في نهاية شهر مايو، اكتشفنا حملة لتوزيع برامج ضارة من نوع طروادة للوصول عن بعد (RAT)، وهي برامج تسمح للمهاجمين بالتحكم عن بعد في النظام المصاب.
تميزت المجموعة التي فحصناها بأنها لم تختر أي عائلة RAT محددة للعدوى. تمت ملاحظة العديد من أحصنة طروادة في الهجمات ضمن الحملة (جميعها كانت متاحة على نطاق واسع). وبهذه الميزة، ذكّرتنا المجموعة بملك الفئران، وهو حيوان أسطوري يتكون من قوارض ذات ذيول متشابكة.
النسخة الأصلية مأخوذة من دراسة كتبها K. N. Rossikov بعنوان "الفئران والقوارض الشبيهة بالماوس، الأكثر أهمية من الناحية الاقتصادية" (1908)
تكريمًا لهذا المخلوق، قمنا بتسمية المجموعة التي نفكر فيها بـ RATKing. في هذا المنشور، سنتناول بالتفصيل كيفية تنفيذ المهاجمين للهجوم، والأدوات التي استخدموها، وسنشارك أيضًا أفكارنا حول إسناد هذه الحملة.
تقدم الهجوم
تمت جميع الهجمات في هذه الحملة وفقًا للخوارزمية التالية:
تلقى المستخدم رسالة بريد إلكتروني تصيدية تحتوي على رابط إلى Google Drive.
باستخدام الرابط، قام الضحية بتنزيل برنامج VBS ضار يحدد مكتبة DLL لتحميل الحمولة النهائية في سجل Windows وأطلق PowerShell لتنفيذه.
قامت مكتبة DLL بإدخال الحمولة النهائية - في الواقع، إحدى برامج RAT التي يستخدمها المهاجمون - في عملية النظام وسجلت برنامج VBS النصي في التشغيل التلقائي من أجل الحصول على موطئ قدم في الجهاز المصاب.
تم تنفيذ الحمولة النهائية في عملية النظام ومنحت المهاجم القدرة على التحكم في الكمبيوتر المصاب.
من الناحية التخطيطية يمكن تمثيلها على النحو التالي:
بعد ذلك، سنركز على المراحل الثلاث الأولى، لأننا مهتمون بآلية توصيل البرامج الضارة. لن نصف بالتفصيل آلية عمل البرامج الضارة نفسها. وهي متاحة على نطاق واسع - إما تباع في المنتديات المتخصصة، أو حتى يتم توزيعها كمشاريع مفتوحة المصدر - وبالتالي فهي ليست فريدة من نوعها لمجموعة RATKing.
تحليل مراحل الهجوم
المرحلة 1. البريد الإلكتروني للتصيد الاحتيالي
بدأ الهجوم بتلقي الضحية رسالة ضارة (استخدم المهاجمون قوالب مختلفة تحتوي على نص؛ تُظهر لقطة الشاشة أدناه مثالاً واحدًا). تحتوي الرسالة على رابط إلى مستودع شرعي drive.google.com، والتي من المفترض أنها أدت إلى صفحة تنزيل مستند PDF.
مثال على البريد الإلكتروني التصيد
ومع ذلك، في الواقع، لم يكن مستند PDF هو الذي تم تحميله على الإطلاق، بل كان برنامج نصي VBS.
عند النقر على الرابط من البريد الإلكتروني في الصورة أعلاه، ملف اسمه Cargo Flight Details.vbs. وفي هذه الحالة، لم يحاول المهاجمون حتى إخفاء الملف كوثيقة شرعية.
وفي الوقت نفسه، وكجزء من هذه الحملة، اكتشفنا نصًا برمجيًا اسمه Cargo Trip Detail.pdf.vbs. يمكن أن يتم قبوله بالفعل كملف PDF شرعي لأن Windows يخفي امتدادات الملفات افتراضيًا. صحيح، في هذه الحالة، لا يزال من الممكن إثارة الشك من خلال الرمز الخاص به، والذي يتوافق مع البرنامج النصي VBS.
في هذه المرحلة، يمكن للضحية التعرف على الخداع: ما عليك سوى إلقاء نظرة فاحصة على الملفات التي تم تنزيلها لثانية واحدة. ومع ذلك، في حملات التصيد الاحتيالي هذه، غالبًا ما يعتمد المهاجمون على مستخدم غافل أو متسرع.
المرحلة 2. تشغيل البرنامج النصي VBS
قام البرنامج النصي VBS، الذي يمكن للمستخدم فتحه عن غير قصد، بتسجيل مكتبة DLL في سجل Windows. كان النص مبهمًا: تمت كتابة السطور الموجودة به كبايتات مفصولة بحرف عشوائي.
مثال على البرنامج النصي المبهم
خوارزمية إزالة التشويش بسيطة للغاية: تم استبعاد كل حرف ثالث من السلسلة المبهمة، وبعد ذلك تم فك تشفير النتيجة من base16 إلى السلسلة الأصلية. على سبيل المثال، من القيمة 57Q53s63t72s69J70r74e2El53v68m65j6CH6Ct (تم تسليط الضوء عليه في لقطة الشاشة أعلاه) وكان السطر الناتج WScript.Shell.
لإزالة تشويش السلاسل، استخدمنا وظيفة بايثون:
def decode_str(data_enc):
return binascii.unhexlify(''.join([data_enc[i:i+2] for i in range(0, len(data_enc), 3)]))
أدناه، في الأسطر 9-10، نسلط الضوء على القيمة التي أدى إزالة التشويش فيها إلى ملف DLL. كان هو الذي تم إطلاقه في المرحلة التالية باستخدام PowerShell.
سلسلة مع DLL غامضة
تم تنفيذ كل وظيفة في البرنامج النصي VBS حيث تم إزالة تشويش السلاسل.
بعد تشغيل البرنامج النصي، تم استدعاء الدالة wscript.sleep — تم استخدامه لتنفيذ التنفيذ المؤجل.
بعد ذلك، عمل البرنامج النصي مع سجل Windows. لقد استخدم تقنية WMI لهذا الغرض. وبمساعدته، تم إنشاء مفتاح فريد، وتمت كتابة نص الملف القابل للتنفيذ إلى المعلمة الخاصة به. تم الوصول إلى السجل عبر WMI باستخدام الأمر التالي:
إدخال تم إجراؤه في التسجيل بواسطة برنامج VBS النصي
المرحلة 3. تشغيل مكتبة DLL
في المرحلة الثالثة، قام ملف DLL الخبيث بتحميل الحمولة النهائية، وإدخالها في عملية النظام، والتأكد من تشغيل البرنامج النصي VBS تلقائيًا عند تسجيل دخول المستخدم.
تشغيل عبر بوويرشيل
تم تنفيذ ملف DLL باستخدام الأمر التالي في PowerShell:
تلقى بيانات قيمة التسجيل بالاسم rnd_value_name - كانت هذه البيانات عبارة عن ملف DLL مكتوب على منصة .Net؛
تحميل وحدة .Net الناتجة في ذاكرة العملية powershell.exe باستخدام الوظيفة [System.Threading.Thread]::GetDomain().Load()(وصف تفصيلي لوظيفة Load() متاح على موقع مايكروسوفت);
قام بالوظيفة GUyyvmzVhebFCw]::EhwwK() - بدأ تنفيذ مكتبة DLL بها - بالمعلمات vbsScriptPath, xorKey, vbsScriptName. معامل xorKey تخزين المفتاح لفك تشفير الحمولة النهائية والمعلمات vbsScriptPath и vbsScriptName تم نقلها من أجل تسجيل البرنامج النصي VBS في التشغيل التلقائي.
وصف مكتبة DLL
في شكل مفكك، بدا محمل الإقلاع كما يلي:
المُحمل في شكل مفكك (يتم وضع خط تحت الوظيفة التي بدأ بها تنفيذ مكتبة DLL باللون الأحمر)
أداة تحميل التشغيل محمية بواسطة واقي .Net Reactor. تقوم الأداة المساعدة de4dot بعمل ممتاز في إزالة هذا الحامي.
هذا اللودر:
حقن الحمولة في عملية النظام (في هذا المثال، svchost.exe);
لقد أضفت برنامج VBS النصي للتشغيل التلقائي.
حقن الحمولة
دعونا نلقي نظرة على الوظيفة التي أطلق عليها البرنامج النصي PowerShell.
الدالة التي يطلق عليها برنامج PowerShell النصي
قامت هذه الوظيفة بالإجراءات التالية:
فك تشفير مجموعتين من البيانات (array и array2 في لقطة الشاشة). تم ضغطها في الأصل باستخدام gzip وتشفيرها باستخدام خوارزمية XOR باستخدام المفتاح xorKey;
نسخ البيانات إلى مناطق الذاكرة المخصصة. معلومات من array - إلى منطقة الذاكرة المشار إليها intPtr (payload pointer في لقطة الشاشة)؛ معلومات من array2 - إلى منطقة الذاكرة المشار إليها intPtr2 (shellcode pointer في لقطة الشاشة)؛
تسمى الوظيفة CallWindowProcA(описание هذه الوظيفة متاحة على موقع مايكروسوفت) مع المعلمات التالية (أسماء المعلمات مذكورة أدناه، وهي في لقطة الشاشة بنفس الترتيب، ولكن مع قيم العمل):
lpPrevWndFunc - مؤشر للبيانات من array2;
hWnd - مؤشر إلى سلسلة تحتوي على المسار إلى الملف القابل للتنفيذ svchost.exe;
Msg - مؤشر للبيانات من array;
wParam, lParam - معلمات الرسالة (في هذه الحالة، لم يتم استخدام هذه المعلمات وكانت قيمتها 0)؛
أنشأ ملف %AppData%MicrosoftWindowsStart MenuProgramsStartup<name>.urlحيث <name> - هذه هي الأحرف الأربعة الأولى من المعلمة vbsScriptName (في لقطة الشاشة، يبدأ جزء التعليمات البرمجية مع هذا الإجراء بالأمر File.Copy). وبهذه الطريقة، أضافت البرامج الضارة ملف URL إلى قائمة ملفات التشغيل التلقائي عندما قام المستخدم بتسجيل الدخول وبالتالي أصبح متصلاً بالكمبيوتر المصاب. يحتوي ملف URL على رابط للبرنامج النصي:
لذلك عند تشغيل الوظيفة CallWindowProcA مع المعلمات hWnd, Msg, wParam, lParam يتم تنفيذ كود القشرة من المصفوفة array2 مع الحجج hWnd и Msg. hWnd هو مؤشر إلى سلسلة تحتوي على المسار إلى الملف القابل للتنفيذ svchost.exeو Msg — مؤشر إلى الحمولة النهائية.
تلقى كود القشرة عناوين الوظائف من kernel32.dll и ntdll32.dll بناءً على قيم التجزئة من أسمائهم وحقن الحمولة النهائية في ذاكرة العملية svchost.exeباستخدام تقنية تفريغ العملية (يمكنك قراءة المزيد عنها في هذا مقالة). عند حقن كود القشرة:
خلقت عملية svchost.exe في حالة تعليق باستخدام الوظيفة CreateProcessW;
ثم قم بإخفاء عرض القسم في مساحة عنوان العملية svchost.exe باستخدام الوظيفة NtUnmapViewOfSection. وهكذا، قام البرنامج بتحرير ذاكرة العملية الأصلية svchost.exeثم تخصيص الذاكرة للحمولة على هذا العنوان؛
الذاكرة المخصصة للحمولة في مساحة عنوان العملية svchost.exe باستخدام الوظيفة VirtualAllocEx;
بدء عملية الحقن
كتب محتويات الحمولة في مساحة عنوان العملية svchost.exe باستخدام الوظيفة WriteProcessMemory (كما في لقطة الشاشة أدناه)؛
استأنفت العملية svchost.exe باستخدام الوظيفة ResumeThread.
استكمال عملية الحقن
البرمجيات الخبيثة القابلة للتنزيل
نتيجة للإجراءات الموضحة، تم تثبيت أحد البرامج الضارة العديدة من فئة RAT على النظام المصاب. يسرد الجدول أدناه البرامج الضارة المستخدمة في الهجوم، والتي يمكننا أن ننسبها بثقة إلى مجموعة واحدة من المهاجمين، نظرًا لأن العينات وصلت إلى نفس خادم الأوامر والتحكم.
أمثلة على البرامج الضارة الموزعة باستخدام نفس خادم التحكم
هناك شيئان جديران بالملاحظة هنا.
أولاً، حقيقة أن المهاجمين استخدموا عدة عائلات RAT مختلفة في وقت واحد. هذا السلوك ليس نموذجيًا بالنسبة للمجموعات الإلكترونية المعروفة، والتي غالبًا ما تستخدم نفس مجموعة الأدوات المألوفة لديها تقريبًا.
ثانيًا، استخدم RATKing برامج ضارة يتم بيعها إما بسعر منخفض في المنتديات المتخصصة، أو حتى مشروع مفتوح المصدر.
توجد قائمة أكثر اكتمالاً للبرامج الضارة المستخدمة في الحملة - مع تحذير مهم - في نهاية المقالة.
حول المجموعة
لا يمكننا أن نعزو الحملة الخبيثة الموصوفة إلى أي مهاجمين معروفين. في الوقت الحالي، نعتقد أن هذه الهجمات نفذتها مجموعة جديدة تمامًا. كما كتبنا في البداية، أطلقنا عليه اسم RATKing.
لإنشاء البرنامج النصي VBS، ربما استخدمت المجموعة أداة مشابهة للأداة المساعدة VBS-التشفير من المطور نيان-x-CAT. ويدل على ذلك تشابه النص الذي ينشئه هذا البرنامج مع نص المهاجمين. وعلى وجه التحديد فإن كلاً من:
تنفيذ التنفيذ المؤجل باستخدام الوظيفة Sleep;
استخدام WMI.
تسجيل نص الملف القابل للتنفيذ كمعلمة مفتاح التسجيل؛
قم بتنفيذ هذا الملف باستخدام PowerShell في مساحة العنوان الخاصة به.
من أجل الوضوح، قارن أمر PowerShell لتشغيل ملف من السجل، والذي يستخدمه برنامج نصي تم إنشاؤه باستخدام VBS-Crypter:
لاحظ أن المهاجمين استخدموا أداة مساعدة أخرى من NYAN-x-CAT كإحدى الحمولات - لايمرات.
تشير عناوين خوادم القيادة والسيطرة إلى ميزة مميزة أخرى لـ RATKing: تفضل المجموعة خدمات DNS الديناميكية (راجع قائمة القيادة والأحكام في جدول IoC).
IoC
يوفر الجدول أدناه قائمة كاملة بنصوص VBS النصية التي من المرجح أن تُنسب إلى الحملة الموصوفة. كل هذه البرامج النصية متشابهة وتؤدي نفس تسلسل الإجراءات تقريبًا. تقوم جميعها بإدخال برامج ضارة من فئة RAT في عملية Windows موثوقة. جميعهم لديهم عناوين C&C مسجلة باستخدام خدمات DNS الديناميكية.
ومع ذلك، لا يمكننا الادعاء بأن جميع هذه البرامج النصية تم توزيعها بواسطة نفس المهاجمين، باستثناء العينات التي لها نفس عناوين القيادة والسيطرة (على سبيل المثال، kimjoy007.dyndns.org).