بدافزار ViperSoftX

به تازگی، آزمایشگاه های FortiGuard، خبر از شناسایی و مسدود سازی یک بدافزار جدید و مخرب بر مبنای جاوا اسکریپت را در محیط فناوری عملیاتی (OT) بزرگ توسط راهکار FortiEDR منتشر کرده است. این بدافزار که ViperSoftX نام گذاری شده است، سیستم‌های ویندوزی را مورد حمله قرار می‌دهد. ViperSoftX از ۸ لایه مبهم سازی استفاده کرده و همین ویژگی تا حدودی آن را منحصر به فرد نموده است. دلیل نام گذاری این تروجان دسترسی از راه دور (RAT) و سارق ارز دیجیتال (Cryptocurrency Stealer) به نام ViperSoftX نیز استفاده از رشته‌های Hard-coded در توسعه آن می‌باشد. ViperSoftx در اواخر ۲۰۱۹ بسیار فعال بوده و این فعالیت تا به الان نیز ادامه داشته است. از این رو آرمان داده پویان در بخش بدافزارهای داشبورد امنیتی خود به تحلیل و صحبت از روش‌هایی که این بدافزار استفاده کرده و همچنین ارائه راهکار برای شناسایی و مسدودسازی آن پرداخته است.

مبهم سازی

همانطور که در بخش قبل گفتیم، مبهم سازی ۸ لایه یکی از ویژگی‌های بارز ViperSoftX می‌باشد. در این ۸ لایه نیز از سه روش مبهم سازی استفاده شده است:

رمزگشایی AES
تبدیل آرایه‌های Char
UTF8 Decoding

یکی دیگر از روش‌هایی که این بدافزار برای شناسایی نشدن توسط راهکارهای امنیتی استفاده می‌‌کند، استفاده از کاراکتر non-ascii در انتهای اسکریپت می‌باشد که منجر به رمزگذاری encoding exceptions در اکثر debuggerها و روش‌های مبهم زدایی موجود می‌باشد.

پایداری

در ارتباط با پایداری این بدافزار نیز باید بگوییم ViperSoftX با قرار دادن یک کپی از خود در %APPDATA% کارش را آغاز می‌نماید. توسعه دهندگان این بدافزار با استفاده از نام‌های مجازی مانند vpn_port.dll، reg.converter.sys، install.sig و install.db این بدافزار را مخفی می‌نمایند.

عملکرد RAT

در ارتباط با پایداری این بدافزار نیز باید بگوییم ViperSoftX با قرار دادن یک کپی از خود در %APPDATA% کارش را آغاز می‌نماید. توسعه دهندگان این بدافزار با استفاده از نام‌های مجازی مانند vpn_port.dll، reg.converter.sys، install.sig و install.db این بدافزار را مخفی می‌نمایند.

بدافزار ViperSoftX، در مرحله بعدی به سراغ برقراری ارتباط با سرور C&C رفته و درخواست خود را به صورت متن رمزنشده به hxxp://seko[.]vipers[.]pw:8880/connect ارسال می‌نماید. البته همین موضوع ارسال درخواست به صورت متن رمز نشد به سرور C&C تشخیص این بدافزار را توسط سیستم‌های پایش موجود ممکن می‌سازد.

این بدافزار از سرآیندهای HTTP برای ارسال اطلاعات ماشین به سرورهای C&C استفاده می‌نماید. سرآیندهای HTTP که در این راستا استفاده می‌شوند X-Header و User-Agent هستند. سرآیند X-Header بر روی حالت hardcoded و سرآیند User-Agent بر روی یک سری از اطلاعات ماشینی تنظیم می‌شوند.

سرقت ارز دیجیتال

یکی از اهداف ViperSoftX سرقت ارز دیجیتال است. بنابراین ، بعد از هر اجرای دستور ViperSoftX محتوای کلیپ برد را با استفاده از کد زیر بررسی می کند:

تغییر دادن Clipboard بستگی به نسخه سیستم عامل دارد. بر روی ویندوز ۱۰ از PowerShell’s scp و بر روی مابقی سیتم عامل‌ها از این دستور استفاده می‌گردد:

بعد از بررسی آدرس‌های hardcode شده در اتریوم و بیت کوین در بدافزار می‌توانیم به نتایج زیر دست یابیم:

تنها یک آدرس BCH وجود دارد که یک تراکنش در تاریخ ۲۰۲۰-۰۱-۱۷ داشته و در مجموع حاوی ۱٫۰۰۹۶۲۱۷۸ BCH است که ارزشی معادل ۳۷۹٫۵۱ دلار امریکا دارد.

