Rombertik تروجان مخرب پنهان

در اوایل سال ۲۰۱۵ گزارشی از طرف سیسکو مبنی بر پیدایش نرم افزار مخرب Rombertik اعلام شده است. این بدافزار جاسوسی تلاش میکند سابقه رکوردهای خرابکارانه مستربوت رکورد -MBR- خود را از بین ببرد تا محققان امکان تجزیه و تحلیل و بررسی نحوه عملکرد آنرا نداشته باشند.

– مستربوت رکورد (MBR) اولین قسمت از هارد سخت افزاری است که کامپیوترها قبل از اجرای سیستم عامل آنرا فراخوانی میکنند به همین دلیل این رکوردها از حساسیت بسیار زیادی برخوردار هستند.

Rombertik یک نسخه جدید شناخته شده تروجان است که اجازه میدهد نفوذگران به سیستم ها و برنامه های آنلاین دسترسی پیدا کرده و اطلاعات را به سرقت ببرند. این بدافزار برای اینکه از دید محققان محفوظ بماند، از چند مکانیسم پیچیده ضد تجزیه و تحلیل طراحی شده است.

و اما عملکرد بدافزار…

Rombertik - عملکرد بدافزار

Rombertik برنامه پیچیده ای است که برای به تله انداختن مرورگر کاربر طراحی شده است تا گواهی نامه ها/اعتبارنامه ها و دیگر اطلاعات قربانی را بخواند. این بدافزار جاسوسی پس از دانلود روی سیستم قربانی اقدام به بررسی های مختلفی برای اینکه مطمئن شود تحت آنالیز و تحلیل هیچ برنامه ای قرار نمیگیرد، میکند.

تا زمانی که برنامه های تحلیلی متوجه حضور Rombertik نباشند، قسمت سرقت اطلاعات بدافزار فعال خواهد بود و کدهای مخرب جهت سرقت اطلاعات کاربران اجرا میشوند و هنگامی که برنامه های آنالیزی متوجه آن شوند قسمت تخریبی بدافزار شروع به فعالیت میکند و پس از حذف خود، مستربوت رکورد قربانی را هدف قرار داده و سعی میکند آن را بازنویسی کند سپس تمامی فایل های شناسایی شده در فولدر home کاربر را قفل گذاری میکند تا دیگر قابل تشخیص نباشند و در نهایت سیستم قربانی را در حلقه ریبوت مکرر قرار میدهد.

این مالور مانند Dyre می باشد با این تفاوت که Dyre هدفش به دست آوردن اطلاعات بانکی بوده است در صورتی که Rombertik هدفش جمع آوری تمامی اطلاعات از وب سایت ها، سیستم های کاربران و برنامه های آنها می باشد.

پيشنهاد وب رمز: بد افزار – وب رمز

راه های انتشار Rombertik

Rombertik - راه های انتشار Rombertik

۱. پیدا کردن راه نفوذ در سایت هایی که از وردپرس و جوملا و دروپال و سایر برنامه های اپن سورس آسیب پذیر و نامعتبر، استفاده میکنند.

۲. از طریق اسپم و فیشینگ و پیام های ارسالی، قربانیان را مورد حمله قرار می دهد و و کاربران را به دانلود و بازکردن فایل های پیوست و … تشویق میکند.

۳. نصب کلید در مرورگر برای جمع آوری اعتبارنامه و گواهینامه SSL

۴. استفاده از اطلاعات جمع آوری شده از سیستم های هک شده.

محققان معتقدند که این حالت یک تله برای کسانی است که سعی میکنند در برنامه ها از طریق بدافزارها و بدون مجوز، تغییر ایجاد کنند. زمانی که هکرهای Rombertik، برنامه ای را از سازندگانش خریداری میکنند در واقع یک کپی از آن را دریافت میکنند که تنها با فرماندهی و کنترل C&C سرور خود ارتباط برقرار میکند. آدرس C&C در کد باینری جاسازی شده است.

برخی از هکرها سعی میکنند در برنامه هایی که رایگان و بدون لایسنس هستند کدهای باینری و آدرس C&C را برای اعمال تغییرات، هک کنند. برای جلوگیری از استفاده غیر مجاز، توسعه دهندگان این اطمینان را می دهند که مکانیسم حفاظت از عملیات مخرب در برنامه تعبیه شده است که در واقع مانند سنگ لای چرخ انداختن برای جلوگیری از نفوذ و هک توسط چنین برنامه هایی می باشد و به طور کامل از نفوذ جلوگیری نمیکند.

با این حال Symantec اعلام کرده است که می توان این مکانیسم حفاظت را نیز دور زد.

در نسخه های معتبر برنامه سایت ها منابع حاوی url از سرور C&C با استفاده از یک کلید RSA رمزگذاری شده اند. در فیلد “زمان کامپایل” در هدر PE، یک hash از کلیدهای RSA ذخیره می شود. این hash با hash کلیدهایی که به طور معمول استفاده می شود مقایسه میگردد و در صورتی که این رشته hash ها با هم هماهنگ باشند به صورت نرمال مالور اجرا می شود. اگر در مالور ایجاد شده تغییرات ایجاد شود و کلید RSA جایگزین شود دیگر هش ها مطابقت نخواهند داشت و مالور اجرا نمی شود.

با توجه به موارد مطرح شده، مشخص است که آسیب هایی که Rombertik ایجاد میکند بسیار مخرب است و کارشناسان هنوز موفق به ارائه راهکاری برای جلوگیری از حملات این بدافزار نشده اند!

Rombertik هیچ اثری از خود به جای نمیگذارد و پس از انجام عملیات خرابکارانه تمامی ردپای خود را از بین میبرد!

تدوین و گردآوری: حبیبه سورانی

 

رتبه: 4.8 از 966 رأی

برچسب ها :

منبع : securityweek.com venturebeat.com

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *