شرکت اطلاعاتی تهدیدات و پاسخ به تهاجنات سایبری Volexity گزارش می‌دهد که طی سال گذشته، مشاهده شده است که کیمسوکی (Kimsuky)، عامل تهدید مداوم پیشرفته کره شمالی (APT)، از یک بد افزار و افزونه مرورگر برای سرقت محتوا از حساب‌های‌ ایمیل قربانیان استفاده می‌کند.

کیمسوکی که حداقل از سال ۲۰۱۲ فعال بوده و با نام‌های Black Banshee، Thallium، SharpTonge، و Velvet Chollima نیز ردیابی می‌شود، به‌خاطر هدف قرار دادن نهاد‌ها در کره جنوبی، و همچنین برخی از آن‌ها در اروپا و ایالات متحده نیز شناخته شده است.

بیش از یک سال است که Volexity مهاجم را با استفاده از یک افزونه مرورگر مخرب برای Google Chrome، Microsoft Edge و Naver Whale (یک مرورگر مبتنی بر کروم که در کره جنوبی استفاده می‌شود) دنبال می‌کند که داده‌ها را مستقیماً از حساب‌ ایمیل قربانیان سرقت کند.

مجموعه Volexity می‌گوید این برنامه افزودنی که Sharpext نام دارد از سرقت داده‌ها از Gmail و AOL وب‌میل پشتیبانی می‌کند، به طور فعال توسعه یافته است و در حملات هدفمند به افراد مختلف، از جمله حملاتی در بخش سیاست خارجی و هسته‌ای، استفاده شده است.

طبق گفته‌های Volexity، «مهاجم با استقرار بد افزار توانست هزاران‌ ایمیل از چندین قربانی را با موفقیت به سرقت ببرد. »

برنامه افزودنی به صورت دستی در سیستم‌هایی که قبلاً در معرض خطر قرار گرفته‌اند مستقر می‌شود و مهاجم باید فایل‌های پرفرنس قانونی مرورگر را با فایل‌های تغییریافته جایگزین کند.

«استقرار Sharpext بسیار سفارشی شده است، زیرا مهاجم ابتدا باید به فایل تنظیمات امنیتی مرورگر اصلی قربانی دسترسی پیدا کند. سپس این فایل تغییر می‌یابد و برای استقرار پسوند مخرب استفاده می‌شود. Volexity مشاهده کرده است که SharpTongue شارپکس را در برابر اهداف به مدت بیش از یک سال مستقر می‌کند. و در هر مورد، یک پوشه اختصاصی برای کاربر آلوده ایجاد می‌شود که حاوی فایل‌های مورد نیاز برای افزونه است.»

یک اسکریپت PowerShell برای از بین بردن فرآیند مرورگر استفاده می‌شود تا امکان استخراج فایل‌های مورد نیاز فراهم شود. پس از استقرار برنامه افزونه، PowerShell دیگری DevTools را قادر می‌سازد تا محتویات تب را که کاربر به آن دسترسی دارد بررسی کند و داده‌های مورد علاقه را استخراج کند.

در ادامه Volexity خاطرنشان می‌کند، از آنجایی که برنامه افزودنی شامل کد‌های بدیهی مخرب نمی‌شود، احتمالاً از شناسایی توسط راه حل‌های ضدبدافزار جلوگیری می‌کند. این برنامه افزونه همچنین به مهاجمان اجازه می‌دهد تا به صورت پویا کد خود را بدون نیاز به نصب مجدد آن بر روی دستگاه آلوده به روز کنند.

بد افزار Sharpext لیستی از آدرس‌های‌ ایمیل را برای ایگنور کردن، ایمیل‌ها و پیوست‌های دزدیده شده قبلی، و تب‌های نظارت شده برای جلوگیری از استخراج چندین بار داده‌های یکسان نگهداری می‌کند. همچنین دامنه‌هایی را که قربانی بازدید می‌کند نظارت می‌کند.

«با سرقت داده‌های‌ ایمیل در چارچوب session که کاربر از قبل وارد شده است، حمله از ارائه‌دهنده‌ ایمیل پنهان می‌شود و تشخیص را بسیار چالش برانگیز می‌کند. به طور مشابه، روشی که در آن افزونه کار می‌کند به این معنی است که اگر کاربر آن را بررسی کند، فعالیت مشکوک در صفحه وضعیت «فعالیت حساب»‌ ایمیل کاربر ثبت نمی‌شود. »

یک عامل تهدید مرتبط با عملیات باج‌ افزار LockBit 3.0 از ابزار کامند لاین Windows Defender برای بارگذاری بیکون‌های Cobalt Strike در سیستم‌های آسیب‌دیده و فرار از شناسایی توسط نرم‌افزار امنیتی سواستفاده می‌کند.

