تروجان Nemucod تکامل‌یافته است

تروجان Nemucod تکامل‌یافته است

اخیراً در سراسر دنیا تروجانی بانام Nemucod به‌صورت انبوه شناسایی شد. این تروجان در اینترنت سعی بر آپلود کردن بدافزارهای مانند نرم‌افزار Locky را به کامپیوترها داشته است. در همین حال گزارش‌ها حاکی از آن است که نویسندگان این دانلودر مشغول به بهبود دادن به این بدافزار هستند.

دریکی از آخرین نسخه‌های Nemucod تغییرات قابل‌ملاحظه‌ای را در مقایسه با نسخه‌های قبلی دیده می‌شود. درگذشته پروسه این بدافزار نسبتاً ساده بود. این پروسه به شرح ذیل بود.
1. کاربر فایل مخرب را باز می‌کند
2. فایل payload را دانلود می‌کند
3. Payload اجرا می‌شود

در نسخه‌های اخیر این پروسه پیچیده‌تر شده است. در اینجا اطلاعات جامع‌تری در مورد کد داده‌شده وجود دارد که در اینجا ساده‌سازی شده تا درک آن راحت‌تر باشد.

قدم اول- انتخاب روش درست اتصال
نسخه‌های قبلی Nemucod فقط از یک روش برای اتصال به اینترنت استفاده می‌کردند که در صورت وجود تنظیمات مختلف زیرساخت مانند نسخه ویندوز، سرورهای پراکسی و غیره ممکن بود Fail شود.
برای داشتن تطبیق بیشتر، نویسندگان یک قابلیت ساختند که سعی بر اتصال با چندین روش دارد و از اولین روشی که کارآمد باشد استفاده خواهد شد.

قدم دوم- تلاش برای دسترسی از سایت‌های مختلف
Nemucod تابه‌حال یک آدرس (از یک سایت نقض شده) داشته است که از آن سعی بر دانلود کردن برنامه مخرب می‌کرد. با این وضع اگر برنامه مخرب از سایت برداشته می‌شد، حمله با شکست مواجه می‌شد که این‌یک ضعف به شمار می‌رود. برای بالا بردن احتمال موفقیت در نسخه‌های اخیر، چندین محل دانلود بدافزار وجود دارد که مثال آن در تصویر زیر نشان داده‌شده است.

تصویر 2 و 3 – قابلیت دانلود باج افزار از چندین سایت

کد تا دانلود موفق سایت‌ها را امتحان می‌کند.

تصویر 4- درخواست مکرر برای دانلود باج افزار از چندین سایت

قدم 3- اولین دور ساده‌سازی (deobfuscation)
درگذشته برنامه‌های دانلود شده توسط Nemocud فایل‌های باینری معمولی “exe.” بوده و مستقیماً قابل‌اجرا بودند. دانلود کردن فایل‌های exe. به این معنا بود که فایروال‌های Statefull، IDS ها، و UTM ها با اسکن امنیتی قادر به جلوگیری یا reject کردن دانلود آنها بودند.
در آخرین نسخه‌های دانلود Nemucod یک فایل obfuscated به پوشه  سیستم قربانی دانلود می‌شود (تصویرهای زیر):

تصویر 5 و 6- دانلود یک فایل obfuscated به پوشه سیستم قربانی

پس از ذخیره obfuscated payload، این function محتوای فایل را به function بعدی (ساده‌سازی دور اول) ارجاع می‌دهد.

تصویر 7- ساده‌سازی دور اول

قدم اول ساده‌سازی یک جایگزینی رمز (cipher) ساده می‌باشد. همه کارکترهای در فایل به ارزش binary خود تبدیل می‌شوند. اگر ارزش binary یک کارکتر بیش از 127 باشد، آن باارزش مشابه خود در یک چیدمان از قبل تعیین‌شده جایگزین می‌گردد و در غیر این صورت تغییری در آن ایجاد نمی‌شود.

تصویر 8- همه کارکترهای در فایل به ارزش binary خود تبدیل می‌شوند

قدم 4- دور دوم ساده‌سازی
پس از اتمام دور اول ساده‌سازی، محتوای فایل به function دور دوم ساده‌سازی ارجاع می‌گردد و این دور سه مرحله دارد.
• برداشتن 4 کارکتر اول از محتوای فایل
• اجرا عملیات XOR بر روی هر کارکتر با کارکتر “s” (0x73)
• معکوس کردن محتوای فایل

تصویر 9- دور دوم ساده‌سازی

قدم 5- بررسی اعتبار
در این مقطع یک بررسی اولیه ساده به عمل می‌آید تا دیده شود که محتوا فایل یک payload معتبر است یا خیر. بررسی به عمل می‌آید که آیا سایز فایل بین 174،080 و 189،440 بایت است و فایل با کارکترهای “MZ” (0x4D5A) شروع می‌شود. “MZ” (0x4D5A) بایت‌های قابل‌اجرا قابل‌حمل در فایل (PE) می‌باشند. اگر هر یک از این بررسی‌ها fail شود، Function به قدم دوم برگشته و سعی بر دانلود payload از سایت بعدی دارد.

تصویر 10 و 11- بررسی اولیه ساده اعتبار

قدم 6- دور آخر ساده‌سازی
اگر همه بررسی‌ها قبول شود، فایل به پوشه کاربر نوشته می‌شود.

Function بانام deobRound در طول پروسه ساده‌سازی باعث می‌شود که محتوای فایل دچار یک دور دیگر جایگزینی کارکتر مانند قدم 3 شود. این موارد جایگزینی کارکتر احتمالاً برای جلوگیری از مشکلات “Wide Character” در دور دوم ساده‌سازی اجرا می‌شوند.
درنهایت تمامی کارکترها به ارزش binary خود تبدیل‌شده و محتوای فایل یک فایل اجرای ویندوز معتبر خواهد شد.

قدم 7- اجرا
پس از آماده شدن payload، آن اجرا می‌شود. به‌جای اجرا مستقیم فایل exe. بدافزار Nemucod در ورژن های جدید یک فایل .bat ایجاد می‌کند که اجرا را امکان‌پذیر می‌سازد.

در این مرحله کاربر آلوده‌شده است.

جمع‌بندی
نویسندگان Nemucod سعی دارند که مراتب آلودگی را بالا ببرند و به عملکرد downloader بهبود ببخشند تا دانلود باج افزار شناسایی نگردد. با تمام قابلیت‌های جدید می‌توان حدس زد که هدف اصلی این بدافزار محیط‌های سازمانی است که در آن درگذشته سرورهای پراکسی و UTM ها دسترسی را بلوک می‌کردند.

فایل‌های بررسی‌شده
customers 366.wsf [JS/TrojanDownloader.Nemucod.ABI trojan]
MD5: 4DEDF4085E6D2F74CB879AD2E9680AFB
SHA1: EF2A9C6A61E98091A952328592D45214F6E44178
cstomers 9679.js [JS/TrojanDownloader.Nemucod.ABI trojan]
MD5: 42D054143A67DE14EE10F7B8C91D8A1A
SHA1: D3DC6E3D066BFA8E1F4408DE471BC95B001D0D25
Yhnpl47OMCLJm.exe [a variant of Win32/Kryptik.EYIB trojan]
MD5: C1F95ADBCAF520BF182F9014970D33E5
SHA1: 80B96F0207B9C5D1DAA3A6E6CF646F5AFA7BBA2C