کالبدشکافی کیت بهره‌برداری RIG

۴کیت بهره‌برداری سودآور این روزها RIG جای خالی کیت‌هایی همچون Angler ،Neutrino و Nuclear را پر کرده است. وقتی حرف از کیت‌های بهره‌برداری به میان می‌آید RIG در مقام اول قرار دارد. اکنون محققان سیسکو تالوس در تلاش هستند بررسی بیشتری بر روی این کیت قوی انجام داده و توسعه‌هایی که بر روی این کیت داده می‌شود را بتوانند خنثی کنند.

به عنوان یک اصل برای کاهش نرخ آلودگی به کیت‌ها، اول باید مسیر آلوده شدن قربانی را تشخیص داد و فهمید که چگونه سازوکارهای امنیتی در نرم‌افزار و تجهیزات دور زده شده است.
در بررسی دقیقی که اخیراً توسط محققان سیسکو تالوس بر روی RIG انجام شده، ویژگی‌های منحصربفردی از این کیت کشف شده است. به‌طور خلاصه مثل هر کیت دیگری، عوامل RIG نیز از دروازه‌هایی استفاده می‌کنند تا قربانیان را به سمت کیت بهره‌برداری خود هدایت کنند. چیزی که RIG را منحصربفرد می‌کند ترکیب فناوری‌های مختلف وب مانند DoSWF، جاوا اسکریپت، فلش و اسکریپت ویژوال بیسیک برای مبهم‌سازی حمله است.

مسئله‌ی بدتری که وجود دارد این است که در هر سناریوی حمله، به‌طور پویا رمزنگاری و کدگذاری پرونده‌های انتقالی تغییر پیدا می‌کند. این روش تضمین می‌کند هر سری که جلسه‌ی حمله‌ی جدیدی آغاز می‌شود، اسکریپت شکلی متفاوت خواهد داشت و مهاجمان مطمئن هستند که با الگوریتم‌های ساده‌ی انطباق رشته و یا مقدار درهم‌سازی، تشخیص داده نخواهند شد.
محققان می‌گویند در دل هر حمله‌ی RIG سه حمله‌ی مجزا وجود دارد که از حملات جاوا اسکریپت، فلش و اسکریپت ویژوال بیسیک استفاده می‌کند.

وقتی زمان تحویل پرونده‌ی بدافزار فرا می‌رسد، کیت RIG بدافزار مورد نظر را چندین بار بر روی رایانه‌ی قربانی نوشته و اجرا می‌کند. اگر یکی از این روش‌ها کار نکند و یا توسط سازوکارهای امنیتی مسدود شود، روش‌های پشتیبان دیگری وجود دارد. تمامی این مراحل و روش‌ها نیز کم و بیش مبهم‌سازی شده‌اند.
گفته می‌شود بیشترین آلودگی به این کیت از سمت وب‌گاه‌های آلوده است. وب‌گاه‌های زیادی وجود دارد که مورد نفوذ واقع شده‌اند و مهاجمان کد مخربی را در این وب‌گاه قرار داده‌اند که کاربران را به سمت دروازه‌ی دریافت کیت هدایت می‌کند. این دروازه‌ها نیز کاربران را به سمت صفحه‌ی اصلی کیت هدایت خواهند کرد.

چند پویش هم مشاهده شده که از دروازه‌هایی با روش‌های تبلیغ‌افزاری استفاده کرده‌اند و قربانی به سمت ترافیک مخرب مهاجمان هدایت شده است. در این حالت قربانی با حجم انبوهی از حملات جاوا اسکریپت، فلش و اسکریپت ویژوال بیسیک مواجه خواهد شد. در انتها نیز تمامی این اسکریپت‌ها پرونده‌ی بدافزار را بر روی ماشین قربانی بارگیری و اجرا می‌کنند. این بدافزار همانی است که کیت بهره‌برداری قصد تحویل آن را داشته است.
اولین مرحله از حمله کشاندن ترافیک به سمت یک وب‌گاه آلوده است که فرآیند هدایت را آغاز می‌کند. وب‌گاه آلوده یک پرونده‌ی فلش (SWF) را بارگذاری می‌کند. در ادامه این پرونده‌ی فلش یک یا دو iFrames را بر روی وب‌گاه آلوده درج می‌کند. الان است که قربانی از طریق این iFrames به سمت دروازه‌ی کیت بهره‌برداری هدایت می‌شود.

