به گزارش مرکز مدیریت راهبردی افتا، طبق آمار سایت Varonis در سال ۲۰۲۱ در هر ۱۱ ثانیه یک حمله باج افزاری رخ میدهد. با این حساب، باید با افزایش آگاهی در سطح فرد و سازمان، از وقوع این حملات پیشگیری کرد.
در این مطلب قصد داریم یکی از انواع خطرناک باجافزار را معرفی و شاخصههای شناسایی آن را با هدف پیشگیری و مقابله، ارائه کنیم.
باج افزار XRED
باج افزار XRED یک برنامه مخرب و از خانواده ویروسهای AutoRun و NjRat است. این باج افزار تصاویر، ویدیوها، اسناد و فایلهای مهم مانند .doc، .docx، xls.، pdf. سیستم قربانی را اسکن میکند. وقتی این فایلها شناسایی شدند، باجافزار آنها را رمزگذاری کرده و پسوند آنها را به چهار حرف تصادفی تغییر میدهد. در ادامه، فایل “read_it.txt” را ایجاد کرده و تصویر زمینه دسکتاپ را تغییر میدهد.
فایل “read_it.txt” حاوی یادداشت باجگیری و دستورالعملهای نحوه تماس با نویسندگان این باجافزار است. نمونههایی از فایل متنی ایجادشده و اسکرین شات فایلهای رمزگذاری شده توسط این باج افزار در شکل 1 ارائهشده است.
اغلب اوقات، کاربران از طریق ایمیل، تروجانها، ابزارهای بهروزرسانی جعلی، فایلهای دانلود شده از منابع غیرقابلاعتماد و ابزارهای کرک نرمافزار، رایانهها را با باجافزار آلوده میکنند. در همه موارد، آلودگی به بدافزار و انتشار آن، زمانی اتفاق میافتد که کاربران خودشان باجافزار را اجرا کنند.
کد باج افزار در دلفی 7 نوشتهشده که با سیستمهای XP و نسخههای بالاتر ویندوز سازگار است. این بدافزار مطابق شکل 2 یک دایرکتوری Synaptics در مسیر C:\ProgramData\ سیستم آلوده ایجاد میکند که حاوی فایل مخرب اصلی است. درواقع بدافزار با عنوان “Synaptics touchpad driver” پنهانشده است.
فایلهای EXE 32 بیتی و فایلهای xlsx در دایرکتوریهای Desktop، Documents و Downloads دستگاه آلوده افزوده میشوند و بهصورت بازگشتی فایلهای فرعی را نیز آلوده میکند. زمانی که فایلها با دیگران به اشتراک گذاشته میشوند، آلودگی گسترش مییابد. درواقع آلودگی مطابق شکل 3 توسط دو تابع SHGetSpecialFolderLocation و SHGetPathFromIDListA که ماژول Worm بدافزار هستند، صورت میگیرد.
فایل اصلی بدافزار در بخش کد منبع “EXERESX” فایل ویروس بستهبندیشده، نماد فایل ویروس با نماد فایل اصلی جایگزین و درنهایت فایل اصلی با فایل ویروس جایگزین میشود.
فرآیند انتشار ویروس به این شرح است که فایل اصلی مطابق شکل 4 در فایلی که با _cache_. شروعشده، منتشر میشود، ویژگی این فایل روی System و Hidden تنظیم میشود، حتی اگر گزینه نمایش فایل مخفی روشن باشد نیز این فایل به نمایش درنخواهد آمد.
آلودگی فایلهای xlsx از طریق اجزای COM انجام میشود. بخش کد منبع “XLSM” فایل ویروس، حاوی یک فایل xlsm حاوی کد ماکرو مخرب است. دادههای موجود در xlsx اصلی در فایل xlsm حاوی کد ماکرو کپی میشود. درنهایت، فایل xlsx اصلی را جایگزین و یک فایل ~$chac1 را دوباره در دایرکتوری ایجاد میشود. وجود این فایل در پوشه نشان میدهد که فایلهای xlsx در این مسیر بهصورت فایلهای xlsm آلوده هستند، این فایل دادهها خود فایل ویروس است و ویژگیهای فایل نیز روی System و Hidden تنظیم میشود. پسوند فایل xlsx آلوده، به xlsm تغییر میکند و محتوای آن مانند قبل خواهد بود.
دیگر ماژول این بدافزار ارسال ایمیل است که از کتابخانه بستهبندیشده در دلفی استفاده میشود، سرور ایمیل smtp.gmail.com است، آدرس ایمیل مقصد برای ارسال ایمیل xredline1@gmail.com است. ثبت کلید، تنظیم Message Hook، فایل dll در قسمت کد منبع “KBHKS” فایل ویروس قرار دارد. ماژول کنترل از راه دور، Rebound Shell، اسکرین شات، آپلود و دانلود فایل نیز جز دیگر ماژولهای این بدافزار است. همچنین این بدافزار بهصورت Self-Starting بهطور مستقیم رجیستری را با استفاده از کتابخانه محصورشده در دلفی اجرا میکند.
غالب رفتارهای سیستم آلوده بدین شرح است که با باز کردن فایل XLSX ماکرو اجرا و محتوای فایل تغییر خواهد کرد. مهمترین ویژگی این است که با بستن فایل پسوند فایل را به xlsm تغییر میدهد. همچنین دامنه مخرب xred.mooo.com در درخواستهای DNS هر 10 دقیقه یکبار درخواست میشود.
نمونه روش شناسایی و IOC های مرتبط با این باج افزار در جدول 1 ارائهشده است.
منبع:
