توزیع تروجان Grobios توسط کیت بهره‌برداری RIG

 

محققان حوزه‌ی بدافزار از شرکت امنیتی فایرآی از فعالیت‌های کیت‌ بهره‌برداری RIG برای توزیع تروجانی با نام Grobios خبر دادند. محققان اعلام کرده‌اند از سال ۲۰۱۶ میلادی که کیت‌های بهره‌برداری Angler و Nuclear ناپدید شده‌اند، فعالیت این کیت‌ها بسیار کاهش پیدا کرده است. ولی اخیرا پویشی از طرف کیت بهره‌برداری RIG مشاهده شده که تروجان Grobios را توزیع می‌کند که فرآیند آلودگی در شکل زیر نمایش داده شده است:


محققان اعلام کردند قربانی هنگام بازدید از وب‌سایت آلوده به دامنه‌ی مخرب latorre[.]com[.]au که در آن iframe آلوده تزریق شده هدایت می‌شود. این iframe دامنه‌ی مخربی را بارگذاری می‌کند که کیت بهره‌برداری RIG بر روی آن میزبانی می‌شود. این دامنه نیز در نهایت یک فایل فلش را بارگذاری می‌کند. وقتی قربانی این فایل فلش را باز می‌کند، تروجان Grobios بر روی سیستم نصب خواهد شد. 


براساس تحلیل‌های محققان امنیتی، تروجان Grobios دارای سازوکارهای فرار از تشخیص بوده و از راه‌کارهای ماندگاری بر روی سیستم قربانی نیز بهره می‌برد و قربانی به راحتی نمی‌تواند آن را حذف کند. بدافزار برای ماندگاری بر روی سیستم از راه‌های زیر اقدام می‌کند:

                                    
تروجان یک رونویس از خودش را در فولدر %APPDATA% کپی می‌کند و خودش را جای برنامه‌های قانونی که بر روی سیستم نصب شده‌اند جا می‌زند. در ادامه نیز یک کلید رجیستری اتوران و یک کلید میان‌بر در فولدر شروع ویندوز ایجاد می‌کند. تروجان همچنین چند نسخه از خودش را در مسیر %ProgramFiles%/%PROGRAMFILES(X86)% کپی می‌کند و خود را جای برنامه‌ی قانونی نصب‌شده در نسخه‌های مختلف جا زده و یک کلید رجیستری اتوران و یا یک وظیفه‌ی زمان‌بندی‌شده ایجاد می‌کند. بدافزار همچنین خود را در پوشه‌ی %Temp% کپی کرده و برای اجرای آن یک وظیفه‌ی زمان‌بندی‌شده ایجاد می‌کند.


تروجان همچنین برای فرار از تشخیص از روش‌های مختلف ضد-تحلیل، ضد-عیب‌یابی و ضد-ماشین مجازی استفاده می‌کند. تروجان Grobios پس از انجام تحلیل‌های لازم برای اینکه تشخیص دهد در ماشین مجازی و یا محیط‌های تحلیل در حال اجرا شدن نیست، در ادامه برای دریافت دستورات با سرور دستور و کنترل ارتباط برقرار می‌کند. 
 

منبع

پست‌های مشابه

Leave a Comment