هشدارهای افتایی
محققان از شناسایی نمونه‌ای جدید از خانواده بدافزارهای موسوم به Wiper خبر داده‌اند که در جریان اخیر به نحوی از بحران همه‌گیری ویروس کووید ۱۹ بهره‌گیری می‌کند.
به گزارش معاونت بررسی مرکز افتا، به نقل از Avast، این بدافزار با رونویسی بخش Master Boot Record – به اختصار MBR – اقدام به دست‌درازی به عملیات راه‌اندازی (Boot) دستگاه می‌کند.
MBR شامل اطلاعاتی درباره ساختار دیسک و برنامه‌ای که سیستم عامل را به اجرا در می‌آورد، است. بدون یک Master Boot Record سالم و صحیح، کامپیوتر نمی‌داند که سیستم عامل بر روی کدام قسمت از دیسک سخت است و چگونه باید راه‌اندازی و اجرا شود. گرچه یک کاربر ماهر قادر به نصب مجدد MBR برای بازگردانی PC و فایل‌ها یا استفاده از رسانه‌های راه‌انداز برای دسترسی به اطلاعات خواهد بود.
از این خانواده خاص بدافزاری با نام‌هایی همچون MBR Wiper و MBR Locker نیز یاد می‌شود. از بدافزارهای MBR Locker معمولاً در ترکیب با باج‌افزارها و به‌عنوان راهی برای اخاذی و در عین حال نمایش اطلاعیه باج‌گیری (Ransom Note) به قربانی استفاده می‌شود. اما در این مورد خاص، صرفاً MBR خراب شده و باجی از کاربر اخاذی نمی‌شود. این احتمال وجود دارد که CoViper نسخه‌ای اولیه از بدافزار بوده و بعداً به یک باج‌افزار تکامل پیدا کند.
CoViper از طریق یک نصاب (Installer) که به زبان PureBasic نوشته شده و تمامی فایل‌های مورد نیازش در قالب Resource در آن بسته‌بندی شده (packed) توزیع می‌شود. CoViper از چندین فایل دودویی (Binary) و اسکریپت تشکیل شده است. این فایل‌ها با استفاده از رابط برنامه‌نویسی GetTempFileNameA در مسیر %TEMP% کپی می‌شوند.
فهرست این فایل‌ها به شرح زیر است:
  •     coronavirus.bat – که در نقش یک بازی‌گردان بدافزار را نصب و آن را بر روی سیستم ماندگار می‌کند.
  •     end.exe – که به زبان Delphi نوشته شده و در به صورت یک Wiper عمل می‌کند. هدف آن رونویسی MBR و در نتیجه جلوگیری از بالا آمدن عادی سیستم است.
  •     mainWindow.exe – که یک رابط کاربری حاوی تصویری که تداعی‌کننده ویروس کروناست را اجرا می‌کند.
  •     run.exe – که فایلی دودویی برای ماندگار کردن بدافزار و اجرای پروسه mainWindow.exe است. این کار توسط یک اسکریپت واسط با نام run.bat انجام می‌شود.
  •     Update.vbs – که حداقل در نسخه مورد بررسی به دلیل ناقص پیاده‌سازی شدن، عملکرد اجرایی نداشته و احتمالاً در نسخ بعدی کامل خواهد شد.
  •     cursor.cur – که یک فایل موسوم به نشانه‌گر موشواره (Cursor) است که در جریان آلودگی، نشانه‌گر به آن تغییر می‌یابد.
  •     wallpaper.jpg – تصویری سیاه که جایگزین تصویر پس‌زمینه دستگاه قربانی می‌شود.
از اسکریپت ساده coronavirus.bat برای نصب بدافزار بر روی دستگاه قربانی استفاده می‌شود. همچنین این اسکریپت تمامی فایل‌های دریافت شده را از پوشه موقت به یک پوشه جدید و مخفی با نام COVID-19 در پوشه Home کاربر کپی می‌کند. علاوه بر آن، اسکریپت کلیدهای محضرخانه (Registry) را به‌نحوی تغییر می‌دهد که بدافزار بر روی سیستم ماندگار بماند. به‌محض پایان کار، دستگاه با تأخیری 5 ثانیه‌ای راه‌اندازی مجدد (Reboot) می‌شود. همانطور که در تصویر زیر قابل مشاهده است راه‌اندازی مجدد موجب اجرای سه فایل Update.vbs، run.exe و end.exe می‌شود.
 

