پژوهشگران امنیتی مایکروسافت جزئیاتی از یک بدافزار جدید را منتشر کردند که از ماه اکتبر سال ۲۰۱۸ در حال آلوده کردن رایانه‌های ویندوزی است تا برای ایجاد درآمد برای مهاجمان، منابع سیستم هدف را به جهت کاوش رمزارز مورد بهره‌برداری قرار دهد.

به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی ZDNet، بدافزار Dexphot در اواسط ماه ژوئن در سال جاری به اوج فعالیت خود رسید که رایانه‌های آلوده شده توسط آن به حدود ۸۰ هزار مورد رسید. پس از این تاریخ آلودگی‌های روزانه Dexphot کاهش یافت که به ادعای مایکروسافت این امر به دلیل پیاده‌سازی اقدامات دفاعی برای بهبود شناسایی و توقف آن‌هاست. در حالی که هدف نهایی بدافزار Doxphot بسیار پیش پا افتاده است، اما روش‌ها و تکنیک‌های استفاده شده در این بدافزار دارای پیچیدگی‌های بالایی هستند. این بدافزار یکی از تهدیدهای بی‌شماری است که در هر زمان فعال است. بدافزار دارای هدف رایجی است و با نصب یک کاوش‌گر رمز ارز، بطور کاملا مخفیانه منابع رایانه را به سرقت می‌برد و برای عوامل خود درآمدزایی می‌کند. تکنیک‌های پیشرفته Dexphot شامل اجرای بدون فایل، تکنیک‌های چندشکلی (polymorphic) و مکانیزم‌های پایداری بوت هوشمند و اضافی می‌شوند.

به گفته مایکروسافت، Dexphot یک بدافزار مرحله دوم است – نوعی بدافزار که بر روی سیستم‌هایی که قبلاً توسط سایر بدافزارها آلوده شده‌اند، منتقل می‌شوند. در این حالت، Dexphot روی رایانه‌هایی قرار می‌گیرد و قبلا به ICLoader آلوده شده بودند. ICLoader بدافزاری است که معمولاً به عنوان بخشی از بسته‌های نرم‌افزاری، بدون اطلاع کاربر یا در هنگام بارگیری و نصب کرک نرم‌افزارهای دزدی، در رایانه هدف نصب می‌شود. مایکروسافت می‌گوید که نصب‌کننده بدافزار تنها بخشی از Dexphot است که روی دیسک نوشته می‌شود، اما این کار تنها برای مدت زمان کوتاهی انجام می‌شود. تمام فایل‌ها یا عملیات Dexphot از یک تکنیک معروف به عنوان اجرای بدون فایل، بهره می‌گیرند که این تکنیک برای اجرا در حافظه رایانه استفاده شده و باعث مخفی ماندن حضور بدافزار روی یک سیستم می‌شود. علاوه بر این، Dexphot از تکنیکی بنام LOLbins استفاده می‌کند تا بجای استفاده از فایل‌ها و فرایندهای خود، از فرایندهای پردازشی قانونی ویندوز برای اجرای کد مخرب سوء استفاده کند. به عنوان مثال، Dexphot مرتباً از فایل‌های اجرایی از پیش نصب شده msiexec.exe ،unzip.exe ،rundll۳۲.exe ، schtasks.exe و owershell.exe سوء استفاده می‌کند. با استفاده از این فرایندها برای راه اندازی و اجرای کد مخرب، Dexphot به خوبی از سایر برنامه‌های محلی ویندوز غیر قابل تشخیص می‌شود.

از دیگر پیچیدگی‌های Dexphot، استفاده از تکنیک چندشکلی (polymorphism) است. این تکنیک به بدافزارهایی اطلاق می‌شود که به طور مداوم اثرات خود را تغییر می‌دهند. طبق گفته مایکروسافت، اپراتورهای Dexphot هر ۲۰ الی۳۰ دقیقه یک بار نام فایل‌ها و URLهای مورد استفاده در فرایند آلودگی را تغییر می‌دهند. با بهره‌گیری از این تکنیک، راهکارهای ضدبدافزار به سختی می‌توانند Dexphot را شناسایی کنند. زمانی که یک برنامه ضدویروس الگوی موجود در زنجیره آلودگی Dexphot را تشخیص دهد، این الگو تغییر کرده و به اپراتور Dexphot اجازه می‌دهد تا یک قدم جلوتر از محصولات امنیتی باشند.

