هشدارهای افتایی
محققان نمونه‌هایی از یک بدافزار جدید با نام Ramsay یافته‌اند که قادر به جمع‌آوری و سرقت فایل‌های حساس از روی سیستم‌های غیرمتصل به اینترنت است. تا این لحظه تعداد قربانیان Ramsay محدود گزارش شده است. 
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی BleepingComputer، این بدافزار که تا پیش از این بصورت عمومی مستند نشده بود از طریق یک فایل مخرب RTF به دستگاه راه یافته و در ادامه اقدام به پویش درایوهای جداشدنی (Removable Drive) و پوشه‌های اشتراکی برای یافتن مستندات Word، فایل‌های PDF و آرشیوهای ZIP می‌کند.
محققان شرکت ESET که جزییات این بدافزار را منتشر کرده‌اند از طریق سایت VirusTotal به نمونه Ramsay دست پیدا کرده‌اند. نمونه مورد بررسی از دستگاهی با نشانی IP متعلق به کشور ژاپن بر روی این سایت ارسال شده بوده است.
حداقل، سه نسخه از این بدافزار با شناسه‌های v1، v2.a و v2.b فعال بوده‌اند. بر اساس تاریخ کامپایل، Ramsay v1 قدیمی‌ترین و ساده‌ترین نمونه این بدافزار تلقی می‌شود.
دو نسخه دیگر (v2 و v2.b) کامل‌تر بوده و ظاهراً به‌ترتیب در 17 اسفند و 8 فروردین کامپایل شده‌اند. گرچه هر دو مجهز به روت‌کیت هستند اما تنها 2.a دارای توانایی انتشار است. 
به‌نظر می‌رسد که بستر Ramsay تحت توسعه بوده و روش‌های انتشار آن در حال تعریف است.
نسخ کمتر پیچیده این بدافزار از طریق مستندات مخرب حاوی بهره‌جوهای CVE-2017-0199 و CVE-2017-11882 که اجرای کد را فراهم می‌کنند دریافت و اجرا می شوند.
در یک روش حمله دیگر، که در آن نسخه به‌مراتب کامل‌تر Ramsay v2.a انتشار می‌یافته، بدافزار خود را به‌عنوان یک نصاب ابزار رمزگذاری 7-Zip معرفی می‌کند.
 
بخش انتشاردهنده در این نسخه به‌شدت مخرب بوده و هر فایل اجرایی بر روی درایوهای مقصد را به خود آلوده می‌کند.
منطقاً از این قابلیت می‌توان این طور نتیجه‌گیری کرد که مهاجمان قصد انتشار در دامنه گسترده‌ای را داشته‌اند.
نبود قابلیت مذکور در نسخ دیگر نیز می‌تواند نشانه‌ای از این باشد که مهاجمان نیاز به کنترل‌های سخت‌گیرانه‌تری برای توزیع در شبکه‌های هدف آن نسخ داشته‌اند. مورد حمله قرار دادن یک سیستم غیرمتصل به اینترنت – نه همه شبکه – نیز دیگر احتمال مطرح شده در خصوص عدم قابلیت آلوده‌سازی کل فایل‌های اجرایی است.
هدف Ramsay سرقت فایل‌ها از روی دستگاه‌های آلوده است. تمامی نسخ تحلیل شده توسط ESET اقدام به جمع‌آوری مستندات Word از روی سیستم فایل کامپیوتر قربانی می‌کنند. نمونه‌های جدیدتر به جستجوی فایل‌های PDF و ZIP بر روی درایوهای شبکه‌ای و درایوهای جداشدنی نیز می‌پردازند.
 

فایل‌های جمع‌آوری شده به این روش با الگوریتم RC4 رمزگذاری و با ابزار WinRAR که توسط نصاب Ramsay دریافت شده فشرده می‌شوند. در ادامه بخشی دیگر از بدافزار مخفی کردن و ارسال نمودن آنها را تسهیل می‌کند. 
Ramsay با استفاده از دو رابط برنامه‌نویسی WriteFile و CloseHandle از روشی غیرمتمرکز برای ذخیره کردن این اطلاعات بر روی سیستم قربانی استفاده می‌کند.
داده‌های سرقت شده به انتهای یک سند پاک Word افزوده می‌شوند. برای عادی به نظر رسیدن فایل، یک پسایند (Footer) به فایل اضافه می‌شود. سند حاصل شده همانند یک فایل معتبر عمل کرده و می‌توان آن را در Microsoft Word باز کرد.
در تحقیق ESET تنها به بررسی بخش‌هایی از بدافزار Ramsay که وظیفه انتشار بر روی سایر سیستم‌ها، سرقت فایل‌ها  و آماده‌سازی داده‌ها برای ارسال را برعهده دارند پرداخته شده است.
از آنجا که Ramsay سیستم‌های غیرمتصل به اینترنت را هدف قرار می‌دهد مهاجمان قادر به برقراری ارتباط مستقیم با سیستم‌های قربانی برای استخراج داده‌های سرقت شده یا دریافت فرامین نیستند.
به گفته محققان بدافزار با پویش سیستم‌فایل محلی، پوشه‌های اشتراکی در شبکه یا درایوهای جداشدنی اقدام به یافتن فایل‌های موسوم به کنترل ویژه که شامل فرامین مهاجمان است می‌پردازد.
این بدان معناست که جزء دیگری از Ramsay وجود دارد که وظیفه آن استخراج داده‌ها و انتقال فرامین به بدافزار است. اگر چه ESET نمونه‌ای از ابزار مورد استفاده بدافزار برای استخراج را نیافته اما احتمال می‌دهد که چنین ابزاری به‌نحوی باید مورد استفاده قرار گرفته شده باشد.
یکی از روش‌هایی که مهاجمان را قادر به انجام آن می‌کند آلوده‌سازی سیستم‌های متصل به اینترنت است؛ سیستم‌هایی که کارمند از آنها برای انتقال فایل‌ها به یک شبکه غیرمتصل به اینترنت استفاده می‌کند.
چنین سیستمی به‌عنوان واسطی میان کامپیوترهای غیرمتصل که وجه اشتراک آنها استفاده از یک درایو جداشدنی مشترک است عمل می‌کند. یک فایل کنترلی ویژه (Special Control File)، بدافزار را به‌نحوی هدایت می‌کند که فایل Word حاوی داده‌های سرقت شده را بر روی درایو کپی کند.
زمانی که درایو به کامپیوتر متصل به اینترنت وصل می‌شود فایل‌های سرقت شده استخراج می‌شوند. روشی که در نمونه بدافزارهای مخرب مورد استفاده گروه Sednit – که با نام APT28 نیز شناخته می‌شود – در کارزار موسوم به USB Stealer در اواخر سال 2014 نیز مشاهده شده بود.
 

سناریوی مطرح شده دیگر، دسترسی فیزیکی مهاجمان به سیستم آلوده است. در این صورت پس از گذشت مدتی از آلوده شدن دستگاه به Ramsay مهاجم با دسترسی که در اختیار دارد فایل حاوی اطلاعات سرقت شده را جمع‌آوری می‌کند.
علیرغم وجود تکه‌کدهایی مشابه با درب‌پشتی Retro که پیش‌تر توسط گروه DarkHotel مورد استفاده قرار گرفته بود مرتبط دانستن Ramsay با این گروه حداقل در حال حاضر ممکن نیست.
از جمله این شباهت‌ها وجود توکن‌هایی یکسان در هر دوی این بدافزارهاست.
 

از دیگر شباهت‌های Ramsay و Retro استفاده از API مشترک برای ایجاد شناسه GUID برای ماشین‌های آلوده و الگوریتمی یکسان برای رمز کردن آن است.
ضمن اینکه هر دو، فایل‌های لاگی با الگوی نامگذاری مشترک ایجاد کرده و با اتکا به ابزارهای کد باز (Open-source) سطح دسترسی خود را برای توزیع برخی اجزای خود استفاده می‌کنند.
و از همه مهمتر اینکه در فراداده Ramsay از کلمه کره‌ای استفاده شده است.
با وجود این نشانه‌ها نمی‌توان با قطعیت Ramsay را مرتبط با DarkHotel دانست.
 

محققان ESET معتقدند که گردانندگان Ramsay در خصوص بستر قربانیان خود اطلاعات کافی داشته و با روش‌های اختصاصی، بدون استفاده از منابع غیرضروری به شبکه آنها رخنه می‌کرده‌اند.
مشروح گزارش ESET در لینک زیر قابل مطالعه است:
نشانه‌های آلودگی:
درهم‌ساز
f79da0d8bb1267f9906fad1111bd929a41b18c03               Initial Installer
62d2cc1f6eedba2f35a55beb96cd59a0a6c66880              Installer Launcher
baa20ce99089fc35179802a0cc1149f929bdf0fa                UAC Bypass Module
5c482bb8623329d4764492ff78b4fbc673b2ef23               UAC Bypass Module
e7987627200d542bb30d6f2386997f668b8a928c             Spreader
3bb205698e89955b4bd07a8a7de3fc75f1cb5cde             Malware Installer
bd8d0143ec75ef4c369f341c2786facbd9f73256               HideDriver Rootkit
7d85b163d19942bb8d047793ff78ea728da19870            HideDriver Rootkit
3849e01bff610d155a3153c897bb662f5527c04c             Darkhotel Retro Backdoor Loader
50eb291fc37fe05f9e55140b98b68d77bd61149e             Ramsay Initial Installer (version 2.b)
87ef7bf00fe6aa928c111c472e2472d2cb047eae              RTF file
5a5738e2ec8af9f5400952be923e55a5780a8c55            Ramsay Agent DLL (32bits)
19bf019fc0bf44828378f008332430a080871274              Ramsay Agent EXE (32bits)
bd97b31998e9d673661ea5697fe436efe026cba1            Ramsay Agent DLL (32bits)
eb69b45faf3be0135f44293bc95f06dad73bc562              Ramsay Agent DLL (32bits)
f74d86b6e9bd105ab65f2af10d60c4074b8044c9             Ramsay Agent DLL (64bits)
ae722a90098d1c95829480e056ef8fd4a98eedd7            Ramsay Agent DLL (64bits)

منبع:
(با سپاس از همکاری شرکت مهندسی شبکه گستر در تهیه این گزارش)
 

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.