کالبدشکافی نسخه جدید بدافزار BazarLoader

BazarLoader بدافزاری مبتنی بر Windows است که از روش‌های مختلفی از جمله ایمیل منتشر می‌شود. این آلودگی‌ها برای مهاجمان دسترسی به درب پشتی (Backdoor) را فراهم می‌کنند که مهاجمان از آن برای تعیین اینکه آیا سرویس Active Directory – به اختصار AD – بر روی سرور میزبان فعال است یا خیر، استفاده می‌کنند. در صورتی که سرور میزبان سرویس‌دهنده AD باشد، گردانندگان حمله، Cobalt Strike را اجرا کرده و شروع به شناسایی شبکه، ساختار و تحلیل آن می‌کنند.
به گزارش مرکز مدیریت راهبردی افتا، درصورتی‌که نتایج تحلیل شبکه نشان‌دهنده هدفی ارزشمند باشد، مهاجمان اغلب باج‌افزارهایی همچون Conti یا Ryuk را منتشر کرده و به گسترش دامنه آلودگی (Lateral Movement) اقدام می‌کنند.
این مقاله، یکی از آلودگی‌های ایجاد شده توسط BazarLoader را بررسی می٬کند، این که چگونه Cobalt Strike اجرا شده و چگونه Cobalt Strike به شناسایی و توسعه آلودگی در شبکه منجر می‌شود. چنانچه راهبران امنیتی فعالیت مشابهی را در شبکه خود کشف کنند، احتمال آن وجود دارد که مورد حمله باج‌افزاری قرار گرفته باشند. 
روش‌های توزیع BazarLoader
در طول تابستان ۲۰۲۱، کارزارهای مختلفی، بدافزار BazarLoader را با استفاده از ایمیل توزیع کردند. از اواخر ژوئیه تا اواسط آگوست ۲۰۲۱، اکثر نمونه‌های BazarLoader از طریق سه کارزار مختلف منتشر شدند. از جمله، در کارزاری به نام BazarCall که جزییات آن در نشانی زیر قابل مطالعه است، BazarLoader منتشر شد.

https://unit۴۲.paloaltonetworks.com/bazarloader-malware/

در اوایل جولای، کارزاری با نام Copyright violation-themed campaign نیز با به کارگیری فایل‌هایی از نوع ZIP به نام Stolen Images Evidence.zip نسبت به انتشار BazarLoader اقدام کرد. شرکت مایکروسافت (Microsoft Corp) جزییات این کارزار را در نشانی زیر شرح داده است.

https://www.microsoft.com/security/blog/۲۰۲۱/۰۴/۰۹/investigating-a-unique-form-of-email-delivery-for-icedid-malware/

در اواخر جولای، مهاجمان در کارزاری طولانی‌مدت‌تر به نام TA۵۵۱ (Shathak) شروع به ارسال BazarLoader از طریق ایمیل‌های انگلیسی‌زبان کردند. جزئیات این کارزار در نشانی زیر توضیح داده شده است.

https://attack.mitre.org/groups/G۰۱۲۷/

محققان امنیتی پالو آلتو نتورکس (Palo Alto Networks, Inc) در تحقیقات خود، علاوه بر این سه کارزار، حداقل یک نمونه از بدافزار BazarLoader  را شناسایی کردند که از طریق یک فایل Excel با منشاء نامشخص توزیع شده است. جزییات بیشتر در لینک زیر قابل دریافت است.

https://www.malware-traffic-analysis.net/۲۰۲۱/۰۸/۱۹/index۲.html

محققان امنیتی پالو آلتو نتورکس در روز چهارشنبه ۲۷ مرداد ۱۴۰۰ فایل مخربی از نوع Excel را که دارای پسوند xlsb. بود و تاریخ آخرین به‌روز‌رسانی آن ۲۶ مرداد بود کشف کردند. این فایل حاوی ماکروهایی بود که برای آلوده کردن سرورهای میزبان آسیب‌پذیر مبتنی بر Windows به بدافزار BazarLoader طراحی شده بود. شکل زیر تصویری از این فایل بدافزاری از نوع Excel را نشان می‌دهد.

اگرچه لوگوی شرکت DocuSign در بالای فایل نشان‌داده‌شده است، اما این فایل Excel توسط مهاجمانی ایجاد شده که سعی داشتند با سوءاستفاده از نام تجاری و لوگوی این شرکت، اعتماد دریافت‌کننده فایل را جلب کنند.
در صورت فعال‌شدن ماکرو، سربرگ (ُSheet) جدیدی که حاوی فاکتوری جعلی باعنوان (Invoice Information Service) است ایجاد می‌شود. این فاکتور در شکل زیر نشان‌داده‌شده است.

با نمایش سربرگ حاوی فاکتور جعلی، کد ماکروی جاسازی شده در فایل Excel، یک فایل بدافزاری (Malicious Binary) را برای BazarLoader فراخوانی می‌کند.
کد موجود در ماکرو فایل Excel، یک فایل بدافزاری از نوع Dynamic Link Library  – به اختصار DLL – را برای BazarLoader از نشانی زیر دانلود می‌کند.hxxps://pawevi[.]com/lch۵.dllهمان‌طور که در شکل زیر نشان‌داده‌شده، DLL در Home Directory سیستم قربانی در نشانی C:\Users\[username]\tru.dll ذخیره شده و با استفاده از regsvr۳۲.exe اجرا می‌شود.

فایل DLL مربوط به BazarLoader، همانطور که در شکل زیر نشان داده شده، بلافاصله در مکان دیگری کپی شده و از طریق Windows Registry در سیستم ماندگار می‌شود.

همان‌طور که در شکل بالا مشاهده می‌شود، نام فایل از tru.dll به kibuyuink.exe تغییر کرده، هر چند که همچنان از نوع DLL بوده و برای اجرا به regsvr۳۲.exe نیاز دارد. تغییر پسوند نام فایل تکنیک رایجی است که در آلودگی‌های مختلف بدافزاری دیده می‌شود.

ترافیک سرور کنترل و فرماندهی در Bazar
در ادامه نمونه‌ای از فعالیت سرور کنترل و فرماندهی (C۲) مربوط به BazarLoader که با استفاده از ترافیک HTTPS از ۱۰۴,۲۴۸.۱۷۴[.]۲۲۵ بر روی درگاه TCP ۴۴۳، درب‌پشتی با نام BazarBackdoor را بازیابی می‌کند، نمایش داده شده است.
سپس این درب پشتی (BazarBackdoor)، سرور C۲ را با بکارگیری ترافیک HTTPS به ۱۰۴,۲۴۸.۱۶۶[.]۱۷۰روی پورت TCP ۴۴۳ منتقل می‌کند. در شکل زیر به این فعالیت ترکیبی C۲ به عنوان ترافیک Bazar C۲ اشاره شده است.

این نمونه از فعالیت Bazar C۲ باعث ایجاد ترافیک در دامنه‌های (Domain) معتبر و مجاز می‌شود. این فعالیت به‌خودی‌خود ذاتاً مخرب نیست. گونه‌های مختلف بدافزاری ترافیک مشابهی را برای بررسی اتصال یا اطمینان از اینکه آیا سرور میزبان آلوده مبتنی بر Windows، به اینترنت متصل است یا خیر، ایجاد می‌کنند.

اجرای Cobalt Strike

تقریباً ۴۱ دقیقه پس از آلودگی اولیه توسط BazarLoader، سرور میزبان آلوده مبتنی بر Windows، شروع به‌کارگیری Cobalt Strike با استفاده از ترافیک HTTPS به gojihu[.]com و yuxicu[.]com می‌کند. شکل زیر اجرای Cobalt Strike را نشان می‌دهد.

در این حالت، یک فایل Cobalt Strike از نوع DLL، از طریق ترافیک Bazar C۲ ارسال شده و در سرور میزبان آلوده مبتنی بر Windows در AppData\Roaming directory سیستم قربانی ذخیره می‌شود. شکل زیر نشان می‌دهد که یک فایل Cobalt Strike از نوع DLL، بر روی دستگاه آلوده شده در حال اجرا است.

Cobalt Strike منجر به شناسایی و کشف بستر سرور میزبان آلوده می‌شود. طبق گزارش محققان شرکت پالو آلتو نتورکس در محیط‌های آزمایشگاهی، این فعالیت اکتشاف می‌تواند در عرض چند دقیقه پس از اولین ترافیک Cobalt Strike آغاز شود.
در این بررسی محققان پالو آلتو نتورکس دریافتند که مهاجمان تقریباً دو دقیقه پس از شروع فعالیت Cobalt Strike، از ابزاری به نام AdFind که در مسیر C:\ProgramData\AdFind.exe کپی شده، استفاده می‌کنند. این ابزار از نوع خط فرمان (Command Line) بوده و توسط تبهکاران سایبری به‌منظور جمع‌آوری اطلاعات از AD بکار گرفته می‌شود. محققان در تحقیق خود از Batch File مربوطه برای اجرای این ابزار استفاده کردند. جزئیات کامل ابزار AdFind در نشانی زیر قابل‌مطالعه است.

https://attack.mitre.org/software/S۰۵۵۲/

شکل زیر، مسیر AdFind، Batch File مربوطه یعنی  adf.batو نتایج جستجوی آن را که در هفت فایل متنی ذخیره شده، نشان می‌دهد.

در تصویری که در ادامه نمایش‌داده‌شده، فرامین بکار گرفته شده در فایل adf.bat که AdFind.exe را اجرا می‌کند، نشان‌داده‌شده است.

فرمان‌های فوق، کاربران، کامپیوترها، فایل‌های به اشتراک گذاشته شده و سایر اطلاعات را که در سرور AD مورد هدف قرار داده شده، نشان می‌دهد.
محققان پالو آلتو نتورکس در این تحقیق و شبیه‌سازی، هدف ارزشمندی را مورد حمله قرار ندادند و این محیط را در دو یا سه ساعت پس از آلودگی اولیه پاک‌سازی کردند. در این مثال، هیچ باج‌افزاری پس از شناسایی اجرا نشد.

مشروح گزارش پالو آلتو نتورکس در لینک زیر قابل‌مطالعه است:

https://unit۴۲.paloaltonetworks.com/bazarloader-network-reconnaissance

نشانه‌های آلودگی

(با تشکر از شرکت مهندسی شبکه گستر برای همکاری در تهیه این گزارش) 

دیدگاه شما

نشانی ایمیل شما منتشر نخواهد شد.