بدافزار Cobalt Strike یک مجموعه تست نفوذ قانونی با ویژگی‌های گسترده است که در بین عوامل تهدید برای انجام شناسایی پنهان شبکه و حرکت جانبی قبل از سرقت داده‌ها و رمزگذاری آن‌ها، محبوب است.

با این حال، راه‌حل‌های امنیتی در تشخیص بیکون‌های Cobalt Strike بهتر شده‌اند و عاملان تهدید را وادار می‌کنند که به دنبال راه‌های نوآورانه برای استقرار toolkit خود باشند.

در یک مورد اخیر پاسخ حادثه برای یک حمله باج‌ افزار LockBit، محققان در Sentinel Labs متوجه سواستفاده از ابزار کامند لاین Microsoft Defender «MpCmdRun.exe» برای بارگذاری جانبی DLL‌های مخربی شدند که بیکون‌های Cobalt Strike را رمزگشایی و نصب می‌کنند.

به خطر انداختن اولیه شبکه در هر دو مورد با بهره‌برداری از یک نقص Log4j در سرور‌های آسیب‌پذیر VMWare Horizon برای اجرای کد PowerShell انجام شد.

بارگذاری جانبی بیکون‌های Cobalt Strike در سیستم‌های در معرض خطر برای LockBit چیز جدیدی نیست، زیرا گزارش‌هایی در مورد زنجیره‌های آلودگی مشابه با تکیه بر سواستفاده از ابزار‌های کامند لاین VMware وجود دارد.

سواستفاده از Microsoft Defender
پس از ایجاد دسترسی به یک سیستم هدف و به دست آوردن اختیارات کاربر مورد نیاز، عوامل تهدید از PowerShell برای بارگیری سه فایل استفاده می‌کنند:  یک کپی تمیز از یک ابزار Windows CL، یک فایل DLL و یک فایل LOG.

مشخصاً MpCmdRun. exe یک ابزار کامند لاین برای انجام وظایف Microsoft Defender است و از دستوراتی برای اسکن بدافزار، جمع‌آوری اطلاعات، بازیابی موارد مورد نیاز، انجام ردیابی تشخیصی و غیره پشتیبانی می‌کند.

وقتی که اجرا شد،  MpCmdRun.exe یک DLL قانونی به نام «mpclient.dll» را بارگیری می‌کند که برای عملکرد صحیح برنامه لازم است.

در موردی که توسط SentinelLabs تجزیه و تحلیل شده است، عوامل تهدید نسخه تسلیح شده خود از mpclient.dll را ایجاد کرده‌اند و آن را در مکانی قرار داده‌اند که بارگذاری نسخه مخرب فایل DLL را در اولویت قرار می‌دهد.

کد اجرا شده یک payload رمزگذاری شده Cobalt Strike را از فایل «c0000015.log» بارگیری و رمزگشایی می‌کند، که همراه با دو فایل دیگر از مرحله اولیه حمله حذف شده است.

در حالی که مشخص نیست چرا شرکت وابسته LockBit از VMware به ابزار‌های کامند لاین Windows Defender برای بارگذاری جانبی بیکون‌های Cobalt Strike تغییر رویکرد داده است، ممکن است به دلیل دور زدن حفاظت‌های هدفمند اجرا شده در پاسخ به روش قبلی باشد.

استفاده از ابزار‌های “living off the land” برای فرار از تشخیص EDR و AV این روز‌ها بسیار رایج است. از این رو سازمان‌ها باید کنترل‌های امنیتی خود را بررسی کنند و با ردیابی استفاده از فایل‌های اجرایی قانونی که می‌توانند توسط مهاجمان استفاده شوند، از خود هوشیاری کافی و وافی را نشان دهند.

امروزه یکی از تکنیک‌های که توسط مهاجمین بسیار مورد استفاده قرار میگیرد تکنیک Fileless Malware میباشد. دراصل Fileless Malware به بدافزارهای گفته میشود که برای اجرا سازی از کد و یا باینری خاصی بر روی Disk استفاده نمیکنند و محتوا خاصی را بر روی Disk اجرا سازی نمیکند که این محتوا دراصل کدهای مربوط بد بدافزار فرد مهاجم میباشد. Fileless Malware به شکل های متعددی میتواند صورت بگیرد و ما در این مقاله قصد داریم به تاریخچه و محبوبیت این تکنیک در بین هکرها بپردازیم.

تکنیک Fileless جزوه تکنیک های قدیمی میباشد اما دلیل محبوبیت امروز آن در بین هکرها این است که توسط سیستم های امنیتی سنتی شناسایی نمیشود و یا به شکل سخت میشود آن را شناسایی کرد. این تکنیک در سال 2014 توسط بدافزار Powelike مورد استفاده قرار گرفت که سروصدا زیادی هم ایجاد کرد زیرا تماما تکنیک این بدافزار Fileless بوده است و هیچ اثری از خود بر روی Disk قرار نمیداده و صرفا با اجرا شدن در حافظه و نوشتن مقادیر در Registry فرآيند خود را جلو میبرده است.

نمونه های دیگری نیز از این تکنیک وجود دارد اما همانطور که میدانید دلیل محبوبیت این تکنیک دز میان هکرها نرخ شناسایی و تشخیص پایین آن در تجهیزات امنیتی میباشد.

بدافزارهای Fileless چگونه عمل میکنند؟

همانطور که در ابتدا مقاله اشاره کردیم درصورت آلوده شدن یک سیستم به بدافزار، بدافزار مورد نظر کد و یا باینری مخرب خود را بر روی Disk اجرا سازی میکند که این موضوع به این دلیل که یک کد و یا باینری مشکوک و ناشناخته بر روی سیستم اجرا سازی شده است میتواند سروصدا زیادی ایجاد کند. تکنیک Fileless به روش های متعددی این فرآيند را از Disk دور میکند. برای مثال فرد مهاجم به جای اینکه مستقیما از یک کد مشخص برای انجام فرآيند خاصی بر روی سیستم هدف استفاده کند، از نرم افزارهای قانونی درحال اجرا بر روی سيستم استفاده میکند از جمله نرم افزارهای هم که می‌توانیم برای این موضوع به آن اشاره کنیم PowerShell میباشد.

تکنیک های پیاده سازی Fileless Malware کدامند؟

توجه کنید که Fileless Malware ها درابتدا نیاز به دسترسی مستقیم بر روی سیستم دارند که بعد از آن به واسطه ابزارها و بسترهای از پیش نصب شده بر روی سیستم هدف آن را مورد حمله قرار بدهند. تکنیک های Fileless Malware چندین حالت مختلف را شامل میشوند که عبارتند از:

• Exploit Kits
• Hijacked Native Tools
• Registry Resident Malware
• Memory-Only Malware
• Fileless Ransomware
• Stolen Credentials

معرفی برخی تکنیک های پیاده سازی Fileless Malware

• تکنیک اول – Exploit Kits

دراصل Exploit Kits مجموعه از Exploit های مختلف جهت شناسایی آسیب پذیری های موجود بر روی یک سیستم به واسطه Exploit های موجود در آن Exploit Kits میباشد. بعد از پیدا شدن آسیب پذیری به واسطه آن ممکن است که حمله Fileless Malware انجام پذیر باشد.

• تکنیک دوم – Registry Resident Malware

این تکنیک دراصل به این شکل صورت میگیرد که یک تیکه کد مخرب در Registry سیستم ویندوز نوشته میشود. به نحوه کار یک Dropper توجه کنید، یک Dropper دراصل زمانی که بر روی سیستم هدف نصب میشود شروع به دانلود و قراردادن یک کد یا نرم افزار مخرب بروی سیستم میکند. زمانی که Dropper اینکار را انجام میدهد شناسایی آن به واسطه تجهیزات امنیتی ساده تر میشود اما بیاید نگاهمان را از حالت عادی Dropper خارج کنیم و به این شکل به آن نگاه کنیم که Dropper به جای دانلود و قرار دادن کد و یا نرم افزار مخرب بر روی سیستم به صورت مستقیم یک کد از طرف Dropper در Registry سیستم قرار بگیرد ! اکثر اوقات این فرآيند به جهت پیاده سازی تکنیک های Persistence مورد استفاده قرار میدهند.

• تکنیک سوم – Memory-Only Malware

توجه کنید که تکنیک Memory-only دراصل همانطور که از نام آن هم پیداست در سطح Memory اجرا سازی میشود. نمونه از این تکنیک را میتوانیم به بدافزار Duqu اشاره کنیم که در دو نسخه ارائه میشود. نسخه اول Duqu به جهت پیاده سازی یک Backdoor و نسخه دوم به جهت پیاده سازی تکنیک های پیشرفته از جمله Exfiltration و Lateral Movies مورد استفاده قرار میگیرد.

• تکنیک چهارم – Stolen Credentials

توجه کنید که این تکنیک به واسطه سرقت داده های حساس یک حساب کاربری صورت میگیرد و فرد مهاجم به واسطه ابزارهای مانند WMI و PowerShell که پیش فرض در سیستم وجود دارند و جزوه ابزارهای پر استفاده جهت پیاده سازی Fileless Malware میباشند استفاده میکنند.