بدافزار ViperSoftX
به تازگی، آزمایشگاه های FortiGuard، خبر از شناسایی و مسدود سازی یک بدافزار جدید و مخرب بر مبنای جاوا اسکریپت را در محیط فناوری عملیاتی (OT) بزرگ توسط راهکار FortiEDR منتشر کرده است. این بدافزار که ViperSoftX نام گذاری شده است، سیستمهای ویندوزی را مورد حمله قرار میدهد. ViperSoftX از ۸ لایه مبهم سازی استفاده کرده و همین ویژگی تا حدودی آن را منحصر به فرد نموده است. دلیل نام گذاری این تروجان دسترسی از راه دور (RAT) و سارق ارز دیجیتال (Cryptocurrency Stealer) به نام ViperSoftX نیز استفاده از رشتههای Hard-coded در توسعه آن میباشد. ViperSoftx در اواخر ۲۰۱۹ بسیار فعال بوده و این فعالیت تا به الان نیز ادامه داشته است. از این رو آرمان داده پویان در بخش بدافزارهای داشبورد امنیتی خود به تحلیل و صحبت از روشهایی که این بدافزار استفاده کرده و همچنین ارائه راهکار برای شناسایی و مسدودسازی آن پرداخته است.
مبهم سازی
همانطور که در بخش قبل گفتیم، مبهم سازی ۸ لایه یکی از ویژگیهای بارز ViperSoftX میباشد. در این ۸ لایه نیز از سه روش مبهم سازی استفاده شده است:
- رمزگشایی AES
- تبدیل آرایههای Char
- UTF8 Decoding
یکی دیگر از روشهایی که این بدافزار برای شناسایی نشدن توسط راهکارهای امنیتی استفاده میکند، استفاده از کاراکتر non-ascii در انتهای اسکریپت میباشد که منجر به رمزگذاری encoding exceptions در اکثر debuggerها و روشهای مبهم زدایی موجود میباشد.
پایداری
در ارتباط با پایداری این بدافزار نیز باید بگوییم ViperSoftX با قرار دادن یک کپی از خود در %APPDATA% کارش را آغاز مینماید. توسعه دهندگان این بدافزار با استفاده از نامهای مجازی مانند vpn_port.dll، reg.converter.sys، install.sig و install.db این بدافزار را مخفی مینمایند.
عملکرد RAT
در ارتباط با پایداری این بدافزار نیز باید بگوییم ViperSoftX با قرار دادن یک کپی از خود در %APPDATA% کارش را آغاز مینماید. توسعه دهندگان این بدافزار با استفاده از نامهای مجازی مانند vpn_port.dll، reg.converter.sys، install.sig و install.db این بدافزار را مخفی مینمایند.
بدافزار ViperSoftX، در مرحله بعدی به سراغ برقراری ارتباط با سرور C&C رفته و درخواست خود را به صورت متن رمزنشده به hxxp://seko[.]vipers[.]pw:8880/connect ارسال مینماید. البته همین موضوع ارسال درخواست به صورت متن رمز نشد به سرور C&C تشخیص این بدافزار را توسط سیستمهای پایش موجود ممکن میسازد.
این بدافزار از سرآیندهای HTTP برای ارسال اطلاعات ماشین به سرورهای C&C استفاده مینماید. سرآیندهای HTTP که در این راستا استفاده میشوند X-Header و User-Agent هستند. سرآیند X-Header بر روی حالت hardcoded و سرآیند User-Agent بر روی یک سری از اطلاعات ماشینی تنظیم میشوند.
سرقت ارز دیجیتال
یکی از اهداف ViperSoftX سرقت ارز دیجیتال است. بنابراین ، بعد از هر اجرای دستور ViperSoftX محتوای کلیپ برد را با استفاده از کد زیر بررسی می کند:
تغییر دادن Clipboard بستگی به نسخه سیستم عامل دارد. بر روی ویندوز ۱۰ از PowerShell’s scp و بر روی مابقی سیتم عاملها از این دستور استفاده میگردد:
بعد از بررسی آدرسهای hardcode شده در اتریوم و بیت کوین در بدافزار میتوانیم به نتایج زیر دست یابیم:
تنها یک آدرس BCH وجود دارد که یک تراکنش در تاریخ ۲۰۲۰-۰۱-۱۷ داشته و در مجموع حاوی ۱٫۰۰۹۶۲۱۷۸ BCH است که ارزشی معادل ۳۷۹٫۵۱ دلار امریکا دارد.
