وبگاه ترندمیکرو اعلام کرد اخیراً خانوادهی بدافزاری را شناسایی کرده که به دلیل ذخیرهی اشیاء بزرگ باینری1 به صورت رمزشده در رجیستری، آن را BLYPT نامیده است. در حال حاضر این بدافزار با استفاده از کدهای مخرب جاوا نصب میگردد؛ اما بارگیریهای Drive-by (بدون اطلاع کاربر) یا وبگاههای در معرض خطر نیز ممکن است در ارائهی این بدافزار مؤثر باشند. طبق تحقیقات این شرکت کارگزارهای این حملات عمدتاً در کشورهای رومانی و ترکیه واقع شدهاند.
از طرفی ظاهراً کاربران آمریکایی هدف عمدهی این بدافزار هستند و در حالت کلی این بدافزار بیشتر مصرفکنندگان را تحت تأثیر قرار داده تا کسب و کارها.
ورود و نصب
در انتشار یکی از این موارد کد مخرب جاوا به چشم میخورد. این کد مخرب که با عنوان JAVA_EXPLOYT.HI شناسایی شده برای اجرای کدهای دلخواه مورد استفاده قرار میگیرد. این کد از آسیبپذیری با شناسهی CVE-2013-1493 بهره میگیرد که البته این آسیبپذیری در اردیبهشت ماه توسط اوراکل اصلاح شد.
این کد مخرب برای بارگیری نصبکنندهای2 به کار میرود که خود مسئول بارگیری و نصب مولفهی اصلی BLYPT در سامانهی آلوده است. این نصبکننده با قالب tmp{random values}.tmp در سامانه ذخیره میشود. مولفهی اصلی مذکور logo32.png یا logo64.png نام دارد و با توجه به نسخهی ۳۲ یا ۶۴ بیتی ویندوزِ سامانه تغییر میکند. این نصبکننده تا زمانی که مولفهی بکدور به طور کامل بارگیری شود، هر ۳ ثانیه به ۳ کارگزار متصل میشود و در صورتی که موفق نشود تا ۳۲ بار این عمل را تکرار میکند.
دو گونه از BLYPT توسط پژوهشگران ترندمیکرو شناسایی شده که بر اساس نام پروندهای که برای ذخیرهسازیِ مولفهی اصلی BLYPT به کار میرود، متفاوت هستند. در هر دو مورد ذخیرهسازی در پوشهی App Data%\Microsoft\Crypto\RSA% انجام میشود. اما یکی از گونهها با عنوان NTCRYPT{random values}.TPL و دیگری با نامCERTV{random values}.TPL دخیره میشوند. هر دو مولفه دارای نسخههای ۳۲ و ۶۴ بیتی میباشند و رفتارشان نیز عمدتاً یکسان است.
|
|
|
|
|
|
شکل ۱- نمودار آلودگی BKDR_BLYPT |
|
یکی از تفاوتهای بین این دو نوع در جایی است که اطلاعات کارگزار کنترل و فرماندهی ذخیره میشود. گونههای NTCRYPT به خودیِ خود حاوی اطلاعات کنترل و فرماندهی نیستند؛ در عوض نصبکننده این اطلاعات را در رجیستری مورد استفادهی بکدور BLYPT ذخیره میکند. اما گونههای CERTV اطلاعات کارگزار C&C را درون پروندهی خود ذخیره میکنند. در هر دو مورد اطلاعات C&C در رجیستری در کلید زیر ذخیره میشود:
HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates\CA\Certificates\5A82739996ED9EBA18F1BBCDCCA62D2C1D670C\Blob
در حالی که این اطلاعات در دو نوعِ این بدافزار تحت کلید یکسانی ذخیره میشود اما قالب آن متفاوت است. در اولین گونه اطلاعات پس از رمزگشایی در قالب متن شفاف و به صورت زیر است:
گونهی بعدی اطلاعات خود را در قالب باینری و به صورت زیر ذخیره میکند:
struct
{
DWORD ip;
WORD port;
} cncServer;
cncServer cncList[];
Raw Data Format Example:
<(DWORD)ip1><(WORD)port1><(DWORD)ip2><(WORD)port2><(DWORD)ipN><(WORD)portN>
هر دو گونه اطلاعات را با استفاده از arc4 و با کلید رمزنگاری «hxxp://microsoft.com» رمز میکنند.
نکتهی قابل توجه دیگر در مورد این نصبکننده این است که بازخورد آنی را از وضعیت نصب با دسترسی به URL زیر به کارگزار مخرب اعلام میکند:
hxxp://{malicious server}/index.aspx?info=
کلمهی کلیدی وضعیت یا status keyword هر کدام از این موارد میتوانند باشند:
· startupkey_%d where %d = RegCreateKeyW return
· reuse
· configkey_%d where %d = RegCreateKeyA return
· configkeyvalue_%d where %d = RegSetValueExA return
· tserror_4_%d where %d = GetLastError from call to connect
· createproc_%d where %d = GetLastError from call to CreateProcessW
· reusereboot_%d_%d_%d
توزیع کارگزار کنترل و فرماندهی
ترندمیکرو با رمزگشایی پروندههای پیکربندی مورد استفادهی این بدافزار، نحوهی توزیع کارگزارهای کنترل و فرماندهی این تهدید را بدست آورد که در نمودار زیر مشاهده میکنید.
|
|
|
|
|
|
شکل ۲- مکان کارگزارهای کنترل و فرماندهی BLYPT |
|
سایر رفتارها
BLYPT در قالب یک بکدور به مهاجم اجازه میدهد که دستورات خود را به سامانهی آلوده بفرستد. دستورات قابل اجرا از این قرارند:
· دریافت باینری DLL بهروزرسانی شده
· دریافت پیکربندی بهروزرسانی شده
· دریافت دستورات HTTP مثل ارسال درخواست GET به آدرس hxxp://103.31.186.19:1000/FetchIP.aspx به منظور بازیابی IP عمومی سامانه.
شایان ذکر است که محصولات امنیتی ترندمیکرو با تشخیص این بدافزار و مسدود کردن وبگاههای مربوطه از کاربران محافظت میکنند.
موسسه نرم افزاری ترسیم رایانه شرق