همچنین یک آدرس BTC با ۱۲۵ تراکنش وجود دارد که موجودی آن معادل ۳۱٫۰۸۵٫۲۹ دلار امریکا می‌باشد.

همچنین آدرس اتریومی که موجودی آن ۷٫۴۳۶۷۵۳۳۴۰۹۶۴۶۹۵۸۰۸ معادل ۱٫۳۹۴٫۱۸ دلار امریکا می‌باشد نیز وجود دارد.

مجموع تمام کیف پول‌های بالا ۳۲,۸۵۸٫۹۸ دلار امریکا است. این میزان پول چندان رقم قابل توجهی برای یک چنین بدافزاری به حساب نمی‌آید اما باید در نظر داشت این تنها یک کمپین است و انتظار کمپین‌های بیشتر در آینده وجود دارد. علاوه بر این بدازفزار ViperSoftX قابلیت‌های تروجان از راه دور را نیز دارد، پس سرقت اطلاعات و سپس فروش آن‌ها توسط این بدافزار را می‌توان انتظار داشت.

ارتباط با سرور C&C

این بدافزار از سرآیندهای HTTP برای ارسال اطلاعات ماشین به سرورهای C&C استفاده می‌نماید. سرآیندهای HTTP که در این راستا استفاده می‌شوند X-Header و User-Agent هستند. سرآیند X-Header بر روی حالت hardcoded و سرآیند User-Agent بر روی یک سری از اطلاعات ماشینی تنظیم می‌شوند.

نتیجه گیری و راهکارها

بنا بر گزارش آزمایشگاه فورتی گارد با روند گسترش بدافزارهای مبتنی بر جاوا اسکریپت روبه رو هستیم و بدافزار ViperSoftX یکی از آن‌ها به حساب می‌آید. در حالی که این بدافزار عملکرد ساده‌ای دارد، اما قابلیت‌ بارگذاری و اجرای آن باعث می‌شود به تهدیدی تبدیل شود که بایستی جدی گرفته شود. مهاجمین با توسعه عملکردهای این بدافزار می‌توانند از آن به عنوان یک پلتفرم استفاده نمایند و یا حتی برای اجرای باج افزارها از آن استفاده بهره ببرند. همچنین ممکن است این تنها نسخه اول بدافزار ViperSoftX باشد و به گفته محققان آزمایشگاه فورتی گارد این بدافزار همچنان فعال است

اگر از راهکارهای مبتنی بر هوش مصنوعی مانند KasperskyEDR و FortiEDR در شبکه خود استفاده نمایید در برابر تهدیدات نسل بعدی و حملات هدفمند نیز آماده خواهید بود. این راهکارها محافظت همه جانبه‌ای را در برابر طیف وسیعی از تهدیدات برای شما ایجاد می‌نمایند. همانطور که در بخش قبل گفتیم بدافزار ViperSoftX عملکرد پیچیده‌ای ندارد اما به دلیل قابلیت‌هایش تهدید مهمی به حساب می‌آید. بنابر گزارش آزمایشگاه فورتی گارد راهکار FortEDR بدون هیچ دانش و پیکربندی قبلی قادر است این بدافزار را شناسایی نماید. همچنین FortGuard IPS این بدافزار را به عنوان JS/ViperSoft.A!tr شناسایی می‌کند. مسدود سازی وب FortiGuard نیز آن را در دسته وب‌سایت‌های مخرب دسته بندی می‌نماید. همچنین به دلیل ارتباط رمز نشده و استفاده از سرآیندهای غیر استاندارد در زمان برقراری ارتباط با سرور C&C ترافیک مربوط به بدافزار ViperSoftX توسط راهکارهای پایش معمول قابل شناسایی می‌باشد.

آرمان داده پویان ارائه دهنده راهکارهای مبتنی بر فورتی نت در ایران

برای مشاوره و کسب اطلاعات با ما تماس بگیرید

بدافزارها