان می دهند.
جزئیات فنی
مجرمان سایبری با استفاده از تروجان Silence ایمیل های فیشینگ را به عنوان بردارهای آلوده ارسال می کنند، آن ها اغلب با استفاده از آدرس ایمیل های کارمندانی که قبلا آلوده شده اند، عملیات فیشینگ را انجام می‌دهند. پیامی که در ایمیل نمایان می شود درخواستی کاملا روتین و معمولی است. مجرمان با استفاده از فریب مهندسی اجتماعی به کاربران ثابت می کنند که همه چیز طبیعی است و هیچ مورد مشکوکی وجود ندارد.
silence-bank-attack.jpg
فرمت chm. مخرب
پیوستی که ما در این حمله‌ی فیشینگ شناسایی کردیم یک فایل “Microsoft Compiled HTML Help” است. این فایل یک قالب اختصاصی مایکروسافت است کهشامل مجموعه ای از صفحات HTML، نمایه‌سازی و دیگر ابزارهای نویگیشن می‌شود. این فایل ها به صورت فشرده شده و با فرمت باینری در پسوند chm. قرار گرفته است. فایل های مخرب مذکور تعاملی هستند و قادرند یک نمونه از تکنولوژی های شامل جاوا اسکریپت را اجرا کنند. به عنوان مثال پس از باز کردن فرمتchm. می تواند قربانی را به سمت یک URL خارجی هدایت نماید. مجرمان به اکسپلویت فایل های CHM برای بارگیری خودکار پیلودهای مخرب اقدام می‌کنند. هنگامی که فایل پیوست توسط قربانی باز می شود، محتویات جاسازی شده ی htm. اجرا می شود. این فایل شامل جاوا اسکریپت است و هدف اصلی آن دانلود و اجرای یک مرحله‌ی دیگر از یک hard coded URL است.
attack-2.jpg
هدف اسکریپت دانلود و اجرای یک VBS script مبهم است که مجدداً به دانلود و اجرای دراپر می پردازد.
attack3.jpg
دراپر
دراپر یک فایل باینری win32 قابل اجرا است که هدف آن برقراری ارتباط با سرور فرمان و کنترل (C&C)، ارسال شناسه ی دستگاه آلوده و در نهایت دانلود و اجرای پیلودهای مخرب است.
attack-4.jpg
پس از اجرا دراپر با استفاده از یک درخواست GET به سرور (C&C) متصل می‎شود و شناسه‎ی قربانی را ارسال، پیلودها را دانلود و آنها را با استفاده از تابعCreateProcess اجرا می‌کند.
attack-5.jpg
پیلودها
پیلودها تعدادی از ماژول ها هستند که بر روی سیستم آلوده به منظور انجام برخی وظایف همانند ضبط صفحه‌ی نمایش، آپلود داده ها و غیره اجرا می شوند. تمام ماژول های پیلودی که ما قادر به شناسایی آن ها بودیم، به عنوان سرویس های ویندوز ثبت شده بودند.
نظارت و کنترل ماژول
وظیفه ی اصلی این ماژول نظارت بر فعالیت قربانی است. برای انجام این کار چندین اسکرین شات از صفحه ی نمایش فعال قربانی گرفته می شود و شبه ویدئویی از تمام فعالیت های قربانی ارائه می شود. این یک تکنیکی است که مشابه آن در پرونده‌ی Carbanak مورد استفاده قرار گرفته بود و توانسته بود فعالیت روزمره‌ی قربانی را ضبط کند.
attack-6.jpg
این ماژول توسط یک سرویس ویندوز با نام “Default monitor” ثبت و آغاز می شود. پس از راه اندازی اولیه، آن یک pipe با یک مقدار سخت افزاری – “\\.\pipe\{73F7975A-A4A2-4AB6-9121-AECAE68AABBB}”. ایجاد می‌کند که از آن برای اشتراک گذاری داده ها در ارتباطات مخرب بین پردازش ماژول ها مورد استفاده قرار می گیرد.
attack-7.jpg
بدافزار، داده های مسدود شده را رمزنگاری و آن ها را عنوان یک فایل باینری با اسم hardcoded “mss.exe” در یک مکان موقت در ویندوز ذخیره و سپس آن را با استفاده از تابع CreateProcessAsUser اجرا می کند.این دراپر باینری ماژولی است که مسئول ضبط فعالیت‌های صفحه ی نمایش است. پس از آن ماژول نظارت، منتظر یک ماژول دراپ برای آغاز اشتراک گذاری داده های ضبط شده با دیگر ماژول هایی که از named pipe استفاده می کردند، می ماند.
ماژول جمع آوری فعالیت های صفحه نمایش
این ماژول از هر دو رابط گرافیکی ویندوز (GDI) و API برای ضبط فعالیت های صفحه ی قربانی استفاده می کند. این کار با استفاده از توابعCreateCompatibleBitmap و GdipCreateBitmapFromHBITMAP انجام می شود.از این پس ماژول به named pipe که توسط ماژولی که در بالا آن را شرح دادیم متصل می شود و داده ها را در آن جا می نویسد.
attack-8.jpg
ماژول ارتباطی C&C با کنسول backconnect
ماژول ارتباطی C&C همانند دیگر ماژول‌ها، یکی از سرویس‌های ویندوز است. این ماژول، دسترسی backconnect را به دستگاه قربانی با استفاده از دستور فرمان کنسول فراهم می سازد که این ویژگی یکی از قابلیت های اصلی ماژول ارتباطی C&C است.پس از گذشت این مرحله، این ماژول Windows API function names را رمزگشایی و آن ها را با استفاده از LoadLibrary بارگذاری و با استفاده از توابعGetProcAddress آن ها را انتخاب می کند.
attack-9.jpg
پس از بارگذاری موفق تابع WinAPI، بدافزار تلاش می کند تا با استفاده از یک ادرس آی پی hardcoded به سرور C&C متصل شود.
attack-10.jpg
بدافزار درخواست های خاصی را با شناسه ی خودش به سرور فرماندهی ارسال می کند و سپس منتظر پاسخ می ماند تا کدها برای عملیات اجرا شوند. این کدها به صورت زیر هستند:
  • “htrjyytrn”: در زبان انگیسی به معنای "اتصال مجدد" می باشد.
  • “htcnfhn” : در زبان انگیسی به معنای "راه اندازی مجدد" می باشد.
  • “ytnpflfybq”: در زبان انگیسی به معنای "بدون وظیفه" می باشد.