باید توجه داشت که اسکریپت عبارات عجیبی را به کاربر نمایش می‌دهد. در ابتدا به کاربر اعلام می‌شود که "coronavirus Installer" در حال کار بوده و بعدتر پیام‌های “coronavirus sucessfully installed” و “Your computer will restart in 5 seconds to finish the installation :)” ظاهر می‌شود.
علاوه بر ماندگاری و غیرفعال کردن UAC – با دست‌درازی به کلید EnableLUA در محضرخانه – بدافزار مانع از اجرا شدن Task Manager توسط کاربر می‌شود. با این کار کاربر عادی قادر به متوقف کردن پروسه بدافزار نخواهد بود. گر چه همچنان این امکان با استفاده از ابزارهای دیگری نظیر Process Explorer فراهم است.
همچنین اسکریپت coronavirus.bat نشانه‌گر موشواره و تصویر پس‌زمینه را تغییر داده و مانع از عوض شدن تصویر توسط کاربر می‌شود. (مگر آنکه این کار از طریق محضرخانه انجام شود.)
 
 

در ادامه به وظایف هر یک از پروسه‌ها پس از اولین راه‌اندازی پرداخته شده است.

Update.vbs
در حال حاضر اسکریپت Update.vbs تنها حاوی دو خط زیر بوده و عملاً هیچ کاری انجام نمی‌دهد:
 

به‌عبارت دیگر برای دو دقیقه منتظر مانده و سپس با نمایش پیامی از کاربر خواسته می‌شود که با راهبر تماس گرفته یا خود برای حل مشکل ارتباط با اینترنت اقدام کند. در حقیقت این بدان معناست که سازوکار به‌روزرسانی هنوز پیاده‌سازی نشده است.

run.exe
run.exe یک فایل بسته‌بندی شده با ابزار UPX است. با باز کردن فایل مشخص می‌شود که run.exe تقریباً یکسان با نصاب مبتنی بر PureBasic است که در ابتدای این گزارش به آن اشاره شد. تفاوت آنها در این است که run.exe بر خلاف نصاب فاقد اسکریپت‌ها و کدهای دودویی مورد استفاده بدافزار است. در عوض اسکریپتی با نام run.bat را فراخوانی می‌کند که چندین عملیات اضافی را بر روی سیستم قربانی اجرا می‌گردد.
اسکریپت یکبار دیگر از ماندگار بودن بدافزار مطمئن می‌شود. تفاوتی میان تکنیک ماندگاری در این اسکریپت و اسکریپت coronavirus.bat وجود ندارد؛ به غیر از آنکه یک حلقه بی‌پایان (Infinite Run Loop) فایل mainWindow.exe را هر بار که کاربر آن را می‌بندد اجرا می‌کند. البته همانطور که اشاره شد بدافزار Task Manager را نیز غیرفعال می‌کند که بیشتر آزاردهنده است.
کد این حلقه بی‌پایان در run.bat در تصویر زیر قابل مشاهده است.
 
 

mainWindow.exe
mainWindow.exe یک فایل دودویی نوشته شده به زبان VisualBasic است. به‌طور خلاصه کاری جز آزار کاربر با نمایش پنجره‌ای حاوی ویروس انجام نمی‌دهد. در این پنجره دو دگمه “Help” و “Remove virus” نیز به چشم می‌خورد. کلیک بر روی “Help” بجای کمک به کاربر به او اطلاع می‌دهد که دستگاه به “coronavirus” آلوده شده و وقتش را بیشتر تلف نکند. برای دگمه “Remove virus” نیز حداقل در این نسخه کدی تخصیص داده نشده است. می‌توان پیش‌بینی کرد که با تبدیل این بدافزار به باج‌افزار از این دگمه برای معرفی روش‌های پرداخت استفاده خواهد شد.
 
 

end.exe
همانطور که از نام آن پیداست زمانی از end.exe استفاده می‌شود که پروسه آلوده سازی در شرف پایان است. end.exe واقعاً مرحله نهایی CoViper بوده و کار آن رونویسی MBR دستگاه با کد مهاجم و در نتیجه آن بالا نیامدن دستگاه و عدم شروع به کار صحیح سیستم است.
این فایل در Borland Delphi نوشته شده است.
جالب اینکه پیش از رونویسی MBR از آن نسخه پشتیبان تهیه می‌شود که در ادامه به کاربرد پی خواهیم برد.
 
