محققان سیسکو یک نرمافزار اشتراکگذاری پهنای باند به نام HoneGain کشف کردهاند که بسیار محبوب است، اما توسط مهاجمان سایبری مورد سوء استفاده قرار میگیرد.
منبع : مرکز مدیریت راهبردی افتا
محققان سیسکو یک نرمافزار اشتراکگذاری پهنای باند به نام HoneyGain کشف کردهاند که بسیار محبوب است، اما توسط مهاجمان سایبری مورد سوء استفاده قرار میگیرد.
به گزارش افتانا، پلتفرمهای Proxyware کاربران را قادر میسازند تا پهنای باند اینترنت استفاده نشده خود را بفروشند. در اکثر موارد، این نوع خدمات توسط شرکتهای بازاریابی به عنوان راهکاری برای دسترسی به منابع شبکههای خانگی جهت دور زدن محدودیتهایی استفاده میشود که برای تبلیغات مطرح است. همچنین کاربران عادی نیز از این ابزارها برای دور زدن محدودیتهای جغرافیایی در پلتفرمهای مختلف و ایجاد درآمد از طریق فروش پهنای باند استفاده میکنند.
برای برقراری ارتباطات، اپلیکیشن سمت کاربر مسئول پیوستن به شبکهای است که توسط ارائهدهنده پلتفرم اداره میشود. سپس ارائه دهنده سرویس، دسترسی به این شبکه را میفروشد و ترافیک کلاینت را از طریق شبکه هدایت میکند و به مشتریان خود اجازه میدهد با استفاده از پهنای باند و اتصالات اینترنتی ارائه شده به اینترنت دسترسی داشته باشند.
طبق گزارش Cisco یک نمونه Proxyware تحت عنوان HoneyGain شناساییشده است که توسط دیگر بدافزارها در سیستم قربانی واردشده یا به هنگام بازدید از وبسایتهای مخرب، بهطور ناخواسته توسط کاربر بارگیری میشود. HoneyGain یک برنامه اشتراکگذاری پهنای باند است که به کاربران اجازه میدهد ارتباط اینترنتی خود را در قبال دریافت مبلغی به اشتراک بگذارند و به همین علت خطرات امنیتی زیادی را به همراه دارد. علاوه بر سرقت اطلاعات، این ابزار امکان سوء استفاده از شبکه و IP کاربران برای حملات تحت وب و توزیع بدافزارهای مختلف را برای مهاجمین فراهم میکند.
پس از نصب HoneyGain و ثبتنام، کاربر میتواند میزان مصرف داده وپهنای باند را برای تخصیص به مشترکین تنظیم کند. به دلیل افزایش محبوبیت HoneyGain، عوامل مخرب شروع به توزیع نسخههای تروجانیزه شده این نرمافزار کردند. بدافزار توزیعشده شامل یک نسخه تروجانیزه شده از HoneyGain Client، یک استخراجکننده XMRig و یک سرقت کننده اطلاعات است. Dropper اولیه این بدافزار یک Installation Package است که با استفاده از Smart Install Maker ایجادشده است. این بسته حاوی یک فایل نصب قانونی و امضاشده HoneyGain همراه با بدافزار است که دو فایل مخرب setup_x۸۶.exe و url.vbs را در مسیر HGHoney gain ذخیره میکند. همزمان با ایجاد یک پوشه، Dropper اصلی استخراج ارز دیجیتال (iv.exe) را اجرا میکند. مطابق شکل ۱ برای راهاندازی یک مرورگر وب در سیستم آلوده و هدایت قربانی به آدرس حساب کاربری بدافزار از VBScript استفاده میشود.
شکل ۱- هدایت سیستم آلوده به آدرس مهاجم
نمونهای از درخواست HTTP توسط فرآیند sysdll.exe بهمنظور دریافت آخرین نسخه بدافزار در شکل ۲ مشاهده میشود. دراینارتباط سرور C&C با محتوای باینری به Client پاسخ میدهد.
شکل ۲- نمونه درخواست سیستم آلوده جهت دریافت نسخه بهروز بدافزار
همچنین این شبکه بات، سعی میکند HoneyGain را بر روی سیستم قربانی نصب و Client جدید را در حساب مهاجم ثبت کند تا با سوءاستفاده از پهنای باند سیستم آلوده کسب درآمد کنند. درحالیکه HoneyGain تعداد دستگاههایی را که تحت یک حساب کار میکنند را محدود میکند، مانع از ثبت چندین حساب کاربری توسط مهاجم نمیشود و مهاجم عملیات خود را بر اساس تعداد سیستمهای آلوده تحت کنترل خود پیادهسازی میکند. در شکل ۳ جریان اجرای کلی بدافزار ارائهشده است.
