يکشنبه, 13 آذر 1401
  • ساعت : ۱۹:۵۲
  • تاريخ :
     ۱۴۰۱/۰۲/۲۲ 
  • کد خبر : ۲۱۰۳
بهره‌جویی از PowerShell برای توزیع بدافزار Emotet
به گزارش محققان امنیتی، گردانندگان بدافزار Emotet اکنون به‌جای استفاده از فایل‌های ماکرو Office که به طور پیش‌فرض غیرفعال شده‌اند، از فایل‌های میان‌بر Windows (Windows Shortcut Files (.LNK)) که حاوی فرمان‌ها PowerShell هستند، برای آلوده کردن کامپیوترهای کاربران استفاده می‌کنند.

به گزارش مرکز مدیریت راهبردی افتا، Emotet بدافزاری است که اغلب از طریق ارسال هرزنامه (spam) که حاوی پیوست‌های مخرب است، توزیع و منتشر می‌شود. هنگامی که کاربر پیوست هرزنامه را باز کند، ماکروها یا برنامه‌های مخرب اقدام به دریافت فایل Emotet DLL کرده و آن را در حافظه بارگذاری می‌کنند. 
پس از بارگذاری در حافظه، بدافزار Emotet ایمیل‌ها را برای سوءاستفاده در کارزار‌های آینده خود جستجو و سرقت می‌کند و کدهای مخرب دیگری همچون Cobalt Strike یا بدافزارهای دیگری که معمولاً منجر به حملات باج‌افزاری می‌شود، بر روی سیستم قربانی قرار می‌دهد.
ولی مهاجمان Emotet در کارزار اخیر خود، از ایمیل‌هایی استفاده کرده‌اند که فایل ZIP رمزدار به پیوست داشتند.

 

0020.jpg

 

 فایل یادشده حاوی فایل‌های میان‌بر (Windows LNK Shortcut) است که در ظاهر شبیه یک فایل Word است.
پیوست‌های مورداستفاده در این کارزار، اغلب دارای عناوین زیر هستند. 

 

0021.png

 

اکیداً توصیه می‌شود چنانچه ایمیلی با پیوست‌های مشابه دریافت کردید، از باز کردن آنها خودداری کرده و دراسرع‌وقت با مسئولان بخش کامپیوتر سازمان خود تماس گرفته تا با بررسی پیوست مشخص شود آیا آنها مخرب هستند یا خیر.
استفاده از فایل‌های .LNK روش جدیدی نیست، زیرا گردانندگان بدافزار Emotet قبلاً از آنها در ترکیب با برنامه‌های Visual Basic Script (VBS) به‌منظور ایجاد فرمانی برای دریافت کدهای مخرب استفاده کرده‌اند. بااین‌حال، این اولین‌بار است که آنها از میان‌برهای Windows برای اجرای مستقیم دستورات PowerShell استفاده می‌کنند.

تغییر روش بعد از یک تلاش نافرجام
در روش بکار گرفته شده توسط گردانندگان بدافزار Emotet، هنگامی که کاربر روی فایل میان‌بر کلیک می‌کرد، فرمانی اجرا می‌شد تا یک‌رشته خاصی که حاوی کد VBS است را از فایل میان‌بر استخراج کند و آن را به یک فایل VBS 
اضافه کرده و آن فایل جدید VBS را اجرا ‌کند.

 

0022.jpg


بااین‌حال، ازآنجایی‌که فایل‌های میان‌بر توزیع شده دارای نامی متفاوت از نام ثابتی بود که به دنبال آن جستجو می‌شد، فایل VBS جدید به‌درستی ساخته نمی‌شد. ازاین‌رو گردانندگان بدافزار Emotet، پس از کشف اینکه این اشکال مانع از آلوده شدن کاربران می‌شود، بلافاصله کارزار خود را متوقف کردند. 
مدتی بعد گردانندگان بدافزار Emotet ، اشکال یادشده را برطرف و بار دیگر شروع به ارسال هرزنامه به کاربران کردند. پس از رفع اشکال، این میان‌برها اکنون در هنگام اجرای دستور از نام‌ صحیح فایل‌ها استفاده می‌کنند و فایل‌های VBS به‌درستی ایجاد شده و بدافزار  Emotet دریافت و بر روی دستگاه‌ قربانیان نصب می‌شود.
محققان امنیتی با بررسی بیشتر این بدافزار متوجه شدند که Emotet به ترفند جدیدی روی آورده است. در این روش مهاجمان از دستورات PowerShell که به فایل LNK متصل است برای دریافت و اجرای یک برنامه بر روی کامپیوتر آلوده استفاده می‌کنند. رشته مخرب اضافه شده به فایل .LNK مبهم‌سازی شده است و با مقدار تهی (Blank Space) پر شده تا در گزینه Properties فایلی که میان‌بر به آن اشاره می‌کند، نمایش داده نشود.

 

0023.jpg

 

فایل میان‌بر مخرب در بدافزار Emotet شامل نشانی‌ چندین ‌سایت آلوده است که برای ذخیره برنامه مخرب PowerShell استفاده می‌شود. اگر برنامه در یکی از نشانی‌های تعریف شده وجود داشته باشد، به‌عنوان یک برنامه PowerShell دریافت شده و با یک نام تصادفی در پوشه موقت سیستم قرار می‌گیرد. در تصویر زیر، نسخه مبهم‌سازی نشده از رشته مخرب که به فایل میان‌بر متصل شده، نمایش‌داده‌شده است.

 

0024.jpg


این برنامه، برنامه PowerShell دیگری را تولید و راه‌اندازی می‌کند که بدافزار Emotet را از فهرستی از سایت‌های آلوده دریافت کرده و در پوشه % %Temp ذخیره می‌کند. سپس فایل DLL دریافت شده با استفاده از دستور regsvr32.exe اجرا می‌شود. اجرای برنامه PowerShell با استفاده از ابزار خط فرمان Regsvr32.exe صورت‌گرفته و با دریافت و فعال‌سازی بدافزار Emotet به پایان می‌رسد. 
محققان امنیتی معتقدند که به‌کارگیری PowerShell در فایل‌های میان‌بر LNK، برای استقرار بدافزار Emotet، روش کاملاً جدیدی است. آنها بر این باورند که این روش جدید تلاشی آشکار برای دورزدن راهکارهای دفاعی و شناسایی خودکار است. محققان امنیتی در شرکت ضدویروس ای‌سِت(ESET, LLC.)  همچنین عنوان کردند که استفاده از روش جدید بدافزار Emotet در کشورهای مکزیک، ایتالیا، ژاپن، ترکیه و کانادا بکار گرفته شده و در حال افزایش است.
به‌غیراز به‌کارگیری PowerShell در فایل‌های LNK، گردانندگان بدافزار Emotet تغییرات دیگری مانند انتقال به ماژول‌های 64 بیتی را نیز انجام داده‌اند. این بدافزار معمولاً به‌عنوان دروازه‌ای برای سایر بدافزارها، به‌ویژه تهدیدات باج‌افزاری همچون Conti استفاده می‌شود.

منابع:

 


(با تشکر از شرکت مهندسی شبکه گستر برای همکاری درتهیه این گزارش)
 

امتیاز :  ۳.۰۰ |  مجموع :  ۲

برچسب ها

    تهران، خیابان قائم مقام فراهانی ،کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا
    ایمیل: info@afta.gov.ir
    6.0.15.0
    V6.0.15.0