در نهایت بدافزار دستورالعمل هایی را در مورد اینکه کدام کنسول ها فرمان اجرا می دهند، را دریافت می کند.
attack-11.jpg
روش شرح داده شده به مجرمان اجازه می دهد تا بتوانند هر ماژول مخرب دیگری را نصب کنند. فعالیت مخرب می تواند به راحتی و با استفاده از دستور “sc create” کنسول صورت گیرد.ابزارWinexecsvcما همچنین بر روی برخی از کامپیوترهای آلوده ابزاری را به نام "Winexesvc" یافتیم. این ابزار مشابه عملکرد ابزار شناخته شده ی “psexec” عمل می نماید. تفاوت اصلی آن این است که ابزار Winexesvc دستورات را از راه دور بر روی سیستم عامل لینوکس اجرا می کند. هنگامی که باینری "winexe" علیه ویندوز سرور ایجاد می شود، winexesvc.exe به عنوان یک سرویس ایجاد و نصب می شود.
چگونه می توان از کسب و کار خود در برابر حمله ی Silence محافظت نمود؟
همانطور که متوجه شدید یادآوری به کارمندان برای باز نکردن فایل های پیوست در ایمیل های خارجی کافی نیست. برای محافظت از موسسات مالی در برابر حملات سایبری امروزه توصیه می شود که:
  1. به منظور افزایش آگاهی کارمندان خود نسبت به مسائل امنیت سایبری جلسات و کارگاه های آموزشی برگذارکنید؛
  2. از راهکارهای امنیتی قوی که قادر به شناسایی تهدیدات در شبکه و زیرساخت ها هستند، استفاده کنید. راهکارهای امنیتی کسپرسکی برای کسب و کارها از وجود هرگونه تهدید در شبکه جلوگیری و فورا آن را مسدود می سازد.

راهکارهای امنیتی لابراتوار کسپرسکی تروجان Silence را با عنوان های زیر شناسایی کرده است:
  • Backdoor.Win32.Agent.dpke
  • Backdoor.Win32.Agent.dpiz
  • Trojan.Win32.Agentb.bwnk
  • Trojan.Win32.Agentb.bwni
  • Trojan-Downloader.JS.Agent.ocr
  • HEUR:Trojan.Win32.Generic
 

فایل های ضمیمه

  • tele.jpg
    tele.jpg
    186.4 KB · نمایش ها: 0
بالا