این دروازه که چیزی بیش از یک وب‌گاه یا کارگزار نیست، مجدداً قربانی را به سمت صفحه‌ی دیگری که کیت بهره‌برداری بر روی آن میزبانی می‌شود، هدایت می‌کند.
صفحه‌ی آخری که کیت بهره‌برداری را میزبانی می‌کند حاوی ۳ جاوا اسکریپت متفاوت است. یک جاوا اسکریپت بهره‌برداری فلش را بارگیری می‌کند، دیگری اسکریپت ویژوال بیسیک را و آخری نیز خود حاوی یک بهره‌برداری است. همان‌طور که مشاهده می‌شود چرخه‌ی آلودگی بسیار پیچیده بوده و در تمامی مراحل مبهم‌سازی صورت گرفته است.

پرونده فلش به شدت با استفاده از یک نرم‌افزار محافظت تجاری با نام DoSWF که پرونده‌های فلش را رمزنگاری می‌کند، مبهم شده است. این پرونده‌ی فلش دو iFrames بر روی وب‌گاه آلوده ایجاد می‌کند. اولین iFrames فوراً ایجاد شده و دیگری پس از گذشت زمان مشخصی ساخته می‌شود.
هنوز دلیل این تاخیر در ایجاد iFrames مشخص نشده است ولی تصور می‌شود نوعی سازوکار پشتیبانی برای حالتی باشد که نمونه اول موفق نشده است.

در ادامه با توجه به آسیب‌پذیری که در مرورگر قربانی وجود دارد، کد جاوا اسکریپتی که در داخل iFrame ها قرار دارد، قربانی را به سمت صفحه‌ی کیت RIG هدایت می‌کند. اینجاست که مرورگر قربانی با ۳ اسکریپت مخفی که در داخل متغیرهای جاوا اسکریپت تعبیه شده، مواجه می‌شود.
یکی از این اسکریپت‌ها اسکریپت ویژوال بیسیک است که پس از آزمون‌های مختلف بر روی سامانه‌ی هدف، تابع ()DoMagic را اجرا می‌کند و بار داده‌ی بدافزار بارگیری می‌شود.

اسکریپت دوم دارای قابلیتی است که دستورات تصادفی را بین کدهای جاوا اسکریپت قرار می‌دهد. این دستورات در هر جلسه تغییر می‌کند و دلیل این کار متفاوت بودن کدگذاری Base۶۴ در هر جلسه است. این اسکریپت در ادامه مجدداً یک پرونده‌ی فلش را که با DoSWF رمزنگاری شده، اجرا می‌کند. محققان سیسکو تالوس تلاش دارند تا این اسکریپت را از حالت مبهم خارج کنند و نتیجه‌گیری آن‌ها تا به الان این است که این اسکریپت حاوی کد شِل است که در زمان اجرا کدگشایی شده و با رشته‌ای دیگر از پرونده‌ی SWF ترکیب می‌شود و در نهایت بهره‌برداری را اجرا می‌کند.

آخرین اسکریپت موجود در این کیت از آسیب‌پذیری با شناسه‌ی CVE-۲۰۱۳-۲۵۵۱ با نام مستعار MS۱۳-۰۳۷ برای آلوده کردن قربانی استفاده می‌کند. براساس بولتن امنیتی مایکروسافت در ماه می ۲۰۱۳ این آسیب‌پذیری مربوط به اینترنت اکسپلورر و سریز عدد صحیح است. این آسیب‌پذیری شامل کدی است که قربانی را به سمت بارگیری بدافزار نهایی هدایت می‌کند.

در پویش‌هایی که سیسکو تالوس برای تهیه‌ی این گزارش بررسی کرده است، بار داده‌ی بدافزار شامل باج‌افزار (باج‌افزارهایی همچون CRYPTFILE۲، Locky و CryptXXX)، تروجان (Gamarue و Gootkit) و چند پرونده‌ی اجرایی ناقص بوده است.
سیسکو تالوس برای حفاظت در برابر RIG توصیه کرده تا تمامی افزونه‌های غیرضروری بر روی مرورگرها را غیرفعال کنید. وصله و به‌روزرسانی مرورگرها و افزونه‌ها نیز بسیار ضروری است. هر مرورگری با افزونه‌ی فلشِ وصله‌نشده به احتمال زیاد آلوده خواهد شد.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter