رفتن به مطلب
امیرعلی

سناریوی سرقت داده‌ها (Hancitor)

پست های پیشنهاد شده

به گزارش واحد امنیت مای بی بی اسکین این بدافزار نسخه‌های متفاوتی دارد که از طریق ضمیمه‌های فایل مخرب انتشار می‌یابد و بدافزارهای ویژه سرقت داده‌ها را منتشر می‌کند.

بدافزار هنکیتور (Hancitor) با دیگر نام‌های Chanitor یا TorDal یک بدافزار از نوع دانلودر است که تقریباً از سال 2014 پدیدار شده است. دانلودرها پس از استقرار در سیستم قربانی، با سرورهای C2 خود تماس برقرار کرده و تروجان‌ها، بات‌ها و دیگر انواع بدافزار را دانلود و نصب می‌کنند.

همان‌طور که در گزارش مرکز ماهر (مدیریت امداد و هماهنگی عملیات رخدادهای‌ رایانه‌ای) آمده است، در ماه می، محققان Proofpoint اعلام کردند که ظهور مجدد هنیکتور را مشاهده کردند.

این دانلودر خاص سه قابلیت اساسی دارد: دانلود فایل exe از یک url و اجرای آن، دانلود یک DLL از یک url و اجرای آن بدون نوشتن آن روی دیسک و در عوض نوشتن آن مستقیماً بر روی فضای حافظه دانلودر، حذف خود دانلودر.

هر یک از این دستورات ممکن است پس ارسال یک درخواست به سرور C2 از طرف دانلودر، دریافت شوند. این درخواست شامل اطلاعات شناسایی منحصربه‌فرد قربانی است و مهاجم را قادر می‌کند تا به‌سادگی قربانیان را کنترل کند.

سناریوی آلودگی

دانلودر هنکیتور تا زمان فعالیت کمپین اصلی در ژوئن 2112، تقریباً فعالیتی نداشته اما طی هفته‌های اخیر، در زمان انجام تحقیقات افزایش چشمگیری در ارسال خانواده بدافزار هنکیتور مشاهده‌شده است.

درعین‌حال، گزارش‌هایی از دیگر شرکت‌ها و محققان امنیتی مبنی بر فعالیت مشابه دریافت شده است. این بدافزار دانلودر، از طریق ضمیمه‌های فایل مخرب انتشار می‌یابد و بدافزارهای ویژه سرقت داده‌ها (مانند Pony و Vawtrak) را منتشر می‌کند.

البته به گفته محققان، شیوه‌ تحویل داده‌های واقعی (Payload) بدافزار هنکیتور با نسخه‌های قبلی آن متفاوت است.

جالب‌ترین تکنیک مربوط به توانایی بدافزار هنکیتور برای پنهان کردن فرمان‌های مخرب PowerShell است. به گفته محققان، زمانی که کاربر ماکروها را فعال کند، درواقع راهی برای ایجاد فرمان PowerShell بازخواهد کرد.

این بدافزار قطعات کد را برای سرهم‌بندی و تولید فرمان ترکیب می‌کند. بنا بر ادعای این محققان هکرها از اندازه فونت بسیار کوچک «1» برای پنهان کردن متن PowerShell استفاده می‌کنند که تشخیص آن را بسیار دشوار می‌کند.

تشابهات بدافزار هنکیتور با دیگر بدافزارها

در ماه می، اندکی پس‌ازاینکه هنکیتور برای اولین مرتبه بروز شد، Ruckguv در حال دانلود Vawtrak مشاهده شد. آخرین مرتبه‌ای که این دانلودر مشاهده شد، در دسامبر 2111 بود که بار مفید Crytowall را بارگذاری می‌کرد.

از آخرین مرتبه‌ای که دانلودر در داده‌های ProofPoint مشاهده‌شده، Ruckguv نیز تغییرات اساسی کرده و به‌روز شده است. تغییرات قابل‌توجه و خصوصیات جدید بدافزار عبارت‌اند از اینکه بار مفید دانلودشده در سیستم به‌جای سه نام فایل، با یک نام فایل احتمالی نوشته‌شده و قابلیت دانلود و اجرای DLL به نام Pony به‌عنوان یک ماژول فراهم‌شده است.

این بدافزار به‌صورت یک سند ورد آلوده و عمدتاً با استفاده از پیوست کردن این فایل به پیام‌های پست الکترونیکی منتشر می‌شود. شواهد و بررسی‌ها نشان می‌دهد که بدافزار هنکیتور نسخه‌های متفاوتی دارد که هر یک تفاوت کمی با دیگری دارد اما روال کلی کار آن‌ها مشابه یکدیگر است. این بدافزار دانلودر، از طریق ضمیمه‌های فایل مخرب انتشار می‌یابد و بدافزارهای ویژه سرقت داده‌ها (مانند Pony و Vawtrak) را منتشر می‌کند.

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر
مهمان
شما به عنوان کاربر مهمان در حال حاضر دیدگاه ارسال می کنید. اگر دارای حساب کاربری در سایت هستید لطفا وارد حساب کاربری خود شوید.
ارسال پاسخ به این موضوع ...

×   شما در حال چسباندن محتوایی با قالب بندی هستید.   حذف قالب بندی

  حداکثر استفاده از ۷۵ شکلک مجاز می باشد.

×   لینک شما به صورت اتوماتیک جای گذاری شد.   نمایش به عنوان یک لینک به جای

×   محتوای قبلی شما بازگردانی شد.   پاک کردن محتوای ویرایشگر

×   شما مستقیما نمی توانید تصویر خود را قرار دهید. یا آن را اینجا بارگذاری کنید یا از یک URL قرار دهید.


×