بدافزار سايبري هوشمند اكتبر سرخ؛ از شناخت تا پاك سازي

بدافزار سايبري هوشمند اكتبر سرخ؛ از شناخت تا پاك سازي
  • 1391/11/1
  • محمد مهدی واعظی نژاد
  • 3

مقدمه

در طول چند سال گذشته، سطح بالايي از جاسوسي سايبري با هدف قرار دادن شبكه هاي رايانه اي سازمان هاي پژوهشي، ديپلماتيك، دولتي و علمي به منظور نفوذ، جمع آوري داده ها و اطلاعات از دستگاه هاي تلفن همراه، سيستم هاي رايانه اي و تجهيزات شبكه، به طور گسترده اي در سطح جهان، در جريان بوده است. بدافزار “اكتبر سرخ” يكي از اين شبكه هاي جاسوسي سايبري پيشرفته است كه سازمان هاي ديپلماتيك و دولتي بزرگ را مورد هدف خويش قرار داده است.

محققان آزمايشگاه تحقيقات امنيتي كسپرسكي، چندين ماه را صرف تجزيه و تحليل اين بدافزار كه با عنوان “Rocra”، كوتاه شده عبارت اكتبر سرخ، شناخته مي شود، كرده و دريافته اند كه سازمان هاي خاصي را به طور عمده در شرق اروپا، كشورهاي عضو اتحاد جماهير شوروي سابق و كشورهاي آسياي ميانه، همچنين در غرب اروپا و شمال آمريكا هدف قرار داده است.

قربانيان Rocra، در 39 كشور جهان شناسايي شده اند و تلاش ها براي شناسايي ساير قربانيان نيز در حال انجام است:

 اکتبر سرخ-محمد مهدی واعظی نژاد

بدافزار Rocra تاكنون صدها قرباني در 8 گروه اصلي زير در سراسر جهان داشته است هر چند كه ممكن است بخش هاي ديگري را نيز مورد هدف خويش قرار داده باشد كه هنوز كشف نشده اند و يا در گذشته مورد حمله قرار گرفته اند.:

  • ارگان هاي دولتي
  • مراكز ديپلماتيك / سفارتخانه ها
  • مؤسسه هاي تحقيقاتي
  • مراكز تجاري و بازرگاني
  • نيروگاه / تأسيسات هسته اي
  • شركت هاي نفت و گاز
  • مراكز هوا و فضا
  • نيروهاي نظامي

در شكل زير، ميزان توزيع بدافزار Rocra در هر يك از موارد بالا، نشان داده شده است:

اکتبر سرخ-محمد مهدی واعظی نژاد

محققان كسپرسكي كه موفق به شناسايي اين بدافزار شده اند، اعتقاد دارند كه مهاجمان حداقل به مدت 5 سال با تمركز بر روي سازمان هاي ديپلماتيك و دولتي كشورهاي مختلف، مشغول جمع آوري اطلاعات از شبكه هاي آلوده بوده اند كه از اين اطلاعات در حملات بعدي خويش استفاده نموده اند. به عنوان مثال، اعتبارهاي سرقت شده كه در يك ليست، وارد مي شدند و هنگامي كه مهاجمان نياز به حدس زدن كلمات عبور و اعتبار شبكه در مكان هاي ديگر داشته اند از آن ها استفاده مي نمودند.

طراحان Rocra براي كنترل شبكه اي از ماشين هاي آلوده و همچنين كنترل و بازيابي داده هاي قربانيان، بيش از 60 دامنه اينترنتي و چندين سرور ميزبان محلي را در كشورهاي مختلف ايجاد كرده اند كه بررسي IPها نشان مي دهد كه سرورهاي كنترل و دستور آن به طور عمده در كشورهاي روسيه و آلمان واقع شده اند.

اين بدافزار هنوز هم با ارسال داده هايي به سرورهاي كنترل و دستور متعدد خود از طريق پيكربندي كه قبلاً در پيچيدگي هاي زيرساختي بدافزار شعله مشاهده شده است، در حال فعاليت است و تخمين زده مي شود كه تاكنون صدها ترابايت اطلاعات را جابجا كرده باشد.

موفقيت حمله Rocra كه حتي سازمان هاي تحقيقاتي و مؤسسه هاي نظامي را نيز شامل مي شود نشانگر ضعف جدي در حفاظت سايبري از زيرساخت هاي رايانه اي در سراسر دنيا است كه در كشور ما نيز تاكنون 7 مركز مهم آلوده به آن شناسايي شده اند.

