info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

استفاده‌ی بدافزار SYSCON از سرور FTP به‌عنوان سرور کنترل و فرمان

خلاصه: درب پشتی SYSCON از طریق اسناد آسیب‌دیده که به کره‌ی شمالی منسوب هستند، منتشر شده و افرادی که به صلیب سرخ و سازمان بهداشت جهانی متصل هستند را هدف قرار می‌دهد. این بدافزار از اسم کامپیوتر به‌عنوان یک شناسه استفاده می‌کند سپس با استفاده از گواهی ذخیره‌شده در فایل پیکربندی به سرور FTP وارد می‌شود. استفاده از یک سرور FTP به‌عنوان یک سرور کنترل و فرمان برای یک بات‌نت بسیار غیرمعمول است، چرا‌که نظارت بر ترافیک مربوطه کار سختی نیست. البته این استفاده مزایایی نیز دارد، چراکه این روش غیررایج بوده و بنابراین ممکن است که مدیران و محققان به آن توجه نکرده و آن را نادیده بگیرند.

 

درب پشتی SYSCON از طریق اسناد آسیب‌دیده که به کره‌ی شمالی منسوب هستند، منتشر شده و افرادی که به صلیب سرخ و سازمان بهداشت جهانی متصل هستند را هدف قرار می‌دهد.

استفاده از یک سرور FTP به‌عنوان یک سرور کنترل و فرمان برای یک بات‌نت بسیار غیرمعمول است، چرا‌که نظارت بر ترافیک مربوطه کار سختی نیست.

البته این استفاده مزایایی نیز دارد، چراکه این روش غیرمعمول است و بنابراین ممکن است که مدیران و محققان به آن توجه نکرده و آن را نادیده بگیرند، با این‌حال همچنان ترافیک سرور کنترل و فرمان باز بوده و قابل نظارت توسط دیگران می‌باشد. به‌علاوه به‌لطف یک اشتباه برنامه‌نویسی مهاجمان، این درب پشتی خاص، همیشه، دستورات درست را اجرا نمی‌کند.

کارشناسان متوجه شدند که اسناد استفاده شده برای انتشار این درب پشتی حاوی دو رشته‌ی بزرگ رمزنگاری‌شده با base64 هستند که از یک الفبای شخصی‌شده استفاده می‌کنند. این تکنیک در انتشار بدافزار Sanny در سال ۲۰۱۲ نیز استفاده شده است.

رشته‌های base64 فایل‌های cabinet هستند که حاوی نسخه‌های ۶۴ بیتی و ۳۲ بیتی از کد مخرب می‌باشند. هنگامی که قربانیان فایل را باز می‌کنند، فایل cabinet مناسب براساس نسخه‌ی سیستم‌عامل به فولدر %Temp% استخراج می‌شود. این فایل نسخه‌ی سیستم‌عامل را تعیین کرده و یک فایل BAT را اجرا می‌کند یا یک DLL را به پروسه‌ی taskhost به‌منظور اجرای BAT بدون راه‌اندازی یک UAC، تزریق می‌کند.

بدافزار SYSCON از اسم کامپیوتر به‌عنوان یک شناسه استفاده می‌کند سپس با استفاده از گواهی ذخیره‌شده در فایل پیکربندی به سرور FTP وارد می‌شود.

در سمت سرور دستورات در یک فایل متنی ذخیره می‌شوند، هر بار که یک بات یک دستور را پردازش می‌کند، کد مخرب همه‌ی پروسه‌های در حال اجرا را لیست می‌کند و داده‌های رمزنگاری‌شده و کدشده را به سرور ارسال می‌کند.

محققان یک خطای تایپی را در حلقه‌ی اجرای دستور پیداکردند، در حالی که بدافزار با دستورات به عنوان رشته‌های در فرمت کاراکتر برخورد می‌کند، یک پارامتر در یکی از توابع یک نام‌فایل اشتباه دارد بنابراین از اجرای پروسه جلوگیری می‌کند.

مدیران IT باید برهر اتصال به سرور‌های FTP خارجی نظارت داشته باشند، چرا‌که آن‌ها نه‌تنها برای استخراج داده بلکه برای فعالیت‌های کنترل و فرمان نیز می‌توانند مورد استفاده قرار گیرند.