 


این نسخه پشتیبان پس از MBR جدید نوشته می‌شود (برای مثال در آفست آدرس 0x200 ). علاوه بر آن می‌توان دید که پس از آن بایت‌هایی از حافظه نیز کپی می‌شوند (برای مثال در آفست آدرس 0x400).
 
 

نتیجه چیزی مشابه با جدول زیر خواهد بود.
 

بنابراین بجای یک MBR استاندارد با کدی مثل نمونه زیر روبرو می‌شویم.
 
 


همین کد مختصر سازوکار معمول راه‌اندازی سیستم را مختل می‌کند. همچنین این کد دو رشته را نیز نمایش می‌دهد. اولین رشته به نام مهاجم اشاره دارد:
“Created By Angel Castillo. Your Computer Has Been Trashed.”

دومی نیز شناسه یک سرور دیسکورد است که احتمالاً از این طریق قربانی می‌تواند با نویسنده ارتباط برقرار کند:
Discord: Windows Vista#3294
در این مرحله مأموریت end.exe نیز خاتمه می‌یابد.
Task Manager ابزاری است که اکثر کاربران با آن آشنا هستند. بنابراین بسیاری از کاربران عادی بدون آن نمی‌توانند mainWindow.exe را متوقف کنند. احتمالاً اولین راهی که به نظر بسیاری از راهبران می‌رسد راه‌اندازی مجدد دستگاه است. موضوعی که سبب بالا نیامدن سیستم می‌شود.
به‌محض راه‌اندازی مجدد، قربانی با پیام زیر روبرو می‌شود.
 

خوشبختانه با توجه به وجود نسخه پشتیبان، امکان بازگرداندن MBR به حالت اولیه فراهم است. احتمال می‌رود که این رویکرد به دلیل نگرانی برنامه‌ویس از اجرای ناخواسته بدافزار بر روی سیستم خود بوده باشد.
همانطور که در کد بالا پیداست برنامه منتظر ورودی می‌ماند. ورودی مورد انتظار CTRL+ALT+ESC است. پس از دریافت این ترکیب، MBR با نمونه اصلی که توسط end.exe از آن نسخه پشتیبان تهیه شده بود تعویض می‌شود.
البته باید توجه داشت که با راه‌اندازی مجدد، end.exe باز هم اجرا شود و تمامی مراحل تکرار می‌شود. بنابراین، کاربر باید حداقل تنظیمات ماندگاری بدافزار را حذف کند تا سناریو از نو تکرار نشود.
نکته حائز اهمیت اینکه CoViper توسط ابزاری که به‌طور عمومی و رایگان بر روی اینترنت قابل دسترس است ایجاد شده است. بنابراین احتمالاً نویسنده این ابزار همان نویسنده CoViper نیست.

نشانه‌های آلودگی:
درهم‌ساز
4FD9B85EEC0B49548C462ACB9EC831A0728C0EF9E3DE70E772755834E38AA3B3 coronavirus.bat
C3F11936FE43D62982160A876CC000F906CB34BB589F4E76E54D0A5589B2FDB9 end.exe
B780E24E14885C6AB836AAE84747AA0D975017F5FC5B7F031D51C7469793EABE mainWindow.exe
C46C3D2BEA1E42B628D6988063D247918F3F8B69B5A1C376028A2A0CADD53986 run.exe
A1A8D79508173CF16353E31A236D4A211BDCEDEF53791ACCE3CFBA600B51AAEC Update.vbs
FE22DD2588666974CAE5B5BBDE2D763AFBD94BCCF72D350EC4E801F9354D103D run.exe unpacked
DF1F9777FE6BEDE9871E331C76286BAB82DA361B59E44D07C6D977319522BA91 run.bat
13C4423ED872E71990E703A21174847AB58DEC49501B186709B77B772CEEAB52 cursor.cur
4A17F58A8BF2B26ECE23B4D553D46B72E0CDA5E8668458A80CE8FE4E6D90C42D wallpaper.jpg
7AE5E2BE872510A0E2C01BCF61C2E2FB1E680CD9E54891D3751D41F53AC24F84 New MBR

منبع:
(با سپاس از همکاری شرکت مهندسی شبکه گستر در تهیه این گزارش)
 

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.