زوميت/ بدافزار جديدي بهنام Dexphot با کاربرد معدنکاوي رمزارز کشف شده که بهگفتهي مايکروسافت، تاکنون بيش از ۸۰ هزار کامپيوتر را آلوده کرده است.
محققان امنيتي مايکروسافت جزئيات عملکردي بدافزار جديدي بهنام Dexphot را منتشر کردند. اين بدافزار از اکتبر ۲۰۱۸ فعاليت خود را شروع و تعداد زياد کامپيوترهاي مجهز به ويندوز را آلوده کرده است. بدافزار Dexphot از منابع پردازشي کامپيوتر قرباني براي معدنکاوي رمزارز استفاده ميکند. اوج فعاليت Dexphot در ژوئن سال جاري بود که آمار کامپيوترهاي آلوده به آن، به ۸۰ هزار سيستم رسيد. از آن زمان تعداد حملهها وارد روند کاهشي شد. مايکروسافت ميگويد پيادهسازي رويکردهاي امنيتي براي تشخيص بهتر و جلوگيري از حملهها، در کاهش آنها مؤثر بودهاند.
بدافزاري با نژاد پيچيده و اهداف ساده
هدف نهايي Dexphot، يعني معدنکاوي رمزارز با سوءاستفاده از منابع پردازشي قرباني، ساده بهنظر ميرسد. تکنيکهاي استفادهشدهي در اين بدافزار، بهدليل پيچيدگي فراوان توجه زيادي را بهخود جلب کرد. مايکروسافت در خبر خود به پيچيدگي ذاتي بدافزار مذکور اشاره کرد. هيزل کيم، تحليلگر بدافزار گروه Microsoft Denender ATP Research، با اشاره به هدف سادهي Dexphot براي معدنکافي رمزارز و نه دزديدن داده، دربارهي آن ميگويد:
Dexphot از آن دسته حملههايي نيست که توجه رسانههاي عمومي را بهخود جلب کند. اين بدافزار يکي از کمپينهاي بيشماري محسوب ميشود که هميشه فعال هستند. هدف او در گروههاي مجرمان سايبري مرسوم و متداول محسوب ميشود: نصب معدنکاو سکه که منابع پردازشي را ميدزدد و براي مجرمان درآمدزايي ميکند. بدافزار Dexphot با وجود هدف ساده، پيچيدگي و تکامل بسياري دارد که فراتر از تهديدهاي روزمرهي اينترنتي است. گذر از محدوديتها و حفاظهاي امنيتي متعدد و توانايي فعاليت بدون شناسايي در ابزارهاي امنيت سايبري آن را به پديدهاي پيچيده تبديل ميکند.
کيم درادامهي گزارش مفصل خود دربارهي Dexphot، به روشهاي حرفهاي آن در دورزدن محدوديتهاي امنيتي اشاره ميکند. روشهايي همچون اجرا بدون نياز فايل، تکنيکهاي چندشکلي و مکانيزمي هوشمند و پايدار که دربرابر بارگذاري مجدد سيستم هم مقاوم باشد، از خصوصيتهاي پيچيدهي Dexphot هستند.
فرايند آلودهسازي
مايکروسافت ميگويد محققان امنيتي از اصطلاح Second stage payload براي تعريف Dexphot استفاده ميکنند. چنين اصطلاحي براي بدافزارهايي بهکار ميرود که روي سيستمهاي آلوده به بدافزارهاي ديگر نصب و اجرا ميشوند. بدافزار مذکور روي سيستمهايي نصب ميشد که قبلا به بدافزار ICLoader آلوده شده بودند. بدافزار ICLoader عموما بهصورت افزونهاي درکنار بستههاي نرمافزاري به سيستم قرباني تزريق و روي آن نصب ميشود. احتمال نصب بدافزار مذکور زماني افزايش مييابد که کاربر از سرويسهاي کرکشده و از منابع نامعتبر براي دريافت نرمافزار استفاده کند.
برخي از مجرمان توسعهدهندهي بدافزار پس از نصب ICLoader، از آن براي دانلود و اجراي نصبکنندهي Dexphot استفاده ميکنند. مايکروسافت ميگويد نصبکنندهي Dexphot، تنها بخشي است که روي ديسک حافظهي سيستم قرباني نوشته و آن هم پس از مدت کوتاهي پاک ميشود. تمامي بخشهاي ديگر Dexphot از روشي بهنام «اجراي بدون فايل» (fileless execution) استفاده ميکنند و تنها در مموري سيستم اجرا ميشوند. چنين رويکردي باعث ميشود راهکارهاي کلاسيک آنتيويروسها، يعني بررسي سيگنجر فايلها در حافظهي دائمي، توانايي شناسايي Dexphot را نداشته باشند.
Dexphot کمترين ردپا را در حافظهي دائمي سيستم قرباني برجا ميگذارد
Dexphot علاوهبر روش اجرايي بدون نياز به فايل، از روشي بهنام living off the land يا LOLbins نيز استفاده ميکند. در روش مذکور، از فرايندهاي صحيح و معتبر ويندوز براي اجراي کدهاي مخبر استفاده ميشود. درواقع بدافزار، با استفاده از روش مذکور، به فرايندها و اجراکنندههاي اختصاصي نيازي ندارد و از منابع ويندوز بهره ميبرد.
مايکروسافت ميگويد Dexphot معمولا از فرايندهاي msiexec.exe ،unzip.exe ،rundll32.exe ،schtasks.exe و powershell.exe سوءاستفاده ميکند. همهي فرايندهاي مذکور اپليکيشنهاي معتبري هستند که در سيستمهاي ويندوزي از ابتدا نصب شدهاند. Dexphot با استفاده از فرايندهاي مذکور براي اجراي کد مخرب، از ديگر اپليکيشنهاي محلي تمايزناپذير ميشود که از فرايندها بهره ميبرند.
مجرمان توسعهدهندهي Dexphot در پيچيدهسازي بدافزار خود بازهم فراتر رفتهاند. در سالهاي اخير، آنتيويروسها از سيستمهاي مبتنيبر خدمات ابري استفاده ميکنند تا الگوي اجراهاي بدون نياز به فايل و LOLbins را ذخيره و بررسي کنند؛ درنتيجه، بدافزار پيچيدهي جديد از روش ديگري بهنام polymorphism هم بهره ميبرد. اين تکنيک در بدافزارها بهمعناي تغيير متناوب ساختار آنها است. مايکروسافت ميگويد توسعهدهندگان Dexphot هر ۲۰ تا ۳۰ دقيقه نام فايلها و آدرسهاي وب فعاليتهاي مخرب خود را تغيير ميدهند. بهمحض اينکه آنتيويروس بتواند الگوي آلودهسازي را در زنجيرهي Dexphot کشف کند، الگو تغيير ميکند؛ درنتيجه، گروه مجرمان پشت صحنهي Dexphot هميشه يک قدم جلوتر از محافظان امنيتي هستند.
مکانيزمهاي ماندگاري چندلايه
هيج بدافزاري تا ابد ناشناس نميماند. مجرمان سايبري توسعهدهندهي Dexphot براي اين موقعيت نيز راهکاري در نظر گرفتهاند. مايکروسافت ميگويد بدافزار مذکور با مکانيزم پايداري پيچيدهاي عمل ميکند و سيستمهاي قرباني که تمامي انواع Dexphot را شناسايي و پاک نکنند، مجددا آلوده ميشوند.
Dexphot در ابتدا از روشي بهنام خاليکردن فرايندها استفاده کرد. دو فرايند مجاز ويندوزي به نامهاي svchost.exe و nslookup.exe را بدافزار اجرا و محتواي آنها را خالي ميکند. سپس، کدهاي مخرب ازطريق فرايندهاي مجاز اجرا شدند. فرايندهاي مذکور که با ظاهر مجاز بهعنوان زيرمجموعههايي از Dexphot فعاليت ميکنند، بهنوعي نگهبان اجراي صحيح همهي بخشهاي ديگر بدافزار هستند. در زمان متوقفشدن هريک از بخشها نيز، همين دو فرايند بارديگر آنها را نصب ميکنند. ازآنجاکه دو فرايند بهعنوان نگهبان عمل ميکنند، درصورت متوقفشدن يکي از آنها، ديگري بهعنوان پشتيبان وارد عمل ميشود و مجددا فرايند را اجرا ميکند.
توسعهدهندگان بدافزار Dexphot علاوهبر رويکرد گفتهشده، تعدادي وظايف زمانبنديشده نيز در برنامهي خود لحاظ کرده بودند تا سازوکار اجرا بدون نياز به فايل، پس از هربار بارگذاري مجدد يا در هر ۹۰ تا ۱۱۰ دقيقه، بارديگر اجرا شود. ازآنجاکه دورهي زماني منظمي براي اجراي وظايف در نظر گرفته شده بود، مجرمان توسعهدهنده توانايي ارائهي بهروزرساني براي Dexphot را هم در سيستمهاي آلوده داشتند.
تغيير دائمي نام و ساختار Dexphot، شناسايي آن را براي آنتيويروسها بسيار دشوار ميکند
مايکروسافت در گزارش خود ميگويد هربار که يکي از وظايف زمانبنديشده اجرا ميشد، فايلي را از سرور مجرمان سايبري دانلود ميکرد که شامل دستورالعملهاي بهروز از سمت توسعهدهندگان بود. با چنين رويکردي، در تمامي ميزبانان قرباني Dexphot روند جديدي براي آلودهسازي اجرا ميشد؛ درنتيجه، درصورت پيادهسازي هرگونه راهکار امنيتي از طرف آنتيويروسها، مجددا دستورالعملي براي دورزدن آنها تزريق ميشد. راهکار چندشکلي براي وظايف هم اجرا شد و با هربار تزريق، نام وظايف نيز تغيير ميکرد. روش سادهي اخير، از هرگونه راهکار امنيتي رد ميشد که وظايف را براساس نامشان فيلتر ميکرد.
همانطورکه گروه تحقيقاتي مايکروسافت گفته بود، روشهاي پيادهسازي بدافزار واقعا پيچيده و حرفهاي بودند. در نگاه اوليه به پيچيدگي روشهاي اجرا، شايد تصور شود گروههاي حرفهاي هکري در ابعاد بزرگ و حتي گروههايي با پشتيباني برخي دولتها، توسعهي Dexphot را برعهده داشته باشند. بههرحال، روشهاي پيچيدهي دورزدن حفاظهاي امنيتي در سالهاي گذشته بين گروههاي هکري هم رواج پيدا کردهاند. درنهايت، شايد همين توسعه باعث شود حتي در بدافزاري با هدف کوچک معدنکاوي مانند Dexphot، از روشهاي دورزدن حرفهاي استفاده شود. از نمونههاي ديگر ميتوان به تروجان دزدي اطلاعات مانند Astroth و بدافزار سوءاستفادهي کليکي Noderosk اشاره کرد.
همانطورکه توضيح داديم، Dexphot روي سيستمهايي اجرا ميشود که به بدافزار ديگري آلوده هستند. بدافزار اول نيز عموما ازطريق دانلود نرمافزارهاي کرکشده به سيستم قرباني منتقل ميشود. بااينهمه، رويکردهاي امنيتي اوليه براي هر کاربر ويندوزي حياتي بهنظر ميرسند که از آلودگي به بدافزارهاي مخرب اينچنيني تا حد زيادي جلوگيري ميکنند.
بازار