هشدارهای افتایی
یک دانلودکننده بدافزار جدید کشف شده است که از روش نوین "رصد پورت" استفاده می‌کند. این نوع دانلودکننده بدافزار قبلا در کارزارهای فعال شناسایی نشده است.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی ZDNet، این دانلودکننده بدافزار که DePriMon نام گرفته است، توسط گروه Lambert، که با نام Longhorn نیز شناخته می‌شود، به منظور انتقال بدافزار به سیستم قربانی استفاده می‌شود.
عوامل تهدید این بدافزار از انواع آسیب‌پذیری‌ها از جمله نقص‌های روز صفر مانند CVE-2014-4148 و درپشتی‌ها برای نفوذ به بخش‌های دولتی، مالی، ارتباط از راه دور، انرژی، حمل و نقل هوایی، فناوری اطلاعات و آموزشی بهره می‌برند. گروه Lambert از بدافزارهای مختلفی به منظور اهداف جاسوسی، سرقت داده و کسب پایداری در سیستم قربانی استفاده می‌کنند. پژوهشگران امنیت سایبری این بدافزارها را با رنگ‌های مختلف نام‌گذاری کرده‌اند.
بدافزارهای این گروه شامل Black Lampert، بدافزار فعال برای اتصال به یک سرور فرمان و کنترل (C&C) به جهت دریافت دستورالعمل‌ها؛ White Lampert، یک درپشتی مبتنی بر شبکه؛ Blue Lampert، بدافزار مرحله دوم؛ Green Lampert، نسخه قدیمی‌تر بدافزار Blue Lambert و Pink Lambert، یک ابزار شامل ماژول نفوذ به USB و یک orchestrator می‌شود.
بدافزار DePriMon درون حافظه بارگذاری می‌شود و به عنوان یک DLL اجرا می‌شود. بدلیل اینکه دانلودکننده هیچ وقت بر روی دیسک ذخیره نمی‌شود، شانس شناسایی آن کاهش می‌یابد. این بدافزار از روشی به نام رصد پورت استفاده می‌کند که در آن یک کلید رجیستری با نام Windows Default Print Monitor ثبت می‌کند. به منظور ایجاد کلید رجیستری، فایل DLL توسط spoolsv.exe در هنگام راه‌اندازی سیستم بارگیری می‌شود.
در ادامه، بدافزار مسیری را برای دانلود و اجرای payload اصلی ایجاد می‌کند. این مسیر از طریق SSL/TLS مایکروسافت و سیستم کانال امن (Secure Channel) رمزگذاری می‌شود و با یک سوکت ویندوز و نشست SSPI آغاز می‌شود. بسته به پیکربندی سیستم قربانی، DePriMon ممکن است از Schannel نیز استفاده کند.
سپس DePriMon قادر به برقراری ارتباط با سرور C&C خود از طریق TLS است. دستورات و داده‌های پیکربندی با AES-256 رمزگذاری می‌شوند.
پژوهشگران امنیتی ESET می‌گویند که به لطف طراحی ایمن این بدافزار، پیکربندی آن به صورت رمز نشده در حافظه باقی نمی‌ماند. هر بار که دانلودکننده نیاز به استفاده از برخی عناصر فایل پیکربندی داشته باشد، فایل پیکربندی را رمزگشایی، عنصر مورد نظر را بازیابی و مجددا فایل را رمزگذاری می‌کند. این نوع طراحی باعث می‌شود تا عملکرد اصلی بدافزار از جمله ارتباط با سرور C&C، در برابر فرایندهای جرم‌شناسی رایانه‌ای (forensic) شناسایی نشود.
بدافزار DePriMon یک دانلودکننده پیشرفته است که توسعه‌دهندگان آن تلاش زیادی را برای تنظیم معماری و ایجاد قطعات کد حساس آن انجام داده‌اند. DePriMon ابزاری قدرتمند، انعطاف‌پذیر و پایدار است که برای بارگیری payload، اجرای آن و جمع‌آوری برخی از اطلاعات اولیه در مورد سیستم و کاربر طراحی شده است.
نشانه‌های آلودگی (IoC):
هش:
•    02B38F6E8B54885FA967851A5580F61C14A0AAB6
•    03E047DD4CECB16F513C44599BF9B8BA82D0B7CB
•    0996C280AB704E95C9043C5A250CCE077DF9C8B2
•    15EBE328A501B1D603E66762FBB4583D73E109F7
•    1911F6E8B05E38A3C994048C759C5EA2B95CE5F7
•    2B30BE3F39DEF1F404264D8858B89769E6C032D9
•    2D80B235CDF41E09D055DD1B01FD690E13BE0AC7
•    6DB79671A3F31F7A9BB870151792A56276619DC1
•    6FAB7AA0479D41700981983A39F962F28CCFBE29
•    7D0B08654B47329AD6AE44B8FF158105EA736BC3
•    7E8A7273C5A0D49DFE6DA04FEF963E30D5258814
•    8B4F3A06BA41F859E4CC394985BB788D5F76C85C
•    94C0BE25077D9A76F14A63CBF7A774A96E8006B8
•    968B52550062848A717027C512AFEDED19254F58
•    9C4BADE47865E8111DD3EEE6C5C4BC83F2489F5B
•    AA59CB6715CFFF545579861E5E77308F6CAEAC36
•    C2388C2B2ED6063EACBA8A4021CE32EB0929FAD2
•    CA34050771678C65040065822729F44B35C87B0C
•    D38045B42C7E87C199993AB929AD92ADE4F82398
•    E272FDA0E9BA1A1B8EF444FF5F2E8EE419746384
•    E2D39E290201010F49652EE6116FD9B35C9AD882
•    F413EEE3CFD85A60D7AFC4D4ECC4445BB1F0B8BC
دامنه و IP:
•    img.dealscienters[.]net - 138[.]59[.]32[.]72
•    teknikgorus[.]com - 88[.]119[.]179[.]17
•    wnupdnew[.]com - 190[.]0[.]226[.]147
•    babmaftuh[.]com - 185[.]56[.]89[.]196
•    alwatantrade[.]com - 188[.]241[.]60[.]109
•    shayalyawm[.]com - 5[.]226[.]168[.]124
•    elehenishing[.]com - 185[.]225[.]17[.]77
•    almawaddrial[.]com - 46[.]151[.]212[.]202
•    mdeastserv[.]com - 46[.]151[.]212[.]201


منابع:

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.