توزیع بدافزار Rozena با بهره‌جویی از Follina

بدافزار Rozena از طریق آسیب‌پذیری Follina که همه نسخه‌های ویندوز را تحت تاثیر قرار می‌دهد در حال انتشار است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بدافزار Rozena «دسترسی غیرمجاز» (Backdoor) را از طریق تزریق از راه دور و اتصال به Shell به سیستم قربانی فراهم می‌کند.

شرکت مایکروسافت (Microsoft Corp) در اردیبهشت ۱۴۰۱، در خصوص ضعف امنیتی به شناسه CVE-۲۰۲۲-۳۰۱۹۰ با درجه اهمیت «حیاتی» (Critical) در Microsoft Diagnostic Tool – به‌اختصار MSDT – هشداری صادر کرد.

آسیب‌پذیری یادشده که محققان آن را Follina نامیده‌اند، از نوع «اجرای کد از راه دور» (Arbitrary Code Execution) است که تمامی نسخ Windows از آن تأثیر می‌پذیرند.

مهاجمان برای سوءاستفاده از آن، یک پیوند خارجی مخرب به یک OLE Object در یک سند Microsoft Office ایجاد می‌کنند، سپس قربانیان را فریب می‌دهند تا روی سند کلیک کنند یا حتی اگر سند در حالت محافظت شده (Protected View) نیز باز شود و ماکروها نیز غیرفعال باشند، از این ضعف امنیتی بهره‌جویی خواهند کرد.

شرکت فورتی‌نت (Fortinet, Inc.) در خلال تحقیقات خود، سندی را شناسایی کرده است که با بهره‌جویی از آسیب‌پذیری Follina از طریق تکنیک موسوم به بدون فایل (Fileless Attack) اقدام به نصب بدافزار Rozena می‌کند. فورتی‌نت گزارشی منتشر کرده که چکیده از آن در ادامه شرح داده شده است.

سند مخرب اصلی (SHA۲۵۶: ۴۳۲bae۴۸edf۴۴۶۵۳۹cae۵e۲۰۶۲۳c۳۹۵۰۷ad۶۵e۲۱cb۷۵۷fb۵۱۴aba۶۳۵d۳ae۶۷d۶) که مهاجمان از آن در حملات خود استفاده کردند، همانند شکل زیر حاوی یک پیوند مخرب خارجی است.

پس از کلیک روی سند مخرب یادشده، همان‌طور که در شکل زیر نشان‌داده‌شده، ارتباط با پیوست خارجی Discord CDN ‘hxxps://cdn[.]discordapp.com/attachments/۹۸۶۴۸۴۵۱۵۹۸۵۸۲۵۷۹۵/۹۸۶۸۲۱۲۱۰۰۴۴۲۶۴۴۶۸/index[.]htm’ برقرار شده و یک فایل HTML دانلود می‌شود.

پس از دانلود فایل HTML یادشده، (SHA۲۵۶: ۳۵۵۸۸۴۰ffbc۸۱۸۳۹a۵۹۲۳ed۲b۶۷۵c۱۹۷۰cdd۷c۹e۰۰۳۶a۹۱a۰a۷۲۸af۱۴f۸۰eff۳)، فایل msdt.exe را از طریق PowerShell فراخوانی می‌کند. Payload به‌صورت کامل در شکل زیر نشان‌داده‌شده است.

برای پنهان کردن فرمان واقعی و اجتناب از تشخیص رشته (String) ساده، در هنگام الحاق رشته‌های جداگانه در زمان اجرا، مبهم‌سازی (Obfuscation) صورت‌گرفته است. محققان با رمزگشایی یک‌رشته Base۶۴، فرمان کامل را که در شکل زیر نشان‌داده‌شده، استخراج کردند.

کد PowerShell، فایلی از نوع Batch به نام cd.bat را دانلود می‌کند و بدون اینکه خود را پنهان کند، درخواست دیگری را برای دانلود بدافزار Rozena فراخوانی می‌کند و آن را تحت نام Word.exe در پوشه Windows Tasks ذخیره می‌کند. این دو فایل نیز از پیوست Discord CDN با همان channelID به‌عنوان لینک خارجی در سند اصلی دانلود می‌شوند.

همان‌طور که در شکل زیر نشان‌داده‌شده است، فایل cd.bat، چهار کار را انجام می‌دهد:
به‌منظور گمراه کردن قربانی، سند دیگری با نام ۱c۹c۸۸f۸۱۱۶۶۲۰۰۷.docx و درهم ساز زیر دانلود می‌شود.

