ویروس KBOT، بدافزاری جدید با رفتاری کلاسیک

آی‌تی‌من- به گزارش مرکز افتا، به نقل از پایگاه اینترنتی ZDNet، گرچه زمانی ویروس‌ها و کرم‌های کامپیوتری سهم قابل توجهی از آلودگی‌ها را به خود اختصاص می‌دادند، اما مدت‌هاست که انواع دیگر از بدافزارها نظیر استخراج‌کنندگان رمزارز، اسب‌های تروا، باج‌افزارها و جاسوس‌افزارها به مراتب حضوری فعال‌تر در صحنه تهدیدات سایبری دارند. اما همچنان بدافزارهای جدیدی هستند که به نوعی یادآور دوران تاریک گذشته باشند. 

در یکی از تازه‌ترین نمونه‌ها، شرکت کسپرسکی از شناسایی بدافزار جدیدی با عنوان KBOT خبر داده که قابلیت آن در تزریق کد مخرب به فایل‌های اجرایی در سیستم‌عامل ویندوز موجب شده که این شرکت آن را نخستین ویروس زنده در سال‌های اخیر توصیف کند.

KBOT قادر است از طریق سیستم‌های قابل دسترس در سطح اینترنت، شبکه‌های محلی و حافظه‌های جداشدنی (Removable Drives) منتشر شود. به‌محض آلوده شدن سیستم با قرار دادن خود در بخش Startup، در کنار بهره‌گیری از فرامین زمانبندی‌شده (Scheduled Tasks) خود را بر روی دستگاه ماندگار کرده و در ادامه سبب آلوده شدن تمامی فایل‌های اجرایی ذخیره‌شده بر روی درایوها و پوشه اشتراکی بر سر راهش می‌شود.

همزمان با پویش درایوها، ویروس کدی چندشکلی (Polymorphic) را در فایل‌های اجرایی کپی کرده و توابع IWbemObjectSink را که قابلیتی در Win۳۲ است رونویسی می‌کند. همچنین KBOT رویدادهای ارتباطی بر روی درایوها را رصد کرده و از توابع NetServerEnum و NetShareEnum برای شناسایی مسیرها و منابع شبکه‌ای با هدف توزیع خود بر روی آنها بهره می‌گیرد.

همانند بسیاری دیگر از ویروس‌ها، KBOT با دست‌درازی به بخش تعیین‌کننده نقطه شروع اجرا (Entry Point) در کد فایل غیرآلوده موجب اجرای کد چندشکلی خود در زمان اجرای آن فایل می‌شود. در نتیجه آن نقطه شروع کد اصلی که پیش از آن در فایل قرار داشت از بین رفته و به همین خاطر عملکرد فایل پس از آلوده شدن حفظ نخواهد شد.

KBOT با استفاده از مجموعه‌ای از ابزارها و تکنیک‌های مبهم‌سازی (Obfuscation) از قبیل رمزگذاری رشته‌های مبتنی بر RC۴، پویش فایل‌های DLL مرتبط با محصولات ضدویروس و از کاراندازی آن‌ها، تزریق کد مخرب به پروسه‌های معتبر اجراشده، خود را از دید کاربر و محصولات امنیتی مخفی می‌کند.

ویروس به دست‌درازی به فایل‌های اجرایی بسنده نکرده و در ادامه با هدف سرقت داده‌های شخصی قربانی نظیر اصالت‌سنجی‌های استفاده‌شده در جریان ورود به سرویس‌های مالی و بانکی اقدام به تزریق وب می‌کند.

جعل (Spoofing) صفحات وب، اولویت اصلی KBOT است و بدین‌منظور ویروس توابعی از مرورگرهایی همچون گوگل کروم و فایرفاکس را در کنار توابع سیستمی مربوط به مدیریت ترافیک مورد دست‌درازی قرار می‌دهد.

قبل از آنکه سرقت قابل‌توجهی صورت بپذیرد بدافزار با برقرای ارتباط با با سرور فرماندهی (C۲) خود، فایل hosts.ini را که در آن نام دامنه‌های مورد نظر مهاجمان درج شده است به‌روزرسانی می‌کند. پیکربندی‌ها و مشخصه‌های ارتباط، رمزگذاری شده و موجب ارسال شناسه، نام و عنوان سیستم عامل دستگاه تسخیرشده و فهرستی از کاربران محلی و نرم‌افزارهای امنیتی آن را به سرور فرماندهی می‌شود.

فرامین ارسالی از سوی سرور فرماندهی شامل به‌روزرسانی فایل‌ها از جمله به‌روزرسانی ماژول‌های بدافزار و حذف فایل‌ها نظیر از کار انداختن ویروس (Self-destruction) است. همچنین KBOT قادر به دریافت ماژول‌های بدافزاری دیگر برای استخراج اطلاعات اصالت‌سنجی، فایل‌ها، اطلاعات سیستمی و داده‌های مرتبط با کیف‌های رمزارز (Cryptocurrency Wallet) است.

KBOT به سبب توانایی آن در توزیع سریع بر روی سیستم‌ها و شبکه محلی و آلوده‌سازی فایل‌های اجرایی بدون امکان بازگردانی آنها تهدیدی بسیار جدی تلقی می‌شود. این ویروس به‌طور محسوسی سیستم را در نتیجه تزریق کد مخرب به پروسه‌های سیستمی کند کرده و گردانندگان خود را قادر به دسترسی یافتن به سیستم آلوده از طریق نشست‌های Remote Desktop، استخراج داده‌های شخصی قربانی و سرقت اطلاعات بانکی او – با استفاده از تزریق‌های وب – می‌کند.