همچنین یک آدرس BTC با ۱۲۵ تراکنش وجود دارد که موجودی آن معادل ۳۱٫۰۸۵٫۲۹ دلار امریکا میباشد.
همچنین آدرس اتریومی که موجودی آن ۷٫۴۳۶۷۵۳۳۴۰۹۶۴۶۹۵۸۰۸ معادل ۱٫۳۹۴٫۱۸ دلار امریکا میباشد نیز وجود دارد.
مجموع تمام کیف پولهای بالا ۳۲,۸۵۸٫۹۸ دلار امریکا است. این میزان پول چندان رقم قابل توجهی برای یک چنین بدافزاری به حساب نمیآید اما باید در نظر داشت این تنها یک کمپین است و انتظار کمپینهای بیشتر در آینده وجود دارد. علاوه بر این بدازفزار ViperSoftX قابلیتهای تروجان از راه دور را نیز دارد، پس سرقت اطلاعات و سپس فروش آنها توسط این بدافزار را میتوان انتظار داشت.
ارتباط با سرور C&C
این بدافزار از سرآیندهای HTTP برای ارسال اطلاعات ماشین به سرورهای C&C استفاده مینماید. سرآیندهای HTTP که در این راستا استفاده میشوند X-Header و User-Agent هستند. سرآیند X-Header بر روی حالت hardcoded و سرآیند User-Agent بر روی یک سری از اطلاعات ماشینی تنظیم میشوند.
نتیجه گیری و راهکارها
بنا بر گزارش آزمایشگاه فورتی گارد با روند گسترش بدافزارهای مبتنی بر جاوا اسکریپت روبه رو هستیم و بدافزار ViperSoftX یکی از آنها به حساب میآید. در حالی که این بدافزار عملکرد سادهای دارد، اما قابلیت بارگذاری و اجرای آن باعث میشود به تهدیدی تبدیل شود که بایستی جدی گرفته شود. مهاجمین با توسعه عملکردهای این بدافزار میتوانند از آن به عنوان یک پلتفرم استفاده نمایند و یا حتی برای اجرای باج افزارها از آن استفاده بهره ببرند. همچنین ممکن است این تنها نسخه اول بدافزار ViperSoftX باشد و به گفته محققان آزمایشگاه فورتی گارد این بدافزار همچنان فعال است
اگر از راهکارهای مبتنی بر هوش مصنوعی مانند KasperskyEDR و FortiEDR در شبکه خود استفاده نمایید در برابر تهدیدات نسل بعدی و حملات هدفمند نیز آماده خواهید بود. این راهکارها محافظت همه جانبهای را در برابر طیف وسیعی از تهدیدات برای شما ایجاد مینمایند. همانطور که در بخش قبل گفتیم بدافزار ViperSoftX عملکرد پیچیدهای ندارد اما به دلیل قابلیتهایش تهدید مهمی به حساب میآید. بنابر گزارش آزمایشگاه فورتی گارد راهکار FortEDR بدون هیچ دانش و پیکربندی قبلی قادر است این بدافزار را شناسایی نماید. همچنین FortGuard IPS این بدافزار را به عنوان JS/ViperSoft.A!tr شناسایی میکند. مسدود سازی وب FortiGuard نیز آن را در دسته وبسایتهای مخرب دسته بندی مینماید. همچنین به دلیل ارتباط رمز نشده و استفاده از سرآیندهای غیر استاندارد در زمان برقراری ارتباط با سرور C&C ترافیک مربوط به بدافزار ViperSoftX توسط راهکارهای پایش معمول قابل شناسایی میباشد.
آرمان داده پویان ارائه دهنده راهکارهای مبتنی بر فورتی نت در ایران
برای مشاوره و کسب اطلاعات با ما تماس بگیرید