استفاده گروه Platinum از تروجان Titanium
کد مطلب: 16018
تاریخ انتشار : سه شنبه ۲۸ آبان ۱۳۹۸ ساعت ۰۸:۵۶
 
یک گروه از گردانندگان تهدیدات پیشرفته و مستمر (ATP) به نام Platinum از یک بدافزار درِ پشتی– تروجان با عنوان Titanium برای رخنه به اهداف خود و در اختیار گرفتن کنترل آنها استفاده‌می‌کند.
استفاده گروه Platinum از تروجان Titanium
 
 
Share/Save/Bookmark
یک گروه از گردانندگان تهدیدات پیشرفته و مستمر (ATP) به نام Platinum از یک بدافزار درِ پشتی تروجان با عنوان Titanium برای رخنه به اهداف خود و در اختیار گرفتن کنترل آنها استفاده‌می‌کند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، یک گروه از گردانندگان تهدیدات پیشرفته و مستمر (ATP) که مایکروسافت، آن را Platinum نامگذاری کرده از یک بدافزار درِ پشتی– تروجان با عنوان Titanium برای رخنه به اهداف خود و در اختیار گرفتن کنترل آنها استفاده‌می‌کند.

چیزی که Titanium را از بدافزارهای مشابه دیگر متمایز می‌کند استفاده آن از چندین روش مخفی‌سازی و جا زدن خود به‌عنوان محصولات امنیتی، راه‌اندازهای کارت صدا (Sound Drivers) یا نرم‌افزاری است که معمولاً از آن برای ذخیره اطلاعات بر روی DVD استفاده می‌شود.

بدافزار Platinum که شرکت کسپرسکی نیز از آن با نام TwoForOne یاد می‌کند، حداقل از سال ۲۰۰۹ میلادی در منطقه آسیا-اقیانوسیه فعال بوده و به‌طور خاص سازمان‌های دولتی، نهادهای دفاعی، آژانس‌های اطلاعاتی، مؤسسات سیاسی و تأمین‌کنندگان مخابراتی در جنوب و جنوب شرق آسیا هدف قرار می‌داده‌است.

مایکروسافت در سال ۲۰۱۷ از استفاده گروه Platinum از کانال ارتباطی در بستر Intel Active Management Technology و با مکانیزم Serial-over-LAN خبر داد. روشی که موجب دشوار شدن شناسایی ارتباطات برقرار شده میان مهاجمان این گروه و سرورهای آلوده شده توسط محصولات و راهکارهای رصد و پالایش کننده می‌شود.

در گزارشی نیز که اخیراً شرکت Kaspersky آن را منتشر کرده اشاره شده که در بخشی از کارزار جدید Titanium، گروه Platinum در فرایندی چندمرحله‌ای با دریافت، اجرا و نصب کدهای مخرب در چندین مرحله اقدام به آلوده‌سازی اهداف خود واقع در جنوب و جنوب شرق آسیا به درِ پشتی می‌کند.

این گروه از هکرها ضمن استفاده از کدهایی به نوعی گمراه‌کننده از روش‌های زیر برای از توزیع آلودگی بهره گرفته‌اند:
• بهره‌جو (Exploit) با قابلیت اجرای کد با سطح دسترسی SYSTEM،
• کد موسوم به Shellcode برای دریافت دریافت‌کننده (Downloader) بعدی،
• یک دریافت‌کننده برای دریافت فایلی فشرده‌شده تحت قالب SFX که خود شامل یک فرمان (Windows Task) نصب اسکریپت است،
• یک فایل SFX حفاظت شده توسط رمز عبور که حاوی نصاب یک تروجان–درب‌پشتی است،
• یک نصاب اسکریپت(ps۱)،
• یک شی COM در قالبDLL ،
• تروجان – درِ پشتی اصلی.

به نظر می‌رسد که Platinum یا از سایت‌های اینترانت محلی برای ارائه کدهای مخرب خود که در جریان پروسه آلودگی از آنها استفاده می‌کند، بهره می‌گیرد و یا یک Shellcode تزریق شده در فرایندی سیستمی را در روشی که هنوز نحوه انجام آن در تحقیقات Kaspersky روشن نشده است، بکار می‌گیرد.
تنها هدف این Shellcode رخنه اولیه به هدف از طریق دریافت کد رمزگذاری شده از سرور فرمان و کنترل (Command and Control)، رمزگشایی آن و اجرای کد مخرب بعدی در زنجیره آلودگی است.

پس از آلوده شدن سیستم، بدافزار مراحل دیگر را برای دریافت سایر کدها، دریافت فایل‌های مورد نیاز با استفاده از بخش Background Intelligent Transfer Service در سیستم عامل Windows و قابل استفاده کردن آنها از طریق یک ابزار معتبر cURL برای برقراری ارتباط با سرور فرماندهی خود دنبال می‌کند.

کد Titanium در حافظه فراخوانی شده و با استفاده از یک اجرا کننده کد که از طریق فرخوانی توابع API سیستم عامل Windows و حلقه‌های (Loop) متعدد به شدت مبهم‌سازی (Obfuscation) شده از سد ضدویروس‌های با قابلیت‌های شناسایی ساده عبور می‌کند.

برای راه‌اندازی جریان انتقال فرامین سرور فرماندهی، Titanium اقدام به ارسال یک درخواست کدبندی شده در قالب Base۶۴ که حاوی شناسه منحصربه‌فردی از دستگاه، نام و شماره سریال دیسک آن است می‌کند. پس از آن، دریافت فرامین از سرور فرماندهی از طریق بدافزار آغاز می‌شود.

فرامین دریافت شده که در فایل‌های PNG پنهان‌نگاری (Steganography) شده‌اند، مهاجمان را قادر به اجرای دامنه‌ای گسترده از فرامین ازجمله موارد زیر می‌کنند:

• خواندن هر فایلی بر روی سیستم فایل (File System) و ارسال آن به سرور فرمان و کنترل،
• ایجاد یا حذف یک فایل بر روی سیستم فایل،
• ایجاد یک فایل و اجرای آن،
• اجرای یک خط فرمان و ارسال نتایج آن به سرور فرمان و کنترل،
• به‌روزرسانی پارامترهای تنظیمات (بجز کلیدهای رمزگذاریAES)،
• حالت تعاملی که مهاجمان را قادر به به دریافت ورودی از برنامه‌های دارای کنسول و ارسال خروجی آنها به سرور فرماندهی می‌کند.

روش رخنه طراحی شده توسط گروه Platinum برای آلوده‌سازی سیستم قربانی شامل مراحلی متعدد است که اجرای آن بیانگر هماهنگی کامل میان اجزای آن است. ضمن اینکه به دلیل استفاده آن از رمزگذاری و تکنیک‌های موسوم به بدون فایل (Fileless) هیچ یک از فایل‌های ذخیره شده آن بر روی سیستم فایل از لحاظ مخرب بودن قابل تشخیص توسط محصولات امنیتی نیستند.
مرجع : مرکز مدیریت راهبردی افتا