شکل ۳- جریان اجرای کلی بدافزار
این بدافزار درخواستهای HTTP را از طریق کوتاهکننده URL IPLogger برای ثبت وضعیت فعلی فرآیند آلودگی به سرور C&C مهاجم ارسال میکند. سپس Loader تلاش میکند تا فازهای بعدی بدافزار را اجرا کند. در ابتدا یک استخراجکننده ارز دیجیتال XMRig بانام فایل MobileStatsMonitor.exe به همراه یک Information Stealer دانلود میشود. این فایل اجرایی ابتدا محموله XMRig را از Dropbox دانلود کرده و با پیکربندی لازم برای استخراج ارز دیجیتال Monero راهاندازی میکند. بدافزار برای دسترسی به اطلاعات نیز از یک Information Stealer Dropper بهره میبرد که از دو ابزار معروف ChromePass و WebBrowserPassView برای بازیابی رمزهای عبور کاربران استفاده میکند. این ابزارها معمولاً برای بازیابی اطلاعات حساس از برنامهها استفاده میشوند تا مهاجم بتواند از آنها برای کسب درآمد سوءاستفاده کند. اطلاعات حساس شامل فایل پیکربندی HoneyGain حاوی کلید API موردنیاز برای احراز هویت بدافزار در پلتفرم قانونی است. نمونهای از درخواستهای حاوی توکن این API در شکل ۴ آمده است.
شکل ۴- درخواستهای API HoneyGain
همچنین در این بدافزار از تابع DLNanowire برای بازیابی فایل اجرایی Nanowire Proxyware Client و پیکربندی مرتبط استفاده میشود. پارامترهای این تابع جهت اجرای بیصدا Nanowire به حالت Sell تنظیم میشوند. بخشی از فایل پیکربندی Nanowire که در URL Dropbox میزبانیشده در شکل ۵ مشاهده میشود.
شکل ۵- نمونه پیکربندی Nanowire Proxy Client
تابع SendToPanel اطلاعات سیستم آلوده را توسط User-Agent مشخصشده به یک سرور راه دور ارسال میکند. نمونهای از درخواستهای POST و GET این ارتباط در شکل ۶ مشاهده میشود که توسط User-Agent نوع ارتباط نیز مشخصشده است.
شکل ۶- نمونه درخواستهای HTTP جهت ارتباط و تبادل داده با سرور C&C بدافزار
فهرست دامنهها و urlهای مرتبط با این proxyware به شرح زیر است:
جمعبندی پلتفرمهای Proxyware بهصورت قانونی ساختهشدهاند، اما به نسبت ابزارهای قدیمی مانند Tor، قابلیت پنهانسازی بهتری برای اقدامات مخرب دارند. به طور کلی مهاجمان از پلتفرمهای Proxyware برای کسب درآمدهای غیرقانونی استفاده میکنند. بارزترین روش نصب برنامه بدون اطلاع کلاینت برای فروش پهنای باند بدون اطلاع وی است.
مشابه این روش برای استخراج ارز دیجیتال با CPU Cycle های سیستم آلوده استفاده شده است. البته با محبوبیت بیشتر این پلتفرها، مهاجمین شروع به استفاده از ورژنهای پیشرفته و تروجانیزه شده نرمافزار کردند که علاوه بر پلتفرم قانونی، ماینرهای ارز دیجیتال و ابزارهای سرقت اطلاعات را نیز نصب میکنند.
با در نظر گرفتن افزایش چشمگیر تعداد کاربران و با توجه به این که اکثر آنها از پیامدهای امنیتی و مشکلات حریمخصوصی استفاده از Proxyware آگاه نیستند و یا صرفا به جنبه مالی ماجرا نگاه میکنند، استفاده از این ابزارها خطرات بالقوه زیادی را برای آنها ایجاد میکند. برای سازمانها نیز، این پلتفرمها دو مشکل اساسی ایجاد میکنند که یکی سوءاستفاده از منابع آنها است و دیگری به دلیل عدم کنترل فعالیت مشترکین Proxyware درنهایت آدرس سازمان در فهرست آدرس مخرب ثبت و مسدود خواهد شد؛ لذا با در نظر گرفتن هر دو این موارد لازم است تمهیداتی برای جلوگیری از استفاده از ابزارهای اینچنینی در نظر گرفته شود.