P4NISh3R
Comming soon...
مدیر بازنشسته
مقدمه
در طول چند سال گذشته، سطح بالایی از جاسوسی سایبری با هدف قرار دادن شبکه های رایانه ای سازمان های پژوهشی، دیپلماتیک، دولتی و علمی به منظور نفوذ، جمع آوری داده ها و اطلاعات از دستگاه های تلفن همراه، سیستم های رایانه ای و تجهیزات شبکه، به طور گسترده ای در سطح جهان، در جریان بوده است. بدافزار “اکتبر سرخ” یکی از این شبکه های جاسوسی سایبری پیشرفته است که سازمان های دیپلماتیک و دولتی بزرگ را مورد هدف خویش قرار داده است.
محققان آزمایشگاه تحقیقات امنیتی کسپرسکی، چندین ماه را صرف تجزیه و تحلیل این بدافزار که با عنوان “Rocra”، کوتاه شده عبارت اکتبر سرخ، شناخته می شود، کرده و دریافته اند که سازمان های خاصی را به طور عمده در شرق اروپا، کشورهای عضو اتحاد جماهیر شوروی سابق و کشورهای آسیای میانه، همچنین در غرب اروپا و شمال آمریکا هدف قرار داده است.
قربانیان Rocra، در ۳۹ کشور جهان شناسایی شده اند و تلاش ها برای شناسایی سایر قربانیان نیز در حال انجام است:
بدافزار Rocra تاکنون صدها قربانی در ۸ گروه اصلی زیر در سراسر جهان داشته است هر چند که ممکن است بخش های دیگری را نیز مورد هدف خویش قرار داده باشد که هنوز کشف نشده اند و یا در گذشته مورد حمله قرار گرفته اند.:
محققان کسپرسکی که موفق به شناسایی این بدافزار شده اند، اعتقاد دارند که مهاجمان حداقل به مدت ۵ سال با تمرکز بر روی سازمان های دیپلماتیک و دولتی کشورهای مختلف، مشغول جمع آوری اطلاعات از شبکه های آلوده بوده اند که از این اطلاعات در حملات بعدی خویش استفاده نموده اند. به عنوان مثال، اعتبارهای سرقت شده که در یک لیست، وارد می شدند و هنگامی که مهاجمان نیاز به حدس زدن کلمات عبور و اعتبار شبکه در مکان های دیگر داشته اند از آن ها استفاده می نمودند.
طراحان Rocra برای کنترل شبکه ای از ماشین های آلوده و همچنین کنترل و بازیابی داده های قربانیان، بیش از ۶۰ دامنه اینترنتی و چندین سرور میزبان محلی را در کشورهای مختلف ایجاد کرده اند که بررسی IPها نشان می دهد که سرورهای کنترل و دستور آن به طور عمده در کشورهای روسیه و آلمان واقع شده اند.
این بدافزار هنوز هم با ارسال داده هایی به سرورهای کنترل و دستور متعدد خود از طریق پیکربندی که قبلاً در پیچیدگی های زیرساختی بدافزار شعله مشاهده شده است، در حال فعالیت است و تخمین زده می شود که تاکنون صدها ترابایت اطلاعات را جابجا کرده باشد.
موفقیت حمله Rocra که حتی سازمان های تحقیقاتی و مؤسسه های نظامی را نیز شامل می شود نشانگر ضعف جدی در حفاظت سایبری از زیرساخت های رایانه ای در سراسر دنیا است که در کشور ما نیز تاکنون ۷ مرکز مهم آلوده به آن شناسایی شده اند.
سایر نام ها
این بدافزار در شرکت های امنیتی، به نام های زیر شناخته می شود:
پراکنش جغرافیایی
بدافزار Rocra که شبکه های دولتی و نهادهای دیپلماتیک را هدف قرار داده است، گزارش هایی از توزیع آن در شرق اروپا، کشورهای عضو اتحاد جماهیر شوروی سابق، کشورهای آسیای میانه، شمال آمریکا و کشورهای اروپای غربی مانند سوئیس و لوکزامبورگ وجود دارد.
گزارش شبکه امنیتی کسپرسکی (KSN) لیستی از کشورهای با بیشترین میزان آلودگی (فقط برای کشورهای با بیش از ۵ قربانی) را در جدول زیر نشان می دهد. آمارهای ارایه شده، فقط توسط نرم افزار کسپرسکی که بر روی سیستم های آلوده نصب می باشد گزارش شده و مسلماً تعداد واقعی سیستم های آلوده، بسیار بالاتر از این خواهد بود:
در شکل زیر، توزیع این بدافزار، بر روی نقشه جهان همراه با مراکز آلوده شناسایی شده توسط کسپرسکی نشان داده شده است:
شکل زیر نیز مناطق توزیع شده بدافزار Rocra را که توسط شرکت امنیتی سیمانتک تهیه شده است، نشان می دهد:
تاریخچه کشف
اطلاعات ثبت شده برای خرید نام های دامنه اینترنتی سرورهای کنترل و دستور بدافزار Rocra و مقایسه PE اجرایی جمع آوری شده از آن، نشان می دهد که این بدافزار از مه سال ۲۰۰۷ حداقل برای مدت ۵ سال بدون شناسایی شدن، در حال فعالیت بوده است.
نخستین بار، محققان کسپرسکی این بدافزار را در اکتبر سال ۲۰۱۲ توسط درخواست یکی از همکاران خود کشف کردند که ترجیح می دهند این همکار، همچنان ناشناس باقی بماند. آنگاه با تجزیه و تحلیل حمله، فیشینگ و ماژول های بدافزار Rocra، مقیاس آن را درک کرده و تشریح بدافزار شناسایی شده را به طور عمیق آغاز نمودند.
بدافزار Rocra در تاریخ ۱۴ ژانویه ۲۰۱۳ نیز توسط شرکت امنیتی سیمانتک کشف گردیده و مورد تجزیه و تحلیل فنی قرار می گیرد.
نامگذاری
بدافزار Rocra، کوتاه شده عبارت اکتبر سرخ (Red October) می باشد که احتمالاً نامش از زیردریایی به همین نام، در رمان “شکار اکتبر سرخ” که توسط نویسنده ای روسی نوشته شده، برگرفته شده است.
طراحی و سازماندهی
محققان کسپرسکی، بر اساس داده های ثبت شده از سرورهای کنترل و دستور این بدافزار و همچنین آثار متعدد اجرایی آن، به شدت بر این باور هستند که مهاجمان، ملیت روسی زبان داشته اند. آن ها معتقدند که اگر چه با اطلاعات به دست آمده، نمی توان به مکان خاصی اشاره نمود اما با این حال می توان بر روی دو عامل مهم پافشاری نمود:
به طور خاص، “Zakladka” در روسیه می تواند به معنای “bookmark” یا (به احتمال زیاد) در اصطلاح عامیانه به معنی “قابلیت های اعلام نشده”، مثلاً در نرم افزار یا سخت افزار باشد. با این حال، همچنین امکان دارد که یک میکروفون جاسازی شده در یک آجر از ساختمان سفارت باشد.
همچنین کلاس c++ این بدافزار که دارای پارامترهای قابل پیکربندی سرورهای کنترل و دستور آن است، “MPTraitor” نامیده شده و بخش پیکربندی مربوط به منابع هم به نام “conn_a” می باشد. برخی از این نمونه ها عبارتند از:
عملکرد
مهاجمان برای تحقق اهداف خویش، یک چارچوب (Framework) چند منظوره ایجاد کرده اند که قادر به استفاده از گستره های وسیع از ویژگی هایی است که اطلاعات را جمع آوری می نمایند. این چارچوب که بسیار پیچیده می باشد از ابتدا توسط همین مهاجمان، طراحی شده و در هیچ یک از عملیات های سایبری دیگر استفاده نشده است.
علاوه بر اهداف سنتی حمله، شامل ایستگاه های کاری رایانه ای، این بدافزار قادر به سرقت اطلاعات از دستگاه های تلفن همراه، از جمله گوشی های هوشمند (آی فون، نوکیا و ویندوز موبایل)، روگرفت از پیکربندی تجهیزات شبکه (سیسکو)، ربودن فایل ها از دیسک درایوهای قابل جابجایی (حتی شامل فایل هایی که در حال حاضر از روی سیستم پاک شده اند توسط یک فرآیند بازیابی سفارشی فایل)، سرقت نامه های الکترونیک ذخیره شده در نرم افزار Outlook سیستم های آلوده یا سرورهای POP3/IMAP از راه دور به همراه فایل های ضمیمه آن ها، ثبت تمامی کلیدهای فشرده شده بر روی صفحه کلید، گرفتن تصویرهای فوری و ارسال آن ها، تهیه تاریخچه وب گردی از مرورگرهای وب همچون کروم، فایرفاکس، اینترنت اکسپلورر و اپرا، همچنین انحراف مسیر فایل ها از سرورهای FTP شبکه محلی می باشد.
Rocra علاوه بر سرقت اطلاعات از نرم افزارهای متنی، ورد و اکسل می تواند اطلاعات رمزنگاری شده از قبیل pgp و فایل های رمزگذاری شده gpg را نیز سرقت نماید. همچنین پسوندهای “acid*” که توسط این بدافزار سرقت می شوند به نرم افزار طبقه بندی اسناد محرمانه “Acid Cryptofiler” که توسط نهادهای مختلفی از جمله اتحادیه اروپا و ناتو استفاده می گردد، تعلق دارد. اطلاعات به سرقت رفته از سیستم های آلوده، شامل اسنادی با پسوندهای زیر می باشد:
لیست زیر، دربردارنده آدرس سرورهای کنترل و دستور بدافزار Rocra است که اطلاعات سرقت شده توسط این بدافزار به یکی از آن ها ارسال می شود:
تغییرات در سیستم
فایل (های) زیر ممکن است در سیستم آلوده دیده شود:
این بدافزار می تواند خود را در سراسر یک شبکه محلی با استفاده از اعتبارهای مدیر شبکه که قبلاً آن ها را به دست آورده است، تکثیر نماید. آسیب پذیری های ذکر شده نیز نقش مهمی در انتشار بدافزار Rocra بر عهده دارند.
نصب
بدافزار Rocra با سوء استفاده از آسیب پذیری های از پیش شناخته شده زیر عمل می نماید:
این کدهای مخرب اسناد، در حملات فیشینگی که در طول حملات سایبری مختلف علیه فعالان تبتی، اهداف نظامی و بخش های انرژی در آسیا مورد استفاده قرار گرفته اند توسط سایر مهاجمان ایجاد شده اند. تنها چیزی که در این میان تغییر کرده است کدهای اجرایی جاسازی شده در سندها می باشد که مهاجمان آن را با کد خود جایگزین نموده اند.
شرکت امنیتی F-Secure نیز در بلاگ امنیتی اش اعلام کرده است که مهاجمان از کدهای مخرب قدیمی شناخته شده نرم افزارهای Word، Excel و Java استفاده کرده اند و نشانه ای از آسیب پذیری های بسیار محرمانه (۰-day) بهره برداری شده توسط آن ها وجود ندارد.
بدافزار Rocra با حمله مهندسی اجتماعی و ترغیب به کلیک بر روی لینک های جعلی که معمولاً تبلیغ ثبت نام در خرید یک ماشین لوکس است، فعالیت خود را آغاز می نماید. شکل زیر، نمونه یک تصویر جعلی است که در حملات فیشینگ، توسط این بدافزار استفاده می شود:
همچنین این بدافزار همان طور که در شکل زیر نشان داده شده است با ارسال یک نامه الکترونیک که دربردارنده فایل ضمیمه مخرب است و تشویق به دانلود و بازکردن این فایل ضمیمه، اقدام به آلوده نمودن سیستم ها می کند:
سپس مهاجمان یک ماژول را برای اسکن شبکه محلی و جستجوی سیستم های آسیب پذیر در آن شبکه مستقر نموده، میزبان آسیب پذیر برای MS08-067 را یافته (کد مخرب آسیب پذیری توسط کرم کانفیکر) یا با اعتبارهای مدیر از پایگاه داده رمز عبور خود، توانایی دسترسی بر روی سیستم های آسیب پذیر را پیدا می کنند. هنگامی که یکی از این اسناد باز می شود، فعالیت رسمی بدافزار آغاز شده و می تواند بدافزارهای بیشتری را تحت یک روش که به قطره چکان تروجان معروف است از سرورهای کنترل و دستور خود دریافت نماید. این بدافزارهای ثانویه، شامل برنامه های جمع آوری داده ها و ارسال اطلاعات به مهاجمان می باشند.
یکی از دستوراتی که در قطره چکان تروجان وجود دارد می تواند کد صفحه سیستم آلوده را به ۱۲۵۱ قبل از زمان نصب و راه اندازی، تغییر دهد که این امر، نیازمند آدرس فایل ها و دایرکتوری هایی است که کاراکترهای سیریلیک (Cyrillic) را در نام های خودشان دارند.
پس از این آلودگی اولیه، بدافزار توسط خودش در سراسر شبکه، انتشار یافته و مهاجمان در طی چند روز، فقط اطلاعاتی را در مورد آن شبکه جمع آوری می کنند. در طول این مدت، اقدام به شناسایی سیستم های کلیدی کرده و سپس ماژول هایی را در شبکه مستقر می نماید که می تواند سایر رایانه ها را با خود همگام و همسو نماید. یکی از این ماژول ها نیز برای جمع آوری اطلاعات به میزبان های راه دور آلوده در همان شبکه مورد استفاده قرار می گیرد.
در تحقیقات انجام گرفته توسط کسپرسکی، بیش از ۱۰۰۰ ماژول متعلق به ۳۰ دسته بندی از ماژول های مختلف، کشف شده اند که بین سال های ۲۰۰۷ تا جدیدترین آن ها که در ۸ ژانویه ۲۰۱۳ ایجاد گشته اند. در جدول زیر، لیستی از این ماژول های شناخته شده و دسته بندی آن ها آورده شده است:
Rocra دارای ماژول های سفارشی خاصی است که برای هر قربانی، با یک ID منحصر به فرد ایجاد شده اند و برخلاف سایر بدافزارهای سایبری، می توان آن را دارای ظرافت خاصی دانست که برای قربانیان مخصوص، شخصی سازی شده است. چندین ماژول تلفن همراه نیز برای این بدافزار طراحی شده اند که اقدام به سرقت اطلاعات از انواع مختلف دستگاه های تلفن همراه همچون آی فون، نوکیا و ویندوز موبایل می کنند. این ماژول ها در سیستم، نصب شده و برای اتصال دستگاه های تلفن همراه به سیستم قربانی، منتظر می مانند. هنگامی که یک اتصال تلفن همراه، شناسایی گردید ماژول شروع به جمع آوری داده ها از آن تلفن همراه می کند.
به طور کلی، چارچوب اصلی Rocra برای اجرای “وظایف” توسط سرورهای کنترل و دستور آن طراحی شده است. بسیاری از این وظایف که به عنوان کتابخانه های PE DLL از سرور دریافت می شوند در حافظه سیستم قربانی اجرا شده و سپس بلافاصله دور انداخته می شوند.
با این وجود، چند کار باید به صورت مداوم در سیستم انجام شود، مثلاً انتظار برای اتصال دستگاه های تلفن همراه. این وظایف به عنوان فایل های PE EXE ایجاد شده اند که در سیستم آلوده نصب می گردند. نمونه هایی از وظایف “مداوم” شامل موارد زیر می باشد:
جلوگیری
اگر چه هم اکنون تمامی آنتی ویروس ها قادر به شناسایی و پاک کردن Rocra هستند اما انجام فعالیت های زیر توسط همه مدیران و کاربران سیستم می تواند باعث جلوگیری و یا کاهش خطر این بدافزار شود:
پیشگیری
پیشگیری از حوادث و کنترل امنیت سیستم نیاز به یک رویکرد چند لایه دارد که از آن با عنوان “دفاع در عمق” یاد می شود. این لایه، شامل سیاست ها و رویه ها، آگاهی و آموزش، تقسیم بندی شبکه، کنترل دسترسی ها، اقدام های امنیتی فیزیکی، سیستم های نظارتی همچون فایروال و ضد ویروس، سیستم های تشخیص و جلوگیری از نفوذ، رمز کاربری و غیره است.
بهترین روش برای پیشگیری هم معمولاً تجزیه و تحلیل خطر، شناسایی نقاط آسیب پذیر سیستم ها و شبکه، کنترل سیستم ارزیابی امنیتی و همچنین توسعه برنامه های اولویت بندی برای از بین بردن یا به حداقل رساندن ریسک خطر است.
منابع
در طول چند سال گذشته، سطح بالایی از جاسوسی سایبری با هدف قرار دادن شبکه های رایانه ای سازمان های پژوهشی، دیپلماتیک، دولتی و علمی به منظور نفوذ، جمع آوری داده ها و اطلاعات از دستگاه های تلفن همراه، سیستم های رایانه ای و تجهیزات شبکه، به طور گسترده ای در سطح جهان، در جریان بوده است. بدافزار “اکتبر سرخ” یکی از این شبکه های جاسوسی سایبری پیشرفته است که سازمان های دیپلماتیک و دولتی بزرگ را مورد هدف خویش قرار داده است.
محققان آزمایشگاه تحقیقات امنیتی کسپرسکی، چندین ماه را صرف تجزیه و تحلیل این بدافزار که با عنوان “Rocra”، کوتاه شده عبارت اکتبر سرخ، شناخته می شود، کرده و دریافته اند که سازمان های خاصی را به طور عمده در شرق اروپا، کشورهای عضو اتحاد جماهیر شوروی سابق و کشورهای آسیای میانه، همچنین در غرب اروپا و شمال آمریکا هدف قرار داده است.
قربانیان Rocra، در ۳۹ کشور جهان شناسایی شده اند و تلاش ها برای شناسایی سایر قربانیان نیز در حال انجام است:
بدافزار Rocra تاکنون صدها قربانی در ۸ گروه اصلی زیر در سراسر جهان داشته است هر چند که ممکن است بخش های دیگری را نیز مورد هدف خویش قرار داده باشد که هنوز کشف نشده اند و یا در گذشته مورد حمله قرار گرفته اند.:
- ارگان های دولتی
- مراکز دیپلماتیک / سفارتخانه ها
- مؤسسه های تحقیقاتی
- مراکز تجاری و بازرگانی
- نیروگاه / تأسیسات هسته ای
- شرکت های نفت و گاز
- مراکز هوا و فضا
- نیروهای نظامی
طراحان Rocra برای کنترل شبکه ای از ماشین های آلوده و همچنین کنترل و بازیابی داده های قربانیان، بیش از ۶۰ دامنه اینترنتی و چندین سرور میزبان محلی را در کشورهای مختلف ایجاد کرده اند که بررسی IPها نشان می دهد که سرورهای کنترل و دستور آن به طور عمده در کشورهای روسیه و آلمان واقع شده اند.
این بدافزار هنوز هم با ارسال داده هایی به سرورهای کنترل و دستور متعدد خود از طریق پیکربندی که قبلاً در پیچیدگی های زیرساختی بدافزار شعله مشاهده شده است، در حال فعالیت است و تخمین زده می شود که تاکنون صدها ترابایت اطلاعات را جابجا کرده باشد.
موفقیت حمله Rocra که حتی سازمان های تحقیقاتی و مؤسسه های نظامی را نیز شامل می شود نشانگر ضعف جدی در حفاظت سایبری از زیرساخت های رایانه ای در سراسر دنیا است که در کشور ما نیز تاکنون ۷ مرکز مهم آلوده به آن شناسایی شده اند.
سایر نام ها
این بدافزار در شرکت های امنیتی، به نام های زیر شناخته می شود:
Red October [Kaspersky] , Backdoor.Rocra [Symantec] , Backdoor.Rocra!gen1 [Symantec] , Backdoor.Rocra!gen2 [Symantec]
سیستم های آسیب پذیرWindows 2000 , Windows 7 , Windows NT , Windows Vista , Windows XP , Windows 95 , Windows 98
پراکنش جغرافیایی
بدافزار Rocra که شبکه های دولتی و نهادهای دیپلماتیک را هدف قرار داده است، گزارش هایی از توزیع آن در شرق اروپا، کشورهای عضو اتحاد جماهیر شوروی سابق، کشورهای آسیای میانه، شمال آمریکا و کشورهای اروپای غربی مانند سوئیس و لوکزامبورگ وجود دارد.
گزارش شبکه امنیتی کسپرسکی (KSN) لیستی از کشورهای با بیشترین میزان آلودگی (فقط برای کشورهای با بیش از ۵ قربانی) را در جدول زیر نشان می دهد. آمارهای ارایه شده، فقط توسط نرم افزار کسپرسکی که بر روی سیستم های آلوده نصب می باشد گزارش شده و مسلماً تعداد واقعی سیستم های آلوده، بسیار بالاتر از این خواهد بود:
| نام کشور |
میزان آلودگی |
| روسیه | ۳۵ |
| قزاقستان | ۲۱ |
| آذربایجان | ۱۵ |
| بلژیک | ۱۵ |
| هند | ۱۴ |
| افغانستان | ۱۰ |
| ارمنستان | ۱۰ |
| ایران | ۷ |
| ترکمنستان | ۷ |
| اوکراین | ۶ |
| ایالات متحده آمریکا | ۶ |
| ویتنام | ۶ |
| بلاروس | ۵ |
| یونان | ۵ |
| ایتالیا | ۵ |
| مراکش | ۵ |
| پاکستان | ۵ |
| سوئیس | ۵ |
| اوگاندا | ۵ |
| امارات متحده عربی | ۵ |
اطلاعات ثبت شده برای خرید نام های دامنه اینترنتی سرورهای کنترل و دستور بدافزار Rocra و مقایسه PE اجرایی جمع آوری شده از آن، نشان می دهد که این بدافزار از مه سال ۲۰۰۷ حداقل برای مدت ۵ سال بدون شناسایی شدن، در حال فعالیت بوده است.
نخستین بار، محققان کسپرسکی این بدافزار را در اکتبر سال ۲۰۱۲ توسط درخواست یکی از همکاران خود کشف کردند که ترجیح می دهند این همکار، همچنان ناشناس باقی بماند. آنگاه با تجزیه و تحلیل حمله، فیشینگ و ماژول های بدافزار Rocra، مقیاس آن را درک کرده و تشریح بدافزار شناسایی شده را به طور عمیق آغاز نمودند.
بدافزار Rocra در تاریخ ۱۴ ژانویه ۲۰۱۳ نیز توسط شرکت امنیتی سیمانتک کشف گردیده و مورد تجزیه و تحلیل فنی قرار می گیرد.
نامگذاری
بدافزار Rocra، کوتاه شده عبارت اکتبر سرخ (Red October) می باشد که احتمالاً نامش از زیردریایی به همین نام، در رمان “شکار اکتبر سرخ” که توسط نویسنده ای روسی نوشته شده، برگرفته شده است.
طراحی و سازماندهی
محققان کسپرسکی، بر اساس داده های ثبت شده از سرورهای کنترل و دستور این بدافزار و همچنین آثار متعدد اجرایی آن، به شدت بر این باور هستند که مهاجمان، ملیت روسی زبان داشته اند. آن ها معتقدند که اگر چه با اطلاعات به دست آمده، نمی توان به مکان خاصی اشاره نمود اما با این حال می توان بر روی دو عامل مهم پافشاری نمود:
- به نظر می رسد که کدهای مخرب توسط هکرهای چینی نوشته شده اند.
- ماژول های بدافزاری Rocra توسط افرادی روس زبان ایجاد گشته اند.
[*=left]network_scanner: “SUCCESSED”, “Error_massage”, “natrive_os”, “natrive_lan”
[*=left]
[*=left]imapispool: “UNLNOWN_PC_NAME”, “WinMain: error CreateThred stop”
[*=left]
[*=left]mapi_client: “Default Messanger”, “BUFEER IS FULL”
[*=left]
[*=left]msoffice_plugin: “my_encode my_dencode”
[*=left]
[*=left]winmobile: “Zakladka injected”, “Cannot inject zakladka, Error: %u”
[*=left]
[*=left]PswSuperMailRu: “——-PROGA START—–”, “——-PROGA END—–”
به طور خاص، “Zakladka” در روسیه می تواند به معنای “bookmark” یا (به احتمال زیاد) در اصطلاح عامیانه به معنی “قابلیت های اعلام نشده”، مثلاً در نرم افزار یا سخت افزار باشد. با این حال، همچنین امکان دارد که یک میکروفون جاسازی شده در یک آجر از ساختمان سفارت باشد.
همچنین کلاس c++ این بدافزار که دارای پارامترهای قابل پیکربندی سرورهای کنترل و دستور آن است، “MPTraitor” نامیده شده و بخش پیکربندی مربوط به منابع هم به نام “conn_a” می باشد. برخی از این نمونه ها عبارتند از:
[*=left]conn_a.D_CONN
[*=left]
[*=left]conn_a.J_CONN
[*=left]
[*=left]conn_a.D_CONN
[*=left]
[*=left]conn_a.J_CONN
[*=left]
عملکرد
مهاجمان برای تحقق اهداف خویش، یک چارچوب (Framework) چند منظوره ایجاد کرده اند که قادر به استفاده از گستره های وسیع از ویژگی هایی است که اطلاعات را جمع آوری می نمایند. این چارچوب که بسیار پیچیده می باشد از ابتدا توسط همین مهاجمان، طراحی شده و در هیچ یک از عملیات های سایبری دیگر استفاده نشده است.
علاوه بر اهداف سنتی حمله، شامل ایستگاه های کاری رایانه ای، این بدافزار قادر به سرقت اطلاعات از دستگاه های تلفن همراه، از جمله گوشی های هوشمند (آی فون، نوکیا و ویندوز موبایل)، روگرفت از پیکربندی تجهیزات شبکه (سیسکو)، ربودن فایل ها از دیسک درایوهای قابل جابجایی (حتی شامل فایل هایی که در حال حاضر از روی سیستم پاک شده اند توسط یک فرآیند بازیابی سفارشی فایل)، سرقت نامه های الکترونیک ذخیره شده در نرم افزار Outlook سیستم های آلوده یا سرورهای POP3/IMAP از راه دور به همراه فایل های ضمیمه آن ها، ثبت تمامی کلیدهای فشرده شده بر روی صفحه کلید، گرفتن تصویرهای فوری و ارسال آن ها، تهیه تاریخچه وب گردی از مرورگرهای وب همچون کروم، فایرفاکس، اینترنت اکسپلورر و اپرا، همچنین انحراف مسیر فایل ها از سرورهای FTP شبکه محلی می باشد.
Rocra علاوه بر سرقت اطلاعات از نرم افزارهای متنی، ورد و اکسل می تواند اطلاعات رمزنگاری شده از قبیل pgp و فایل های رمزگذاری شده gpg را نیز سرقت نماید. همچنین پسوندهای “acid*” که توسط این بدافزار سرقت می شوند به نرم افزار طبقه بندی اسناد محرمانه “Acid Cryptofiler” که توسط نهادهای مختلفی از جمله اتحادیه اروپا و ناتو استفاده می گردد، تعلق دارد. اطلاعات به سرقت رفته از سیستم های آلوده، شامل اسنادی با پسوندهای زیر می باشد:
txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa.
اطلاعات به سرقت رفته از قربانیان، اطلاعات سطح بالا و طبقه بندی شده ای بوده و شامل داده های جغرافیایی سیاسی است که می تواند توسط دولت های ملی مورد استفاده قرار گیرد. اگر چه هنوز چگونگی استفاده از این اطلاعات همچون یک معما، ناشناخته مانده و فرآیند جمع آوری اطلاعات در طول ۵ سال گذشته، دامنه کاملاً گسترده ای را دربرداشته است اما این امکان وجود دارد که اطلاعات گردآوری شده، به صورت مخفیانه و زیرزمینی، در بازار سیاه به بالاترین پیشنهاد فروخته می شده یا بعضی از آن ها، به صورت مستقیم، مورد استفاده قرار می گرفته اند.لیست زیر، دربردارنده آدرس سرورهای کنترل و دستور بدافزار Rocra است که اطلاعات سرقت شده توسط این بدافزار به یکی از آن ها ارسال می شود:
[*=left]csrss-check-new.com
[*=left]csrss-update-new.com
[*=left]csrss-upgrade-new.com
[*=left]dll-host-check.com
[*=left]dll-host-udate.com
[*=left]dll-host.com
[*=left]dllupdate.info
[*=left]drivers-check.com
[*=left]drivers-get.com
[*=left]drivers-update-online.com
[*=left]genuine-check.com
[*=left]genuineservicecheck.com
[*=left]genuineupdate.com
[*=left]microsoft-msdn.com
[*=left]microsoftcheck.com
[*=left]microsoftosupdate.com
[*=left]mobile-update.com
[*=left]ms-software-check.com
[*=left]ms-software-genuine.com
[*=left]ms-software-update.com
[*=left]msgenuine.net
[*=left]msinfoonline.org
[*=left]msonlinecheck.com
[*=left]msonlineget.com
[*=left]msonlineupdate.com
[*=left]new-driver-upgrade.com
[*=left]nt-windows-check.com
[*=left]nt-windows-online.com
[*=left]nt-windows-update.com
[*=left]os-microsoft-check.com
[*=left]os-microsoft-update.com
[*=left]osgenuine.com
[*=left]services-check.com
[*=left]svchost-check.com
[*=left]svchost-online.com
[*=left]svchost-update.com
[*=left]update-genuine.com
[*=left]win-check-update.com
[*=left]win-driver-upgrade.com
[*=left]windows-genuine.com
[*=left]windowscheckupdate.com
[*=left]windowsonlineupdate.com
[*=left]wingenuine.com
[*=left]wins-driver-update.com
[*=left]wins-update.com
[*=left]xponlineupdate.com
تغییرات در سیستم
فایل (های) زیر ممکن است در سیستم آلوده دیده شود:
[*=left]%ProgramFiles%\WINDOWS NT\msc.bat
[*=left]%ProgramFiles%\WINDOWS NT\[RANDOM CHARACTERS FILE NAME].lt
[*=left]%ProgramFiles%\WINDOWS NT\Svchost.exe
این بدافزار می تواند خود را در سراسر یک شبکه محلی با استفاده از اعتبارهای مدیر شبکه که قبلاً آن ها را به دست آورده است، تکثیر نماید. آسیب پذیری های ذکر شده نیز نقش مهمی در انتشار بدافزار Rocra بر عهده دارند.
نصب
بدافزار Rocra با سوء استفاده از آسیب پذیری های از پیش شناخته شده زیر عمل می نماید:
[*=left]Microsoft Excel ‘FEATHEADER’ Record Remote Code Execution Vulnerability (CVE-2009-3129) – MS Excel
[*=left]Microsoft Office RTF File Stack Buffer Overflow Vulnerability (CVE-2010-3333) – MS Word
[*=left]Microsoft Windows Common Controls ActiveX Control Remote Code Execution Vulnerability (CVE-2012-0158) – MS Word
[*=left]Oracle Java SE Rhino Script Engine Remote Code Execution Vulnerability (CVE-2011-3544) – Oracle db
[*=left]Bloodhound.Exploit.306
[*=left]Bloodhound.Exploit.366
[*=left]Bloodhound.Exploit.457
[*=left]Trojan.Maljava
[*=left]Trojan.Maljava!gen27
شرکت امنیتی F-Secure نیز در بلاگ امنیتی اش اعلام کرده است که مهاجمان از کدهای مخرب قدیمی شناخته شده نرم افزارهای Word، Excel و Java استفاده کرده اند و نشانه ای از آسیب پذیری های بسیار محرمانه (۰-day) بهره برداری شده توسط آن ها وجود ندارد.
بدافزار Rocra با حمله مهندسی اجتماعی و ترغیب به کلیک بر روی لینک های جعلی که معمولاً تبلیغ ثبت نام در خرید یک ماشین لوکس است، فعالیت خود را آغاز می نماید. شکل زیر، نمونه یک تصویر جعلی است که در حملات فیشینگ، توسط این بدافزار استفاده می شود:
یکی از دستوراتی که در قطره چکان تروجان وجود دارد می تواند کد صفحه سیستم آلوده را به ۱۲۵۱ قبل از زمان نصب و راه اندازی، تغییر دهد که این امر، نیازمند آدرس فایل ها و دایرکتوری هایی است که کاراکترهای سیریلیک (Cyrillic) را در نام های خودشان دارند.
پس از این آلودگی اولیه، بدافزار توسط خودش در سراسر شبکه، انتشار یافته و مهاجمان در طی چند روز، فقط اطلاعاتی را در مورد آن شبکه جمع آوری می کنند. در طول این مدت، اقدام به شناسایی سیستم های کلیدی کرده و سپس ماژول هایی را در شبکه مستقر می نماید که می تواند سایر رایانه ها را با خود همگام و همسو نماید. یکی از این ماژول ها نیز برای جمع آوری اطلاعات به میزبان های راه دور آلوده در همان شبکه مورد استفاده قرار می گیرد.
در تحقیقات انجام گرفته توسط کسپرسکی، بیش از ۱۰۰۰ ماژول متعلق به ۳۰ دسته بندی از ماژول های مختلف، کشف شده اند که بین سال های ۲۰۰۷ تا جدیدترین آن ها که در ۸ ژانویه ۲۰۱۳ ایجاد گشته اند. در جدول زیر، لیستی از این ماژول های شناخته شده و دسته بندی آن ها آورده شده است:
به طور کلی، چارچوب اصلی Rocra برای اجرای “وظایف” توسط سرورهای کنترل و دستور آن طراحی شده است. بسیاری از این وظایف که به عنوان کتابخانه های PE DLL از سرور دریافت می شوند در حافظه سیستم قربانی اجرا شده و سپس بلافاصله دور انداخته می شوند.
با این وجود، چند کار باید به صورت مداوم در سیستم انجام شود، مثلاً انتظار برای اتصال دستگاه های تلفن همراه. این وظایف به عنوان فایل های PE EXE ایجاد شده اند که در سیستم آلوده نصب می گردند. نمونه هایی از وظایف “مداوم” شامل موارد زیر می باشد:
- · هنگامی که یک درایو usb به سیستم آلوده متصل می شود عمل جستجو توسط بدافزار آغاز گشته و فایل ها توسط ماسک/فرمت، از آن درایو usb استخراج می شوند که می تواند شامل فایل های پاک شده نیز باشد. فایل های پاک شده با استفاده از یک تجزیه کننده فایل سیستم ساخته شده، بازیابی می شوند.
- · منتظر می ماند تا یک دستگاه تلفن آی فون یا یک گوشی نوکیا به سیستم آلوده وصل شود. پس از اتصال، اطلاعاتی را در مورد تلفن، دفترچه تلفن آن، لیست تماس، تاریخچه تماس ها، تقویم، پیام های SMS و تاریخچه وب گردی بازیابی می کند.
- · منتظر می ماند تا یک دستگاه تلفن همراه دارای ویندوز موبایل به سیستم آلوده وصل شود. پس از اتصال، تلفن را با یک نسخه تلفن همراه که از اجزای اصلی Rocra است، آلوده می نماید.
- · منتظر می ماند تا یک فایل خاص مایکروسافت آفیس یا سند PDF باز شود تا یک بسته محدود شده را در آن سند اجرا نماید. همچنین یک راه مخفیانه ارتباطی را اجرا می کند که می تواند برای بازگردادن کنترل سیستم آلوده، مورد استفاده قرار گیرد.
- تمام کلیدهای فشرده شده بر روی صفحه کلید را ثبت نموده و تصاویر فوری از آن ها ایجاد می نماید.
- ماژول های اضافی رمزگذاری شده را با توجه به برنامه از پیش تعیین شده، اجرا می نماید.
- · پیام ها و ضمیمه های نامه های الکترونیک را از نرم افزار مایکروسافت Outlook و از سرویس دهنده پست الکترونیکی مورد دسترس، با استفاده از اعتباری که قبلاً به دست آورده است، بازیابی می کند.
- جمع آوری اطلاعات کلی محیط های نرم افزاری و سخت افزاری؛
- · جمع آوری فایل سیستم و اطلاعات به اشتراک گذاشته شده در شبکه، ایجاد لیست های دایرکتوری، جستجو و بازیابی فایل ها توسط ماسک ارایه شده توسط سرور کنترل و دستور بدافزار؛
- · جمع آوری اطلاعات در مورد نرم افزارهای نصب شده که مهمترین آن ها شامل پایگاه داده اوراکل، برنامه RAdmin، نرم افزار سرویس گیرنده پست الکترونیکی از جمله نسخه کلاینتی Mail.Ru، درایوها و نرم افزارهای ویندوز موبایل، نوکیا، سونی اریکسون، اچ تی سی، تلفن های اندرویدی و درایوهای usb می باشد.
- استخراج تاریخچه وب گردی از مرورگرهای کروم، فایر فاکس، اینترنت اکسپلورر و اپرا؛
- استخراج کلمات عبور ذخیره شده وب سایت ها، سرورهای FTP، پست الکترونیکی و حساب های کاربری سرویس دهنده های پست الکترونیکی؛
- استخراج هش های حساب های کاربری ویندوز، به احتمال زیاد برای کرک نمودن آفلاین آن ها؛
- استخراج اطلاعات حساب کاربری نرم افزار Outlook؛
- تعیین آدرس IP خروجی سیستم آلوده (به منظور ارتباط با اینترنت)؛
- · دریافت فایل از سرورهای FTP که از طریق سیستم آلوده، در دسترس هستند (شامل آن هایی که به شبکه محلی خود متصل هستند) با استفاده از اعتباری که قبلاً به دست آورده است.
- نوشتن و/یا اجرای کدهای دلخواه در داخل وظیفه (task)؛
- اسکن شبکه، روگرفت از اطلاعات پیکربندی دستگاه های سیسکو، در صورت موجود بودن؛
- اسکن شبکه در یک محدوده از پیش تعریف شده و تکثیر خود به ماشین های آسیب پذیر، توسط آسیب پذیری MS08-067؛
- تکثیر از طریق شبکه با استفاده از اعتبارهای مدیر شبکه که آن ها را قبلاً به دست آورده است.
۱۱۴ed0e5298149fc69f6e41566e3717a
1f86299628bed519718478739b0e4b0c
2672fbba23bf4f5e139b10cacc837e9f
350c170870e42dce1715a188ca20d73b
396d9e339c1fd2e787d885a688d5c646
3ded9a0dd566215f04e05340ccf20e0c
44e70bce66cdac5dc06d5c0d6780ba45
4bfa449f1a351210d3c5b03ac2bd18b1
4ce5fd18b1d3f551a098bb26d8347ffb
4daa2e7d3ac1a5c6b81a92f4a9ac21f1
50bd553568422cf547539dd1f49dd80d
51edea56c1e83bcbc9f873168e2370af
5d1121eac9021b5b01570fb58e7d4622
5ecec03853616e13475ac20a0ef987b6
5f9b7a70ca665a54f8879a6a16f6adde
639760784b3e26c1fe619e5df7d0f674
65d277af039004146061ff01bb757a8f
6b23732895daaad4bd6eae1d0b0fef08
731c68d2335e60107df2f5af18b9f4c9
7e5d9b496306b558ba04e5a4c5638f9f
82e518fb3a6749903c8dc17287cebbf8
85baebed3d22fa63ce91ffafcd7cc991
91ebc2b587a14ec914dd74f4cfb8dd0f
93d0222c8c7b57d38931cfd712523c67
9950a027191c4930909ca23608d464cc
9b55887b3e0c7f1e41d1abdc32667a93
9f470a4b0f9827d0d3ae463f44b227db
a7330ce1b0f89ac157e335da825b22c7
b9238737d22a059ff8da903fbc69c352
c78253aefcb35f94acc63585d7bfb176
fc3c874bdaedf731439bbe28fc2e6bbe
bb2f6240402f765a9d0d650b79cd2560
bd05475a538c996cd6cafe72f3a98fae
c42627a677e0a6244b84aa977fbea15d
cb51ef3e541e060f0c56ac10adef37c3
ceac9d75b8920323477e8a4acdae2803
cee7bd726bc57e601c85203c5767293c
d71a9d26d4bb3b0ed189c79cd24d179a
d98378db4016404ac558f9733e906b2b
dc4a977eaa2b62ad7785b46b40c61281
dc8f0d4ecda437c3f870cd17d010a3f6
de56229f497bf51274280ef84277ea54
ec98640c401e296a76ab7f213164ef8c
f0357f969fbaf798095b43c9e7a0cfa7
f16785fc3650490604ab635303e61de2
جلوگیری
اگر چه هم اکنون تمامی آنتی ویروس ها قادر به شناسایی و پاک کردن Rocra هستند اما انجام فعالیت های زیر توسط همه مدیران و کاربران سیستم می تواند باعث جلوگیری و یا کاهش خطر این بدافزار شود:
- غیر فعال کردن ویژگی AutoRun یا AutoPlay سیستم برای جلوگیری از اجرای خودکار فایل های قابل اجرا در درایوهای قابل جابجایی؛
- · غیر فعال کردن درایوهای قابل جابجایی از طریق Setup سیستم. در صورت نیاز، فقط حالت read-only را فعال کرده و حتماً یک رمز عبور هم برای setup در نظر گرفت.
- · اصلاح نقاط آسیب پذیر سیستم عامل و نرم افزارهای نصب شده، به خصوص برنامه هایی که این بدافزار از آسیب پذیری های موجود در آن ها بهره می برد.
- · به روز رسانی نرم افزار ضد ویروس در فاصله های زمانی کوتاه مدت و فعال کردن گزینه به روز رسانی خودکار برای دریافت خودکار آخرین به روز رسانی ها؛
- · دسترسی به آدرس هایی که سرورهای کنترل و دستور این بدافزار هستند باید با استفاده از فایروال و مسیریاب، مسدود شده و با اضافه کردن به فایل local hosts به آدرس ۱۲۷٫۰٫۰٫۱ تغییر مسیر داده شوند.
- · استفاده از رمز عبور پیچیده که ترکیبی از عدد، حروف بزرگ و کوچک و نمادها می باشد برای کلمه عبور کاربران، به نحوی که این رمزها توسط حملات دیکشنری به راحتی قابل شناسایی و کشف نبوده و در عین حال، برای کاربران هم به یاد ماندنی باشد.
- · همه ارتباطات ورودی از اینترنت به سرویس های سازمان که نباید در دسترس عموم باشد را با استفاده از فایروال، غیر فعال کرده و تنها به سرویس هایی اجازه دهید که به مردم خدمات ارایه می دهند.
- · هرگز نباید با یوزر administrator یا root به سیستم login کرد. کاربران و برنامه ها هم باید پایین ترین سطح دسترسی لازم را داشته باشند.
- · غیرفعال کردن اشتراک گذاری منابع و فایل ها در شبکه اگر به اشتراک گذاری آن ها نیازی نیست. در صورت نیاز، از لیست های کنترل دسترسی استفاده کرده و مشخص نمایید که چه افراد یا کامپیوترهایی اجازه دسترسی به آن ها را دارند.
- · غیرفعال کردن و حذف سرویس های غیرضروری فعال در سیستم. اگر هم کد مخربی علیه یکی از سرویس ها پیدا شد، تا زمانیکه وصله امنیتی آن سرویس در سیستم نصب نشده است، آن سرویس را غیر فعال کرده و یا دسترسی به آن را محدود نمایید.
- · سرویس هایی همچون HTTP، FTP، Mail و DNS مهمترین سرویس های یک شبکه متصل به اینترنت هستند. بنابراین، همیشه وصله های امنیتی این سرویس ها را مهم درنظر گرفته و به روز نگهدارید. همچنین توسط فایروال، دسترسی به آن ها را کنترل نمایید.
- · پیکربندی سرویس دهنده پست الکترونیک در جهت حذف نامه های الکترونیکی که حاوی فایل ضمیمه است. از این فایل ها برای گسترش تهدیدهایی همچون .vbs، .bat ، .exe ، .pif و .scr استفاده می شود.
- · کامپیوترهای آلوده را به سرعت برای جلوگیری از گسترش بیشتر آلودگی در شبکه ایزوله کنید و تا زمانی که از برطرف شدن آلودگی مطمئن نشده اید، آن ها را وارد شبکه نکنید.
- · استفاده نکردن از بلوتوث در شبکه. در صورت نیاز، دید دستگاه را در حالت پنهان تنظیم کنید تا توسط دستگاه های دیگر پیدا نشده و حتماً از رمز عبور نیز برای برقراری ارتباط بین دستگاه ها استفاده کنید.
پیشگیری
پیشگیری از حوادث و کنترل امنیت سیستم نیاز به یک رویکرد چند لایه دارد که از آن با عنوان “دفاع در عمق” یاد می شود. این لایه، شامل سیاست ها و رویه ها، آگاهی و آموزش، تقسیم بندی شبکه، کنترل دسترسی ها، اقدام های امنیتی فیزیکی، سیستم های نظارتی همچون فایروال و ضد ویروس، سیستم های تشخیص و جلوگیری از نفوذ، رمز کاربری و غیره است.
بهترین روش برای پیشگیری هم معمولاً تجزیه و تحلیل خطر، شناسایی نقاط آسیب پذیر سیستم ها و شبکه، کنترل سیستم ارزیابی امنیتی و همچنین توسعه برنامه های اولویت بندی برای از بین بردن یا به حداقل رساندن ریسک خطر است.
منابع
[*=left]www.symantec.com/security_response
[*=left]www.securelist.com- کتاب امنیت اطلاعات، محمد مهدی واعظی نژاد،