اما هیچ بدافزاری برای همیشه کشف نشده باقی نمی‌ماند و حتی این مورد را نیز توسعه‌دهندگان Dexphot از قبل پیش‌بینی کرده‌اند. مایکروسافت می‌گوید Dexphot دارای مکانیزم‌های پایداری هوشمندانه است که اغلب سیستم‌هایی را که از کلیه اثرات بدافزار پاک نشده‌اند، دوباره آلوده می‌کند. در ابتدا، بدافزار از تکنیکی بنام process hollowing استفاده می‌کند تا دو فرآیند مشروع (svchost.exe و nslookup.exe) را آغاز کند، محتوای آن‌ها را خالی کرده و کد مخرب را از درون آنها اجرا کند. این دو فرایند بدافزار را رصد می‌کنند تا در صورتی که یک نرم‌افزار ضدویروس یکی را حذف کند، فرایند دوم به عنوان پشتیبان عمل کرده و سیستم را دوباره آلوده کند. قابلیت دیگر بدافزار، آلودگی‌سازی مجدد سیستم هدف طی هر راه‌اندازی مجدد و یا هر ۹۰ الی ۱۱۰ دقیقه است. از آنجا که این فعالیت‌های برنامه‌ریزی شده در فواصل منظم انجام می‌شوند، عوامل Dexphot دارای قابلیت به‌روزرسانی سیستم‌های آلوده شده نیز هستند. با هربار اجرای این فعالیت‌های برنامه‌ریزی شده، فایلی از سرور مهاجم دریافت می‌شود که حاوی دستورالعمل‌های به‌روز شده برای بدافزار است. به گفته مایکروسافت، اقدامات دفاعی جدیدی برای بهبود شناسایی و توقف این بدافزار در Microsoft Defender اعمال شده است تا حفاظت جامع در قبال این بدافزار انجام شود.

نشانه‌های آلودگی (IoC):

•    ۷۲acaf۹ff۸a۴۳c۶۸۴۱۶۸۸۴a۳fff۳b۲۳e۷۴۹b۴bb۸fb۳۹e۱۶f۹۹۷۶۶۴۳۳۶۰ed۳۹۱f
•    ۲۲beffb۶۱cbdc۲e۰c۳eefaf۰۶۸b۴۹۸b۶۳a۱۹۳b۲۳۹۵۰۰dab۲۵d۰۳۷۹۰c۴۶۷۳۷۹e۳
•    ۶۵eac۷f۹b۶۷ff۶۹cefed۲۸۸f۵۶۳b۴d۷۷۹۱۷c۹۴c۴۱۰c۶c۶c۴e۴۳۹۰db۶۶۳۰۵ca۲a
•    ba۹۴۶۷e۰d۶۳ba۶۵bf۱۰۶۵۰a۳c۸d۳۶cd۲۹۲b۳f۸۴۶۹۸۳۰۳۲a۴۴a۸۳۵e۵۹۶۶bc۷e۸۸
•    ۵۳۷d۷fe۳b۴۲۶۸۲۷e۴۰bbdd۱d۱۲۷ddb۵۹effe۱e۹b۳c۱۶۰۸۰۴df۸۹۲۲f۹۲e۰b۳۶۶e
•    ۵۰۴cc۴۰۳e۰b۸۳۲۳۳f۸d۲۰c۰c۸۶b۰۶۱۱facc۰۴۰b۸۶۸۹۶۴b۴afbda۳۲۱۴a۲c۸e۱c۵
•    aa۵c۵۶fe۰۱af۰۹۱f۰۷c۵۶ac۷cbd۲۴۰۹۴۸ea۶۴۸۲b۶۱۴۶e۰d۳۸۴۸d۴۵۰۹۷۷dff۱۵۲

منبع خبر: مرکز مدیریت راهبردی افتا