مروری بر بدافزار BlackEnergy

خانواده بدافزاری BlackEnergy در سال 2007 انتشار یافت و در سال 2014 حملات گسترده‌ای اجرا کرد و دوباره در سال 2015 فعال شد و همچنان حملات خود را ادامه می‌دهد. این گروه بدافزاری در اکثر مواقع به اکراین و لهستان حمله نموده است. اخیراً شرکت ESET کشف کرد که تروجان BlackEnergy به‌عنوان یک backdoor برای ارسال برنامه مخرب KillDisk در حملات علیه شرکت‌های رسانه‌ای/خبری و بخش صنعت برق اکراین استفاده‌شده است. در این مقاله ما نمونه‌های BlackEnergy و برنامه مخرب KillDisk که ESET در سال 2015 کشف کرد را مطالعه می‌کنیم. همچنین ما یک نمونه تازه SSH backdoor که در کنار BlackEnergy کانالی دیگر برای ورود به سیستم‌های آلوده را استفاده می‌کرد را بررسی خواهیم کرد.

تکامل BlackEnergy در 2015
در صورت فعال شدن، گونه‌های مختلف BlackEnergy Lite به اپراتور بدافزار اجازه می‌دهد که معیارهای خاصی را برای مشخص نمودن اینکه آیا کامپیوتر واقعاً متعلق به هدف موردنظر است یا خیر چک شوند. اگر تائید شود dropper یکی از گونه‌های معمولی BlackEnergy را به سیستم push می‌کند. مکانیزم دقیق آلودگی BlackEnergy توسط ESET در مقالاتی شرح داده‌شده است. بدافزار BlackEnergy داده‌های تنظیمات XML که در باینری DLL payload قرارگرفته است را ذخیره می‌کند.

تصویر 1 – تنظیمات (config) BlackEnergy 2015

به‌غیراز لیست سرورهای C&C تنظیمات BlackEnergy دارای ارزشی به نام build_id می‌باشد. این ارزش یک text string خاص برای شناسایی آلودگی‌های تکی یا تلاش‌های آلودگی توسط اپورتورهای بدافزار BlackEnergy می‌باشد. ترکیب حروف و اعداد در مواردی اطلاعاتی در مورد اهداف و برنامه بدافزار فاش می‌سازد.

می‌توان حدس زد که برخی از انحا معانی خاص دارند. برای مثال ممکن است که “2015telsmi” دارای فرم کوتاه SMI (Sredstva Massovoj Informacii ) روسی باشد و “2015en” ممکن است انرژی 2015 معنی دهد.
برنامه مخرب KillDisk
برخی از گونه‌های تروجان BlackEnergy دارای یک plugin است که برای تخریب سیستم‌های آلوده طراحی‌شده و “dstr” نام دارد. در 2015 گروه BlackEnergy شروع به استفاده از این برنامه مخرب کرد که توسط ESET بانام گونه‌های تروجان Win32/KillDisk.NBB، Win32/KillDisk.NBC و Win32/KillDisk.NBD شناسایی شد. هدف اصلی آن تخریب داده‌های ذخیره‌شده در کامپیوترها است. آن document ها را با داده‌های تصادفی overwrite می‌کند و OS را Unbootable می‌کند.
اولین موارد شناخته‌شده از برنامه مخرب KillDisk توسط CERT-UA در نوامبر 2015 ثبت شد. در این مورد به تعدادی از شرکت‌های رسانه خبری در زمان انتخاب محلی اکراین حمله شد. گزارشات حکایت دارد که تعداد زیادی از ویدیوها و مدارک مختلف به خاطر این حمله از بین رفتند. گونه Win32/KillDisk.NBB که علیه شرکت‌های رسانه‌ای استفاده شد بر روی تخریب انواع فایل‌ها و مدارک تمرکز دارد. آن دارای یک لیست بلند از file extension است که سعی بر overwrite کردن و حذف دارد. لیست کامل دارای 4000 file extension است.

تصویر 2- تعدادی از file extension ها مورد هدف KillDisk.NBB:

برنامه KillDisk که در حملات علیه شرکت‌های انرژی استفاده شد کمی متفاوت بود و موارد اختلاف به شرح ذیل است.
•   قبول کردن command line argument برای تنظیم یک‌زمان تأخیر مشخص زمانی که یک payload مخرب فعال می‌گردد.
•   حذف event log ویندوز: برنامه، امنیت، setup و سیستم.
•   تمرکز کمتر بر روی حذف document باهدف قرار دادن فقط 35 file extension.

تصویر 3- لیست file extension های مورد هدف گونه جدید جزء KillDisk

برنامه KillDisk، که در حملات علیه شرکت‌های انرژی استفاده شد، توانایی حذف فایل‌های سیستمی را داشت تا بتواند سیستم را unbootable نماید و نیز دارای یک عملکرد اضافه مخصوص خرابکاری سیستم‌های صنعتی است. در زمان فعال شدن این‌گونه برنامه KillDisk به دنبال شناسایی و حذف دو پروسه غیراستاندارد بانام‌های komut.exe و sec_service.exe می‌باشد. پروسه اول (komut.exe) یک بدافزار است. پروسه دوم ممکن است که به نرم‌افزاری بانام ASEM Ubiquity یک پلتفرم نرم‌افزاری است که اغلب در سیستم‌های کنترل صنعتی (ICS) استفاده می‌شود. در صورت یافتن این پروسه، بدافزار فایل اجرایی آن را با داده‌های تصادفی overwrite می‌کند.

سرور backdoored SSH
علاوه بر خانواده‌های بدافزار گفته‌شده، یک نمونه جالب که توسط گروه BlackEnergy استفاده می‌شود نیز یافت شد. در طول تحقیقات یکی از سرورهای نقض شده برنامه‌ای دیده شد که ظاهراً یک سرور معتبر SSH به نام Dropbear SSH بود. برای اجرا سرور SSH حمله‌کننده یک فایل VBS با محتوای ذیل به وجود آورد.

Set WshShell = CreateObject(“WScript.Shell”)
WshShell.CurrentDirectory = “C:\WINDOWS\TEMP\Dropbear\”
WshShell.Run “dropbear.exe -r rsa -d dss -a -p 6789″, 0, false
سرور SSH ارتباطات را فقط از پورت 6789 قبول می‌کند. با اجرا SSH بر روی یک سرور نقض شده در شبکه، حمله‌کننده می‌تواند در هر زمان که بخواهد به شبکه بازگردد. اما به دلایلی نامشخص این امر کافی نبود. پس از تحلیل گسترده‌تر دیده شد که باینری سرور SSH درواقع دارای یک backdoor است.

تصویر 4- احراز هویت درب پشتی در سرورSSH

بر اساس تصویر 4 این نسخه Dropbear SSH کاربر را با واردکردن اسم رمز passDs5Bu9Te7 احراز هویت می‌کند. این مسئله نیز برای احراز هویت توسط یک جفت کلید صحت دارد که یعنی سرور دارای یک کلید عمومی دائمی از پیش تعریف‌شده (a pre-defined constant public key) می‌باشد و فقط با استفاده از یک کلید خصوصی مخصوص قابل‌استفاده است.