مايكروسافت: بدافزار جديد Dexphot بيش از ۸۰ هزار كامپيوتر را آلوده كرده است

محققان امنيتي مايكروسافت جزئيات عملكردي بدافزار جديدي به‌نام Dexphot را منتشر كردند. اين بدافزار از اكتبر ۲۰۱۸ فعاليت خود را شروع و تعداد زياد كامپيوترهاي مجهز به ويندوز را آلوده كرده است. بدافزار Dexphot از منابع پردازشي كامپيوتر قرباني براي معدن‌كاوي رمزارز استفاده مي‌كند. اوج فعاليت Dexphot در ژوئن سال جاري بود كه آمار كامپيوترهاي آلوده به آن، به ۸۰ هزار سيستم رسيد. از آن زمان تعداد حمله‌ها وارد روند كاهشي شد. مايكروسافت مي‌گويد پياده‌سازي رويكردهاي امنيتي براي تشخيص بهتر و جلوگيري از حمله‌ها، در كاهش آن‌ها مؤثر بوده‌اند.

هدف نهايي Dexphot، يعني معدن‌كاوي رمزارز با سوءاستفاده از منابع پردازشي قرباني، ساده به‌انديشه متخصصين مي‌رسد. تكنيك‌هاي استفاده‌شده‌ي در اين بدافزار، به‌‌دليل پيچيدگي فراوان توجه زيادي را به‌خود جلب كرد. مايكروسافت در خبر خود به پيچيدگي ذاتي بدافزار مذكور اشاره كرد. هيزل كيم، تحليلگر بدافزار گروه Microsoft Denender ATP Research، با اشاره به هدف ساده‌ي Dexphot براي معدن‌كافي رمزارز و نه دزديدن داده، درباره‌ي آن مي‌گويد:

Dexphot از آن دسته حمله‌هايي نيست كه توجه رسانه‌هاي عمومي را به‌خود جلب كند. اين بدافزار يكي از كمپين‌هاي بي‌شماري محسوب مي‌شود كه هميشه فعال هستند. هدف او در گروه‌هاي مجرمان سايبري مرسوم و متداول محسوب مي‌شود: نصب معدن‌كاو سكه كه منابع پردازشي را مي‌دزدد و براي مجرمان درآمدزايي مي‌كند. بدافزار Dexphot با وجود هدف ساده، پيچيدگي و تكامل بسياري دارد كه فراتر از تهديدهاي روزمره‌ي اينترنتي است. گذر از محدوديت‌ها و حفاظ‌هاي امنيتي متعدد و توانايي فعاليت بدون شناسايي در ابزارهاي امنيت سايبري آن را به پديده‌اي پيچيده تبديل مي‌كند.

كيم درادامه‌ي گزارش مفصل خود درباره‌ي Dexphot، به‌ روش‌هاي حرفه‌اي آن در دورزدن محدوديت‌هاي امنيتي اشاره مي‌كند. روش‌هايي همچون اجرا بدون نياز فايل،‌ تكنيك‌هاي چندشكلي و مكانيزمي هوشمند و پايدار كه دربرابر بارگذاري مجدد سيستم هم مقاوم باشد، از خصوصيت‌هاي پيچيده‌ي Dexphot هستند.

فرايند آلوده‌سازي

مايكروسافت مي‌گويد محققان امنيتي از اصطلاح Second stage payload براي تعريف Dexphot استفاده مي‌كنند. چنين اصطلاحي براي بدافزارهايي به‌كار مي‌رود كه روي سيستم‌هاي آلوده به بدافزارهاي ديگر نصب و اجرا مي‌شوند. بدافزار مذكور روي سيستم‌هايي نصب مي‌شد كه قبلا به بدافزار ICLoader آلوده شده بودند. بدافزار ICLoader عموما به‌صورت افزونه‌اي دركنار بسته‌هاي نرم‌افزاري به سيستم قرباني تزريق و روي آن نصب مي‌شود. احتمال نصب بدافزار مذكور زماني افزايش مي‌يابد كه متخصص از سرويس‌هاي كرك‌شده و از منابع نامعتبر براي دريافت نرم‌افزار استفاده كند.

برخي از مجرمان توسعه‌دهنده‌ي بدافزار پس از نصب ICLoader، از آن براي دانلود و اجراي نصب‌كننده‌ي Dexphot استفاده مي‌كنند. مايكروسافت مي‌گويد نصب‌كننده‌ي Dexphot، تنها بخشي است كه روي ديسك حافظه‌ي سيستم قرباني نوشته و آن هم پس از مدت كوتاهي پاك مي‌شود. تمامي بخش‌هاي ديگر Dexphot از روشي به‌نام «اجراي بدون فايل» (fileless execution) استفاده مي‌كنند و تنها در مموري سيستم اجرا مي‌شوند. چنين رويكردي باعث مي‌شود راهكارهاي كلاسيك آنتي‌ويروس‌ها، يعني مطالعه سيگنجر فايل‌ها در حافظه‌ي دائمي، توانايي شناسايي Dexphot را نداشته باشند.

مايكروسافت مي‌گويد Dexphot معمولا از فرايندهاي msiexec.exe ،‌unzip.exe ،‌rundll32.exe ،‌schtasks.exe و powershell.exe سوءاستفاده مي‌كند. همه‌ي فرايندهاي مذكور اپليكيشن‌هاي معتبري هستند كه در سيستم‌هاي ويندوزي از ابتدا نصب شده‌اند. Dexphot با استفاده از فرايندهاي مذكور براي اجراي كد مخرب، از ديگر اپليكيشن‌هاي محلي تمايزناپذير مي‌شود كه از فرايندها بهره مي‌برند.

مجرمان توسعه‌دهنده‌ي Dexphot در پيچيده‌سازي بدافزار خود بازهم فراتر رفته‌اند. در سال‌هاي اخير، آنتي‌ويروس‌ها از سيستم‌هاي مبتني‌بر خدمات ابري استفاده مي‌كنند تا الگوي اجراهاي بدون نياز به فايل و LOLbins را ذخيره و مطالعه كنند؛ درنتيجه، بدافزار پيچيده‌ي جديد از روش ديگري به‌نام polymorphism هم بهره مي‌برد. اين تكنيك در بدافزارها به‌معناي تغيير متناوب ساختار آن‌ها است. مايكروسافت مي‌گويد توسعه‌دهندگان Dexphot هر ۲۰ تا ۳۰ دقيقه نام فايل‌ها و آدرس‌هاي وب فعاليت‌هاي مخرب خود را تغيير مي‌دهند. به‌محض اينكه آنتي‌ويروس بتواند الگوي آلوده‌سازي را در زنجيره‌ي Dexphot كشف كند، الگو تغيير مي‌كند؛ درنتيجه، گروه مجرمان پشت صحنه‌ي Dexphot هميشه يك قدم جلوتر از محافظان امنيتي هستند.

مكانيزم‌هاي ماندگاري چندلايه

هيج بدافزاري تا ابد ناشناس نمي‌ماند. مجرمان سايبري توسعه‌دهنده‌ي Dexphot براي اين موقعيت نيز راهكاري در انديشه متخصصين گرفته‌اند. مايكروسافت مي‌گويد بدافزار مذكور با مكانيزم پايداري پيچيده‌اي عمل مي‌كند و سيستم‌هاي قرباني كه تمامي انواع Dexphot را شناسايي و پاك نكنند، مجددا آلوده مي‌شوند.

Dexphot در ابتدا از روشي به‌نام خالي‌كردن فرايندها استفاده كرد. دو فرايند مجاز ويندوزي به‌ نام‌هاي svchost.exe و nslookup.exe را بدافزار اجرا و محتواي آن‌ها را خالي مي‌كند. سپس، كدهاي مخرب ازطريق فرايندهاي مجاز اجرا شدند. فرايندهاي مذكور كه با ظاهر مجاز به‌عنوان زيرمجموعه‌هايي از Dexphot فعاليت مي‌كنند، به‌نوعي نگهبان اجراي صحيح همه‌ي بخش‌هاي ديگر بدافزار هستند. در زمان متوقف‌شدن هريك از بخش‌ها نيز، همين دو فرايند بارديگر آن‌ها را نصب مي‌كنند. ازآنجاكه دو فرايند به‌عنوان نگهبان عمل مي‌كنند، درصورت متوقف‌شدن يكي از آن‌ها، ديگري به‌عنوان همراه وارد عمل مي‌شود و مجددا فرايند را اجرا مي‌كند.

توسعه‌دهندگان بدافزار Dexphot علاوه‌بر رويكرد گفته‌شده، تعدادي وظايف زمان‌بندي‌شده نيز در برنامه‌ي خود لحاظ كرده بودند تا سازوكار اجرا بدون نياز به فايل، پس از هربار بارگذاري مجدد يا در هر ۹۰ تا ۱۱۰ دقيقه، بارديگر اجرا شود. ازآنجاكه دوره‌ي زماني منظمي براي اجراي وظايف در انديشه متخصصين گرفته شده بود، مجرمان توسعه‌دهنده توانايي ارائه‌ي به‌روزرساني براي Dexphot را هم در سيستم‌هاي آلوده داشتند.

همان‌طوركه گروه تحقيقاتي مايكروسافت گفته بود، روش‌هاي پياده‌سازي بدافزار واقعا پيچيده و حرفه‌اي بودند. در نگاه اوليه به پيچيدگي روش‌هاي اجرا، شايد تصور شود گروه‌هاي حرفه‌اي هكري در ابعاد بزرگ و حتي گروه‌هايي با همراهي برخي دولت‌ها، توسعه‌ي Dexphot را برعهده داشته باشند. به‌هرحال، روش‌هاي پيچيده‌ي دورزدن حفاظ‌هاي امنيتي در سال‌هاي گذشته بين گروه‌هاي هكري هم رواج پيدا كرده‌اند. درنهايت، شايد همين توسعه باعث شود حتي در بدافزاري با هدف كوچك معدن‌كاوي مانند Dexphot، از روش‌هاي دورزدن حرفه‌اي استفاده شود. از نمونه‌هاي ديگر مي‌توان به تروجان دزدي اطلاعات مانند Astroth و بدافزار سوءاستفاده‌ي كليكي Noderosk اشاره كرد.

همان‌طوركه توضيح داديم، Dexphot روي سيستم‌هايي اجرا مي‌شود كه به بدافزار ديگري آلوده هستند. بدافزار اول نيز عموما ازطريق دانلود نرم‌افزارهاي كرك‌شده به سيستم قرباني منتقل مي‌شود. بااين‌همه، رويكردهاي امنيتي اوليه براي هر متخصص ويندوزي حياتي به‌انديشه متخصصين مي‌رسند كه از آلودگي به بدافزارهاي مخرب اين‌چنيني تا حد زيادي جلوگيري مي‌كنند.