محققان سیسکو تالوس، بدافزاری را بررسی کردند که از اسکریپت پاورشل برای واکشی دستورات از رکوردهای TXT سرویس DNS استفادهمیکند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، کارشناسان تالوس گزارش کاملی در مورد یک بدافزار ارائهکردند که در حملات هدفمند مورد استفاده قرار میگیرد و از اسناد مایکروسافت ورد استفادهمیکند که از طریق هرزنامه توزیع میشوند.
کد مخربی که در این حملات مورد استفاده قرار میگیرد، مبتنیبر اسکریپت پاورشل ویندوز است و ارتباط با زیرساخت دستور و کنترل با استفاده از سرویس نام دامنه (DNS) انجام میشود. مهاجمان از سرویس DNS برای ارتباط با کارگزار دستور و کنترل استفادهمیکنند، چرا که درخواستهای DNS در شبکههای سازمانی هیچگاه مسدود نمیشوند.
این کد مخرب اولینبار توسط محقق امنیتی با شناسه simpo13@ کشف شد. او یافته خود را به محققان امنیتی سیسکو تالوس گزارش داد، چرا که متوجه شد در این کد مخرب، ارجاعی به برنامه امنیتی SourceFire شرکت سیسکو وجود دارد. این ارجاع به شکل یک متن کدشده بهصورت «SourceFireSux» است.
مهاجمان از یک روش مهندسی اجتماعی استفاده میکنند تا کاربران را وادار به باز کردن سند مخرب بکنند. در وبلاگ تالوس میخوانیم: «بهطرز جالبی این سند ورد، طوری طراحی شده که به نظر میرسد از طریق سرویس ایمیل امن دریافت شده و با استفاده از مکآفی محافظت میشود. این روش احتمالاً به این خاطر استفاده شدهاست که قربانی با مکآفی آشنا بوده و سریع به این سند اعتماد کرده و آن را باز میکند. این سند به کاربر اطلاعات میدهد که محافظتشده است و برای نمایش محتوا باید ماکرو را فعال کند.»
وقتی قربانی سند ورد را باز میکند، فرایند آلودگی چندمرحلهای آغاز میشود. ابتدا با اجرا شدن یک پرونده ویژوال بیسیک یا ماکروی سند ورد، دستورات پاورشل اجرا شده و یک دربِ پشتی بر روی ماشین نصب میشود. گروه تالوس در ادامه توضیح داد: «فهرست درهمسازی که در Pastebin وجود داشت ما را به سمت یک سند ورد هدایت کرد که بر روی یک جعبه شنی عمومی بارگذاری شدهبود. این سند نیز با فرایند چندمرحلهای آلودگی آغاز شدهبود و از طریق ماکروی مخرب فرایند آلودگی را تکمیل میکرد.»
اسکریپت ویژوال بیسیک، یک پرونده فشرده و مبهمسازیشده پاورشِل را برای مرحله دوم از بسته خارج میکند. این پاروشل نسخه پاورشل نصبشده بر روی سامانه را تشخیص میدهد و یک رکورد به رجیستری ویندوز اضافه میکند. در ادامه نیز یک پاورشل را برای مرحله سوم آغاز میکند که بهعنوان یک دربِ پشتی عمل میکند. اگر کاربر قربانی دارای دسترسیهای مدیریتی باشد، نصبکننده پاورشل یک دربِ پشتی را در پایگاه داده ابزار مدیریت ویندوز (WMI) اضافه میکند تا پس از راهاندازی مجدد سامانه دارای ویژگی ماندگاری باشد. زمانیکه دربِ پشتی بر روی سامانه نصب شد در مرحله چهارم حمله، کد مخرب بهطور دورهای درخواستهای DNS را به سمت آدرسهایی که در اسکریپت هاردکد شده ارسال میکند.
رکوردهای TXT موجود در درخواستهای DNS حاوی دستورات پاورشل هستند که بهطور مستقیم بر روی سامانه آلوده اجرا خواهندشد. نکته مهمی که وجود دارد این است که اطلاعات از رکوردهای DNS بازیابی شده ولی بر روی سامانه محلی نوشتهنمیشود. اسکریپتی که در مرحله چهارم مورد استفاده قرار میگیرد در حقیقت ابزار کنترل از راه دور است که توسط مهاجمان بهرهبرداری میشود. اگر دستوری از طرف مهاجمان از طریق رکوردهای DNS دریافتشود بر روی سامانه اجرا شده و نتایج آن به سمت کارگزار دستور و کنترل ارسال میشود. این راهکار باعث میشود تا مهاجم قادر باشد هر دستور ویندوزی را بر روی سامانه قربانی اجرا کند.
محققان امنیتی نتوانستند زیرساخت ارتباطی و دستور و کنترل را مورد تحلیل و بررسی قرار دهند. این بدافزار نمونه عالی از حملاتی است که مهاجمان، پروتکلی به کار گرفتهاند که فرایند شناسایی را برای محققان سخت کردهاست. از این به بعد باید در شبکههای سازمانی، پروتکل DNS را روشی بدانیم که مهاجمان از آن بهعنوان زیرساخت دستور و کنترل استفادهمیکنند.