هکرها شروع به استفاده از بارگذاری جانبی DLL دوگانه برای فرار از شناسایی میکنند
یک گروه هک APT که با نامهای «نفس اژدها»، «سگ چشم طلایی» یا «APT-Q-27» شناخته میشود، روند جدیدی را در استفاده از چندین تغییر پیچیده از تکنیک کلاسیک بارگذاری جانبی DLL برای فرار از شناسایی نشان میدهد.
این تغییرات حمله با یک بردار اولیه شروع میشود که از یک برنامه کاربردی تمیز استفاده میکند، اغلب تلگرام، که یک بار مرحله دوم را بارگذاری میکند، گاهی اوقات نیز پاک، که به نوبه خود، بارگزاری DLL بدافزار مخرب را بارگذاری میکند.
جذابیت قربانیان، برنامههای تروجانی تلگرام، LetsVPN یا WhatsApp برای اندروید، iOS یا ویندوز است که ظاهرا برای مردم چین بومیسازی شدهاند، اعتقاد بر این است که برنامههای تروجانیشده با استفاده از BlackSEO یا malvertizing تبلیغ میشوند.
به گفته تحلیلگران Sophos که حملات اخیر این بازیگر تهدید را دنبال کردند، دامنه هدفقراردادن این کمپین بر روی کاربران چینی زبان ویندوز در چین، ژاپن، تایوان، سنگاپور، هنگ کنگ و فیلیپین متمرکز شده است.
نمودار حمله عمومی (Sophos)
بارگذاری جانبی DLL دوگانه
بارگذاری جانبی DLL تکنیکی است که از سال 2010 توسط مهاجمان مورد سوءاستفاده قرار میگیرد و از روش ناامن ویندوز برای بارگیری فایلهای DLL (کتابخانه پیوند پویا) مورد نیاز یک برنامه استفاده میکند.
مهاجم یک DLL مخرب با همان نام DLL قانونی و مورد نیاز را در دایرکتوری برنامه قرار میدهد، هنگامی که کاربر فایل اجرایی را راهاندازی میکند، ویندوز DLL مخرب محلی را بر DLL موجود در پوشههای سیستم اولویت میدهد.
DLL مهاجم حاوی کدهای مخربی است که در این مرحله بارگیری میشود و با سوءاستفاده از برنامه قابل اعتماد و امضاشدهای که در حال بارگیری آن است، به مهاجم امتیازات یا دستورات اجرای بر روی هاست را میدهد.
در این کمپین، قربانیان نصبکننده برنامههای ذکرشده را اجرا میکنند که اجزایی را روی سیستم رها میکند و یک میانبر دسکتاپ و یک ورودی راهاندازی سیستم ایجاد میکند.
اگر قربانی بجای راهاندازی برنامهکاربردی، میانبر دسکتاپ تازه ایجادشده را که اولین قدم مورد انتظار است ،راهاندازی کند، دستور زیر بر روی سیستم اجرا میشود.
فرمان اجراشده در سیستم نقضشده (Sophos)
این فرمان یک نسخه تغییرنامیافته از 'regsvr32.exe' ('appR.exe') را برای اجرای یک نسخه تغییرنامیافته از 'scrobj.dll' ('appR.dll') اجرا میکند و یک فایل DAT ('appR.dat') را به عنوان ارائه میکند، ورودی به آن DAT حاوی کد جاوا اسکریپت برای اجرا توسط کتابخانه موتور اجرای اسکریپت ('appR.dll') است.
کد جاوا اسکریپت رابط کاربری برنامه تلگرام را در پیشزمینه راهاندازی میکند و درعینحال اجزای مختلف جانبی بارگذاری را در پسزمینه نصب میکند.
در مرحله بعد، نصبکننده یک برنامه مرحله دوم را با استفاده از یک وابستگی تمیز ('libexpat.dll') بارگیری میکند تا یک برنامه تمیز دوم را به عنوان مرحله حمله میانی بارگیری کند.
در یکی از انواع حمله، برنامه تمیز "XLGame.exe" به "Application.exe" تغییر نام داده است، و لودر مرحله دوم نیز یک فایل اجرایی تمیز است که توسط Beijing Baidu Netcom Science and Technology Co., Ltd. امضا شده است.
نمودار نوع حمله اول (Sophos)
در یکی دیگر از تغییرات، لودر تمیز مرحله دوم "KingdomTwoCrowns.exe" است که به صورت دیجیتالی امضا نشده است و Sophos نمیتواند تشخیص دهد که علاوهبر مبهمکردن زنجیره اجرا، چه مزیتی را ارائه میدهد.
در نسخه سوم حمله، لودر مرحله دوم فایل اجرایی تمیز "d3dim9.exe" است که به صورت دیجیتالی توسط HP Inc امضا شده است.
فایل اجرایی با امضای HP (Sophos)
این تکنیک "دو بار جانبی DLL" به فرار، مبهمسازی و تداوم دست مییابد و تطبیق با الگوهای حمله خاص و محافظت موثر از شبکههای خود را برای مدافعان دشوارتر میکند.
محموله نهایی
در تمام تغییرات حمله مشاهدهشده، DLL بار نهایی از یک فایل txt ('templateX.txt') رمزگشایی شده و بر روی سیستم اجرا میشود.
این payload یک دربپشتی است که از چندین دستور مانند راهاندازی مجدد سیستم، تغییر کلید رجیستری، واکشی فایلها، سرقت محتوای کلیپبورد، اجرای دستورات در یک پنجره مخفی CMD و غیره پشتیبانی میکند.
درپشتی همچنین افزونه کروم کیف پول رمزنگاری MetaMask را هدف قرار میدهد و هدف آن سرقت داراییهای دیجیتال از قربانیان است.
بهطورخلاصه، بارگذاری جانبی DLL همچنان یک روش حمله موثر برای هکرها است و مایکروسافت و توسعهدهندگان برای بیش از یک دهه نتوانستهاند به آن رسیدگی کنند.
در آخرین حمله APT-Q-27، تحلیلگران تغییرات جانبی بارگذاری DLL را مشاهده کردند که ردیابی آنها چالشبرانگیز است، ازاینرو آنها به زنجیره عفونت مخفیتری دست مییابند.
منبع
نوشته
 |
|
| بیجاری | |
| ایجاد شده در | 23 اردیبهشت 1402 |
| بازدید | 23 |
