استفاده از روش‌های جدید برای گریز از تشخیص توسط بات‌نت Nitol

۷متخصصان امنیتی Netskope اخیراً کشف کرده‌اند که بات‌نت Nitol از روش‌های جدیدی در حملات استفاده می‌کند. این روش شامل بهره‌برداری از اسناد مخرب و مبتنی بر ماکرو است.
به‌طور سنتی، نویسندگان بدافزار از روش‌های مختلفی برای عبور از تحلیل جعبه شنی۱ استفاده می‌کنند؛ اما این بار نویسندگان Nitol روش جدیدی را به کار گرفته‌اند. آن‌ها از مبهم‌سازی کد ماکرو و همچنین روش حمله چند-مرحله‌ای استفاده کرده‌اند تا مطمئن شوند ماشین‌های قربانی مورد بهره‌برداری قرار می‌گیرند.

به گفته آزمایشگاه مطالعات تهدید Netskope، اسناد مخرب مشاهده شده و مبتنی بر ماکرو، توسط کلمه‌عبور محافظت شده‌اند بدان‌ معنا که می‌توانند از آزمون جعبه شنی عبور کنند. محققان امنیتی می‌گویند به دلیل این‌که فرآیند وارد کردن کلمه‌عبور پیچیده بوده و نیازمند دخالت کاربر است، فناوری تحلیل خودکار نمی‌تواند به‌راحتی این رخداد را تقلید کند.

به‌علاوه، کد مخرب استفاده‌شده از روش اجرای تأخیری استفاده می‌کند، البته نه روش‌های خوابیدن۲ و یا به تاخیر انداختن۳ رایج در سایر بدافزارها. این اسناد بدافزاری مبتنی بر ماکرو از «ping» برای ایجاد تأخیر در اجرا استفاده می‌کنند. بدافزار مذکور دستور «ping ۸.۸.۸.۸ -n ۲۵۰» را اجرا کرده و منتظر می‌ماند تا فرآیند ping پس از حدود ۵ دقیقه کامل شود. این مدت‌زمان برای عبور از فرآیند جعبه شنی که برای مدت‌زمان کم‌تر طراحی شده، کافی است.

درحالی‌که استفاده از دستور ping روشی جدید محسوب نمی‌شود، در این نمونه این روش بیش‌تر به جهت اطمینان از اتصال به اینترنت استفاده می‌شود. البته محققان خاطرنشان می‌کنند استفاده از دستور ping‌ به‌منظور ایجاد تأخیر در اجرای بدافزار، روشی جدید محسوب می‌شود.
کد ماکرو استفاده‌شده در این حمله یک پرونده VBScript را بارگیری و اجرا می‌کند. پرونده مذکور نیز بار داده‌ی مرحله دوم را بارگیری و اجرا می‌کند. پرونده VBScript مورد استفاده مبهم‌سازی شده است. تحلیل‌ها نشان می‌دهد این پرونده نه‌تنها مسئول اجرای دستور ping به‌منظور ایجاد تأخیر است بلکه به دامنه «hxxp://doktrine.fr/mg.txt» نیز متصل می‌شود و بار داده‌ی مرحله دوم را نیز بارگیری می‌کند. این بار داده با پسوند qsb. در دیسک ذخیره می‌شود.

این بار داده توسط XOR رمزنگاری شده‌ است اما VBScript آن‌ را رمزگشایی کرده و محتوای آن‌ را در یک پرونده با پسوند fyn. (یک پرونده اجرایی ویندوزی) نوشته و سپس آن را اجرا می‌کند. کد مذکور با استفاده از شمارش فرآیند، بررسی می‌کند که آیا محیط اجرایی VMware‌ است. به‌علاوه با استفاده از GetTickCount به بررسی اشکال‌زدایی فعال می‌پردازد.

سپس کد مذکور به جستجوی مرورگر پیش‌فرض پرداخته و یک فرآیند مرورگر را در حالت تعلیق ایجاد کرده و حافظه فرآیند مرورگر را با استفاده از یک پرونده فشرده UPX‌ می‌نویسد. این پرونده UPX‌ که محققان Netskope کشف کرده‌اند پرونده دوباینری بات‌نت Nitol ‌است.
Nitol یک بات‌نت قدیمی است که پیش‌ از این کارگزارهای دستور و کنترل خود را از کار انداخته بود، اما اوایل امسال بار دیگر در حال فعالیت مشاهده شد. در جریان این فعالیت، بات‌نت مذکور در راه‌اندازی یک حمله منع سرویس توزیع‌شده با شدت ۷ گیگابیت بر ثانیه نقش داشت.

به گفته Netskope، پرونده باینری Nitol‌ که در حمله اخیر کشف شده است، سعی می‌کند به d.googlex.me متصل شود. این دامنه در حال حاضر غیرفعال است. کارگزار مشابهی اوایل سال جاری مشاهده شد که توسط باج‌افزار Hydracrypt استفاده می‌شد.
محققان می‌گویند باید منتظر ماند و دید پرونده‌های باینری کشف‌شده از Nitol برای حملات آینده استفاده می‌شوند و یا مجرمان سایبری در حال آزمایش روش جدیدی از حمله هستند.

۱. sandbox
۲. sleep
۳. stalling

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter