ویروس KBOT، بدافزاری جدید با رفتاری کلاسیک
تاریخ انتشار
شنبه ۳ اسفند ۱۳۹۸ ساعت ۲۳:۳۳
آیتیمن- به گزارش مرکز افتا، به نقل از پایگاه اینترنتی ZDNet، گرچه زمانی ویروسها و کرمهای کامپیوتری سهم قابل توجهی از آلودگیها را به خود اختصاص میدادند، اما مدتهاست که انواع دیگر از بدافزارها نظیر استخراجکنندگان رمزارز، اسبهای تروا، باجافزارها و جاسوسافزارها به مراتب حضوری فعالتر در صحنه تهدیدات سایبری دارند. اما همچنان بدافزارهای جدیدی هستند که به نوعی یادآور دوران تاریک گذشته باشند.
در یکی از تازهترین نمونهها، شرکت کسپرسکی از شناسایی بدافزار جدیدی با عنوان KBOT خبر داده که قابلیت آن در تزریق کد مخرب به فایلهای اجرایی در سیستمعامل ویندوز موجب شده که این شرکت آن را نخستین ویروس زنده در سالهای اخیر توصیف کند.
KBOT قادر است از طریق سیستمهای قابل دسترس در سطح اینترنت، شبکههای محلی و حافظههای جداشدنی (Removable Drives) منتشر شود. بهمحض آلوده شدن سیستم با قرار دادن خود در بخش Startup، در کنار بهرهگیری از فرامین زمانبندیشده (Scheduled Tasks) خود را بر روی دستگاه ماندگار کرده و در ادامه سبب آلوده شدن تمامی فایلهای اجرایی ذخیرهشده بر روی درایوها و پوشه اشتراکی بر سر راهش میشود.
همزمان با پویش درایوها، ویروس کدی چندشکلی (Polymorphic) را در فایلهای اجرایی کپی کرده و توابع IWbemObjectSink را که قابلیتی در Win۳۲ است رونویسی میکند. همچنین KBOT رویدادهای ارتباطی بر روی درایوها را رصد کرده و از توابع NetServerEnum و NetShareEnum برای شناسایی مسیرها و منابع شبکهای با هدف توزیع خود بر روی آنها بهره میگیرد.
همانند بسیاری دیگر از ویروسها، KBOT با دستدرازی به بخش تعیینکننده نقطه شروع اجرا (Entry Point) در کد فایل غیرآلوده موجب اجرای کد چندشکلی خود در زمان اجرای آن فایل میشود. در نتیجه آن نقطه شروع کد اصلی که پیش از آن در فایل قرار داشت از بین رفته و به همین خاطر عملکرد فایل پس از آلوده شدن حفظ نخواهد شد.
KBOT با استفاده از مجموعهای از ابزارها و تکنیکهای مبهمسازی (Obfuscation) از قبیل رمزگذاری رشتههای مبتنی بر RC۴، پویش فایلهای DLL مرتبط با محصولات ضدویروس و از کاراندازی آنها، تزریق کد مخرب به پروسههای معتبر اجراشده، خود را از دید کاربر و محصولات امنیتی مخفی میکند.
ویروس به دستدرازی به فایلهای اجرایی بسنده نکرده و در ادامه با هدف سرقت دادههای شخصی قربانی نظیر اصالتسنجیهای استفادهشده در جریان ورود به سرویسهای مالی و بانکی اقدام به تزریق وب میکند.
جعل (Spoofing) صفحات وب، اولویت اصلی KBOT است و بدینمنظور ویروس توابعی از مرورگرهایی همچون گوگل کروم و فایرفاکس را در کنار توابع سیستمی مربوط به مدیریت ترافیک مورد دستدرازی قرار میدهد.
قبل از آنکه سرقت قابلتوجهی صورت بپذیرد بدافزار با برقرای ارتباط با با سرور فرماندهی (C۲) خود، فایل hosts.ini را که در آن نام دامنههای مورد نظر مهاجمان درج شده است بهروزرسانی میکند. پیکربندیها و مشخصههای ارتباط، رمزگذاری شده و موجب ارسال شناسه، نام و عنوان سیستم عامل دستگاه تسخیرشده و فهرستی از کاربران محلی و نرمافزارهای امنیتی آن را به سرور فرماندهی میشود.
فرامین ارسالی از سوی سرور فرماندهی شامل بهروزرسانی فایلها از جمله بهروزرسانی ماژولهای بدافزار و حذف فایلها نظیر از کار انداختن ویروس (Self-destruction) است. همچنین KBOT قادر به دریافت ماژولهای بدافزاری دیگر برای استخراج اطلاعات اصالتسنجی، فایلها، اطلاعات سیستمی و دادههای مرتبط با کیفهای رمزارز (Cryptocurrency Wallet) است.
KBOT به سبب توانایی آن در توزیع سریع بر روی سیستمها و شبکه محلی و آلودهسازی فایلهای اجرایی بدون امکان بازگردانی آنها تهدیدی بسیار جدی تلقی میشود. این ویروس بهطور محسوسی سیستم را در نتیجه تزریق کد مخرب به پروسههای سیستمی کند کرده و گردانندگان خود را قادر به دسترسی یافتن به سیستم آلوده از طریق نشستهای Remote Desktop، استخراج دادههای شخصی قربانی و سرقت اطلاعات بانکی او – با استفاده از تزریقهای وب – میکند.
مرجع : مرکز افتا