SHA۲۵۶: e۳af۱۴۳ba۱۲۲۰۹fafdc۳۰۸۹a۷۴۰d۲۳faf۵۹f۶f۱۵۰۸c۰۰d۸f۵۶f۸cc۹d۰c۸ebf۸۹

پروسه‌های ""msdt.exe و " "WINWORD.exe را برای ازبین‌بردن ردپای بهره‌جویی از Follina خاتمه می‌دهد.
با افزودن کلیدهایی در رجیستری، بدافزار Rozena را با نام"Word.exe" ماندگار می‌کند.
فایل bat را حذف می‌کند.

مهاجم قبل از به‌کارگیری بدافزار Rozena، سعی می‌کند قربانی را گمراه کند. فایل اصلی به جز پیوند خارجی در oleObject هیچ محتوای دیگری ندارد. برای اینکه این امر برای قربانی غیرعادی و عجیب به نظر نرسد، Batch file یادشده، یک سند Word دیگر به نام ۱c۹c۸۸f۸۱۱۶۶۲۰۰۷.docx را که حاوی تعداد زیادی عکس است، دانلود می‌کند (همانند شکل زیر). برای اینکه سند واقعی‌تر به نظر برسد، در دایرکتوری C:users$env:USERNAMEDownloads با نام کوتاه‌تر (۱۸۵۶۲.docx) ذخیره می‌شود.

مهاجم از ویژگی پیش‌فرض Window که پسوند فایل را نشان نمی‌دهد، سوءاستفاده می‌کند؛ بنابراین، مهاجم قربانی را همان‌طور که در شکل زیر نشان‌داده‌شده است، فریب می‌دهد. سند سبز برای پرت‌کردن حواس قربانی قرار داده شده و مخرب نیست ولی سند قرمزرنگ حاوی بدافزار Rozena است. با اینکه یک فایل اجرایی است از نماد Microsoft Word استفاده می‌کند.

PE Header فایل مخرب یادشده در شکل زیر نشان داده شده است.

پس از اجرا، به‌منظور به‌کارگیری و اجرای فرمان PowerShell، یک پروسه ایجاد می‌کند. زنجیره حمله در شکل زیر نمایش‌داده‌شده است.

فرمان کامل PowerShell که با Base۶۴ کدگذاری شده، در شکل زیر نشان‌داده‌شده است.

همان‌طور که در شکل زیر نشان‌داده‌شده، فرمان رمزگشایی تنها وظیفه تزریق Shellcode را دارد. ابتدا متغیری به نام“$gcr” را برای کل پروسه تزریق، تعریف می‌کند و از DLLImport برای kernel۳۲.dll و از msvcrt.dll برای فراخوانی توابع API خاصی همچون VirtualAlloc، CreateThread و Memset، برای تزریق کد استفاده می‌کند.

فرمان یادشده همچنین تعدادی بایت هگزادسیمال دارد که مکان تزریق بلوک کد را مشخص می‌کند. سپس این بایت‌ها را در حافظه اختصاص‌داده‌شده کپی کرده و آنها را به PowerShell.exe در حال اجرا تزریق می‌کند.
در نهایت، یک حلقه برای شروع فرایند Sleep راه‌اندازی می‌کند. در تصویر پایین، بخشی که با رنگ قرمز مشخص شده، کد تزریق فوق را از“$gcr” با Base۶۴ رمزگذاری و سپس یک پروسه PowerShell جدید با پارامتر -ec را فراخوانی می‌کند.

سناریوی کامل حمله از لحظه تحویل یک سند مخرب و بهره‌جویی از ضعف امنیتی Follina و انتقال Rozena از پیوست Discord CDN در شکل نشان‌داده‌شده است:

نشانه‌های آلودگی:
برخی از علائم آلودگی (Indicators-of-Compromise – به‌اختصار IoC) به شرح زیر است:

Follina یک آسیب‌پذیری با درجه اهمیت حیاتی است که به مهاجم اجازه می‌دهد بدافزار را از طریق برنامه‌های مجموعه نرم‌افزاری Office منتقل کند. مایکروسافت در به‌روزرسانی ماه ژوئن خود اصلاحیه آن را منتشر کرد. باتوجه‌به بهره‌جویی گسترده مهاجمان از این ضعف امنیتی در سراسر جهان، چنانچه تاکنون نسبت به نصب به‌روزرسانی‌ها اقدام نکرده‌اید، توصیه می‌شود که دراسرع‌وقت با مراجعه به نشانی‌های زیر اعمال وصله مربوط را در دستور کار قرار دهید.
https://msrc.microsoft.com/update-guide/vulnerability
https://afta.gov.ir/fa-IR/Portal/۴۹۲۷/news/view/۱۴۶۰۸/۲۱۳۴/

جزئیات بیشتر در خصوص گزارش شرکت فورتی نت در نشانی زیر قابل‌مطالعه است:
https://www.fortinet.com/blog/threat-research/follina-rozena-leveraging-discord-to-distribute-a-backdoor