گروه APT Wekby، از درخواست‌های DNS برای ارتباطات C۲ استفاده می‌کند!

شرکت پالوآلتو یک حمله‌ی جدید را کشف کرده است که به وسیله‌ی گروه Wekby APT انجام شده و از یک بدافزار که درخواست‌های DNS را برای اتصالات C۲ استفاده می‌کند، بهره می‎برد. کارشناسان امنیتی شرکت پالو آلتو یک گروه APT مستقر در چین را شناسایی کردند که از این زنجیره‌ی بدافزار برای درخواست‌های DNS در ارتباطات C&C خود استفاده می‌کنند.

کارشناسان امنیتی این گروه را که به نام‎های Wekby ،Deynamite ،Panda معروف است، به انجام نفوذهای امنیتی در سامانه‌های بهداشت اجتماعی در سال ۲۰۱۴ مرتبط دانسته‌اند. مهاجمان از آسیب‌پذیری Heartbleed در OpenSSL برای سرقت اطلاعات ۴.۵ میلیون بیمار بهره‌برداری کرده‌اند.
در جولای ۲۰۱۵، گروه Wekby APT با بهره‌برداری از آسیب‌پذیری فلش پلیر CVE-۲۰۱۵-۵۱۱۹ در کیت بهره‌بردار خود شناسایی شدند، این کد بهره‌بردار در نتیجه‌ی حمله علیه تیم Hacking فاش شد.

در آخرین موج حملاتی که به وسیله‌ی کارشناسان پالو آلتو کشف شده است، گروه Wekby APT به سازمانی مستقر در آمریکا با استفاده از زنجیره‌ی بدافزاری به نام posloader حمله‌ کرده‌اند. بدافزار posloader یکی از انواع HTTPBrowser RAT است که به وسیله‌ی HTTP از نشانی زیر ارسال می‌شود:
http://globalprint-us[.]com/proxy_plugin.exe
عوامل این تهدید یک استقرار دهنده‌ی بدافزار را ارسال می‌کنند که کلیدهای رجیستری را برای تدوام و رمزگشایی و اجرای بار داده‎ی posloader اضافه می‌کند این کلیدها مبهم هستند و از تکنیک‌های برنامه‌نویسی بازگشت‌گرا (ROP) برای ساخت آن استفاده شده است.
«این دستور خاص، کلید رجیستری HKCU\Software\Microsoft\Windows\CurrentVersion\Run\lsm را با یک مقدار %appdata%\lsm.exe جایگزین می‌کند. پس از اینکه کلید تنظیم شد، بدافزار شروع به رمزگشایی دو مورد داده با یک کلید تک بایتی XOR از ۰x۵۴ می‌کند. نتیجه‌ی کار، در مسیر پرونده %appdata%\lsm.exe نوشته می‌شود. پس از اینکه این پرونده نوشته شد، بدافزار پرونده نوشته‌ شده‌ی جدید lsm.exe را اجرا می‌کند که بار داده‎ی مخرب Pisloader را در بر دارد.»

اما کشف جدید توسط محققان شرکت پالو آلتو اینست که Pisloader از درخواست‌های DNS برای ارتباطات کارگزار C&C استفاده می‌کند به این شکل کد مخرب قادر است که فعالیت خود را به شکل پنهان ادامه دهد.
سوءاستفاده از درخواست‌های DNS تاکنون نیز به وسیله‌ی محققان بدافزار مشاهده شده بود، در ماه مارس ۲۰۱۶ کارشناسان شرکت FireEye زنجیره‌ای از بدافزار‌های POS را کشف کردند که به نام Multigrain نامیده شد و داده‌های مربوط به کارت‌های اعتباری را از سامانه‌های پایانه‌ی فروش سرقت کرده و روی DNS خارج می‌کرد.
Pisloader در طی یک دوره درخواست‌های DNS را که درون بدافزار تعبیه شده است، به مرکز C&C خود ارسال می‌کند.
نمونه‌ی Pisloader یک بیکن را به صورت دوره‌ای ارسال می‌کند که شامل یکی رشته‌‌ی چهار بایتی با حروف بزرگ است و به عنوان بار داده‎ی مخرب ارسال می‌شود. نمونه‌ای از آن را می‌توان در زیر مشاهده کرد:

۲_۳۳

«کد مخرب انتظار جنبه‌های مختلف پاسخ‌های DNS را برای انجام تنظیمات خاص دارد یا اینکه posloader پاسخ DNS را نادیده می‌گیرد».
کارگزار C&C با یک رکورد TXT پاسخ می‌دهد که می‌تواند شامل دستورات مختلفی برای بدافزار باشد. این کشف که به وسیله‌‌ی کارشناسان شرکت پالو آلتو صورت گرفته است نشان می‌دهد که گروه Wekby هنوز فعال است و به صورت پویا، با استفاده از بدافزارهای پیچیده درگیر حملات جاسوسی سایبری سطح بالا است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap