فناوری اطلاعات

سلام! اسم من Dtrack است: یک بدافزار بانکی!

تحقیقات ما روی Dtrack RAT در واقع طی اقدامی متفاوت کلید خورد. اواخر تابستان سال 2018 ATMDtrack را کشف کردیم؛ یک بدافزار بانکی که بانک‌های هندی را مورد هدف قرار می‌داد. 
به گزارش روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ با تحلیل‌های بیشتر پی بردیم این بدافزار بدین منظور طراحی شده بود که روی دستگاه خودپرداز قربانی ایمپلنت شود؛ جایی که می‌تواند اطلاعات کارت‌های واردشده به دستگاه را خوانده و آن‌ها را ذخیره نماید. ما به طور خاص سعی داشتیم اطلاعات بیشتری در خصوص این بدافزار ATM در اختیار داشته باشیم و از همین رو از YARA و Kaspersky Attribution Engine برای کشف مطالب جالبتر استفاده کردیم: بیش از 180 نمونه بدافزار جدید از یک ابزار جاسوسی که بدان Dtrack می‌گویند.
تمامی نمونه‌های Dtrack که آن اوایل پیدا کرده بودیم، نمونه‌های دراپ‌شده بودند؛ زیرا پی‌لود واقعی با دراپرهای مختلف رمزگذاری شده بود- موفقیت ما در پیدا کردن آن‌ها به دلیل توالی خاصی بود که توسط ATMDtrack و انباشته‌های مموری Dtrack به اشتراک گذاشته شده بود. و بعد بسیار جالب شد زیرا وقتی آخرین پی‌لود را کدگشایی نموده و باری دیگر از Kaspersky Attribution Engine استفاده کردیم، متوجه شباهت‌هایش با کمپین DarkSeoul (که به سال 2013 برمی‌گردد) منسوب به گروه لازاروس شدیم. به نظر می‌رسد که آن‌ها مجدداً بخشی از کد قدیمی خود را برای حمله به بخش مالی و مراکز تحقیقاتیِ هند استفاده کردند. بر طبق تله‌متری ما، آخرین فعالیت DTrack اوایل سپتامبر 2019 شناسایی شد.
جزئیات فنی
این دراپر، پی‌لودِ رمزگذاری‌شده‌ی خود را در قالب اُورلیِ فایل PE (بعنوان اطلاعات بیشتر) که هرگز در مراحل عادیِ اجرا استفاده نخواهند شد جاگذاری می‌کند. روتینِ رمزگشایی‌اش –که بخشی از پچ فیزیکیِ قابل‌اجراست- جایی بین دو قابلیت start() و WinMain() آغاز می‌گردد. جالب اینجاست که نویسندگان این بدافزار، کد مخرب خود را در یک باینری جاگذاری کردند که یک قابل‌اجرای بی‌ضرر بود. در برخی موارد، پروژه‌ی پیش‌فرض Visual Studio MFC بود اما می‌توانست هر برنامه‌ی دیگر نیز باشد.
اطلاعات اُورلیِ رمزگشایی‌شده شامل موارد زیر است:
قابل‌اجرای افزوده
شِل‌کُدِ پروسه‌ی خالی‌سازی
فهرستی از اسامی قابل‌اجرای از پیش‌تعریف‌شده که بدافزار از آن به عنوان اسمِ آتیِ فرآیند استفاده می‌کند.
این نام از فهرستی از پیش‌تعریف‌شده می‌آید که در اُورلیِ رمزگشایی‌شده پیدا شده بود. همانطور که در فهرست فایل رمزگشایی زیر مشاهده می‌کنید، تمام اسامی از فولدر %SYSTEM32% می‌آیند.
fontview.exe
dwwin.exe
wextract.exe
runonce.exe
grpconv.exe
msiexec.exe
rasautou.exe
rasphone.exe
extrac32.exe
mobsync.exe
verclsid.exe
ctfmon.exe
charmap.exe
write.exe
sethc.exe
control.exe
presentationhost.exe
napstat.exe
systray.exe
mstsc.exe
cleanmgr.exe
داخل دراپر چیست؟
بعد از اجرا، هدفِ پروسه‌ی خالی‌سازی به حالت تعلیق درمی‌آید تا مموری‌اش با پی‌لود قابل‌اجرای رمزگشایی‌شده از سوی اورلیِ دراپر جانویسی شود. سپس، روند هدف از سر گرفته می‌شود.
دراپرها حاوی انواع مختلفی از قابل‌اجراها هستند که هدف همه‌شان جاسوسی کردنِ قربانیست. در زیر، فهرست تکمیل‌نشده‌ی کارکردهای انواع گوناگون قابل‌اجراهای پی‌لود Dtrack کشف‌شده را مشاهده می‌کنید:
کی‌لاگینگ
بازیابی تاریخچه مرورگر
جمع‌‌آوری آدرس‌های  IP میزبان، اطلاعاتی در خصوص شبکه‌های موجود و کانکشن‌های فعال
فهرست‌بندیِ همه‌ی فرآیندهای در حال اجرا
فهرست‌بندیِ همه‌ی فایل‌های روی تمامی حجم‌های موجود دیسک
درست در همین نقطه، فلسفه‌ی طراحی فریم‌ورک کمی گنگ می‌شود. برخی از قابل‌اجراها، داده‌های جمع‌آوری‌شده را در آرشیو حفاظت‌شده با رمزعبور بسته‌بندی می‌کنند و این درحالیست که بقیه‌شان اطلاعات را مستقماً برای سرور C&C ارسال می‌کنند.
جدا از قابل‌اجراهایی که در فوق بدان‌ها اشاره شده، دراپرها همچنین حاوی تروجان‌های دسترسی ریموت (RAT) بودند. قابل‌اجرای  RAT به مجرمان اجازه می‌دهد تا عملیات‌های مختلف را روی میزبان اجرا کند؛ می‌توان از بین آن‌ها به آپلود/دانلود، اجرای فایل‌ها اشاره نمود. برای دریافت فهرست کامل عملیات‌ها، به جدول زیر مراجعه نمایید.
شناسه فرمان شرح
1003 آپلود فایل در کامپیوتر قربانی
1005 ثابت کردن فایل هدف با اجرای خودکار روی میزبانی قربانی
1006 دانلود فایل از کامپیوتر قربانی
1007 خالی کردنکل حجم اطلاعات دیسک و آپلود آن در میزبانی که مجرمان کنترلش می‌کنند
1008 خالی کردن حجم دیسک انتخاب‌شده و آپلودش در میزبانی که مجرمان کنترلش می‌کنند
1011 خالی کردن فولدر انتخاب‌شده و آپلودش در میزبانی که مجرمان کنترلش می‌کنند
1018 تنظیم عدد جدیدی برای تعیین فاصله زمانی بین چک‌ کردن فرمان‌های جدید
1023 خروج و از بین بردن دوام و خودِ باینتری
پیش‌فرض اجرای فرآیند روی میزبانی قربانی
 
شباهت‌های بین دو بدافزار Dtrack و ATMDTrack
ATMDTrack زیرمجموعه‌ی خانواده‌ی DTrack است. این دو بدافزار علیرغم شباهت‌هایشان به صورت طبیعی ظاهری متفاوت از هم دارند. برای مثال، برخلاف نمونه‌های ATMDTrack که اصلاً رمزگذاری نمی‌شوند، پی‌لودِ Dtrack در دراپر رمزگذاری می‌شود. اما بعد از رمزگشایی پی‌لود Dtrack، روشن می‌شود که توسعه‌دهندگان همان گروه افرادند: هر دو همان سبک را دارند و هر دو از همان کارکردهای اجرایی استفاده می‌کنند. واضح‌ترین کارکرد مشترک‌شان، دستکاری رشته‌هاست. کارش چک کردن این است که آیا در آغاز رشته‌ی پارامتر، زیررشته‌ی CCS_ وجود دارد یا خیر. سپس اگر وجود داشته باشد آن را قطع می‌کند و رشته‌ی اصلاح‌شده‌اش را برمی‌گرداند. در غیر این صورت از اولین بایت به عنوان XOR استفاده کرده و رشته‌ی رمزگشایی‌شده را بازمی‌گرداند.
 
 
نتیجه‌گیری
وقتی برای اولین بار ATMDtrack را کشف کردیم، فکر کردیم بار دیگر با خانواده‌ای از بدافزارهای ATM طرف هستیم چون شاهد ظهور خانواده‌های جدیدی از بدافزار ATM هستیم (طبق روالی خاص). با این حال، این مورد باری دیگر ثابت کرد که نوشتن قوانین درستِ YARA تا چه میزان اهمیت دارد؛ زیرا بدین‌ترتیب می‌توانید به ارتباطات بین خانواده‌های بدافزار در گذشته پی ببرید. یکی از نمونه‌های فراموش‌نشدنی، پرونده‌ی WannaCry بود. اکنون می‌توانیم به انبار مهمات گروه لازاروس، ATMDtrack و Dtrack را نیز اضافه کنیم.
تعداد زیاد نمونه‌های Dtrack که پیدا کردیم نشان می‌دهد گروه لازاروس یکی از فعال‌ترین گروه‌های APT از حیث ساخت بدافزار است. این گروه همچنان دارد با سرعتی بالا اقدام به ساخت بدافزار می‌کند و دامنه‌ی عملیات‌های خود را نیز توسعه می‌دهد. ما ابتدا نمونه‌های اولیه‌ی این خانواده‌ی بدافزارها را سال 2013 دیدیم (وقتی به سئول رسید). اکنون شش سال از آن زمان می‌گذرد و هنوز شاهد آن در هند هستیم که دارد همچنان مؤسسات مالی و مراکز تحقیقاتی را مورد حمله قرار می‌دهد. می‌بینیم که این گروه از ابزارهای مشابهی برای اجرای هر دو حملات جاسوسی و حملاتی با انگیزه‌ی مالی استفاده می‌کند. مجرمان برای موفقیت در بخش جاسوسی باید قادر باشند دست‌کم روی شبکه‌ی داخلی نظارت داشته باشد و این بدان معناست که سازمان‌های مورد هدف احتمالاً مشکلا امنیتی بی‌شماری داشته‌اند از جمله:
سیاست‌های ضعیف امنیت شبکه‌ای
سیاست‌های ضعیف رمزعبور
نبود نظارت روی ترافیک
از این رو، توصیه‌ی ما به شرکت‌ها این است که:
سیاست‌های شبکه‌ای و رمزعبور خود را سفت و سخت‌تر بگیرند
از نرم‌افزار نظارت ترافیک مثل Kaspersky Anti Targeted Attack Platform (KATA) استفاده کنند
از راه‌حل‌های آنتی‌ویروس استفاده کنند
IoCs
8f360227e7ee415ff509c2e443370e56
3a3bad366916aa3198fd1f76f3c29f24
F84de0a584ae7e02fb0ffe679f96db8d

​​