ساير نام ها

اين بدافزار  در شركت هاي امنيتي، به نام هاي زير شناخته مي شود:

Red October [Kaspersky] , Backdoor.Rocra [Symantec] , Backdoor.Rocra!gen1 [Symantec] , Backdoor.Rocra!gen2 [Symantec]

سيستم هاي آسيب پذير

Windows 2000 , Windows 7 , Windows NT , Windows Vista , Windows XP , Windows 95 , Windows 98

 

پراكنش جغرافيايي

بدافزار Rocra كه شبكه هاي دولتي و نهادهاي ديپلماتيك را هدف قرار داده است، گزارش هايي از توزيع آن در شرق اروپا، كشورهاي عضو اتحاد جماهير شوروي سابق، كشورهاي آسياي ميانه، شمال آمريكا و كشورهاي اروپاي غربي مانند سوئيس و لوكزامبورگ وجود دارد.

گزارش شبكه امنيتي كسپرسكي (KSN) ليستي از كشورهاي با بيشترين ميزان آلودگي (فقط براي كشورهاي با بيش از 5 قرباني) را در جدول زير نشان مي دهد. آمارهاي ارايه شده، فقط توسط نرم افزار كسپرسكي كه بر روي سيستم هاي آلوده نصب مي باشد گزارش شده و مسلماً تعداد واقعي سيستم هاي آلوده، بسيار بالاتر از اين خواهد بود:

نام كشور

ميزان آلودگي

روسيه

35

قزاقستان

21

آذربايجان

15

بلژيك

15

هند

14

افغانستان

10

ارمنستان

10

ايران

7

تركمنستان

7

اوكراين

6

ايالات متحده آمريكا

6

ويتنام

6

بلاروس

5

يونان

5

ايتاليا

5

مراكش

5

پاكستان

5

سوئيس

5

اوگاندا

5

امارات متحده عربي

5

در شكل زير، توزيع اين بدافزار، بر روي نقشه جهان همراه با مراكز آلوده شناسايي شده توسط كسپرسكي نشان داده شده است:

اکتبر سرخ-محمد مهدی واعظی نژاد

شكل زير نيز مناطق توزيع شده بدافزار Rocra را كه توسط شركت امنيتي سيمانتك تهيه شده است، نشان مي دهد:

اکتبر سرخ-محمد مهدی واعظی نژاد

تاريخچه كشف

اطلاعات ثبت شده براي خريد نام هاي دامنه اينترنتي سرورهاي كنترل و دستور بدافزار Rocra و مقايسه PE اجرايي جمع آوري شده از آن، نشان مي دهد كه اين بدافزار از مه سال 2007 حداقل براي مدت 5 سال بدون شناسايي شدن، در حال فعاليت بوده است.

نخستين بار، محققان كسپرسكي اين بدافزار را در اكتبر سال 2012 توسط درخواست يكي از همكاران خود كشف كردند كه ترجيح مي دهند اين همكار، همچنان ناشناس باقي بماند. آنگاه با تجزيه و تحليل حمله، فيشينگ و ماژول هاي بدافزار Rocra، مقياس آن را درك كرده و تشريح بدافزار شناسايي شده را به طور عميق آغاز نمودند.

بدافزار Rocra در تاريخ 14 ژانويه 2013 نيز توسط شركت امنيتي سيمانتك كشف گرديده و مورد تجزيه و تحليل فني قرار مي گيرد.

نامگذاري

بدافزار Rocra، كوتاه شده عبارت اكتبر سرخ (Red October) مي باشد كه احتمالاً نامش از زيردريايي به همين نام، در رمان “شكار اكتبر سرخ” كه توسط نويسنده اي روسي نوشته شده، برگرفته شده است.

اکتبر سرخ-محمد مهدی واعظی نژاد

طراحي و سازماندهي

محققان كسپرسكي، بر اساس داده هاي ثبت شده از سرورهاي كنترل و دستور اين بدافزار و همچنين آثار متعدد اجرايي آن، به شدت بر اين باور هستند كه مهاجمان، مليت روسي زبان داشته اند. آن ها معتقدند كه اگر چه با اطلاعات به دست آمده، نمي توان به مكان خاصي اشاره نمود اما با اين حال مي توان بر روي دو عامل مهم پافشاري نمود:

  • به نظر مي رسد كه كدهاي مخرب توسط هكرهاي چيني نوشته شده اند.
  • ماژول هاي بدافزاري Rocra توسط افرادي روس زبان ايجاد گشته اند.

چندين ماژول Rocra داراي غلط ها و اشتباه هاي املايي جالبي هستند كه بر شدت اين نظريه، مي افزايند:

  • network_scanner: “SUCCESSED”, “Error_massage”, “natrive_os”, “natrive_lan”
  • imapispool: “UNLNOWN_PC_NAME”, “WinMain: error CreateThred stop”
  • mapi_client: “Default Messanger”, “BUFEER IS FULL”
  • msoffice_plugin: “my_encode my_dencode”
  • winmobile: “Zakladka injected”, “Cannot inject zakladka, Error: %u”
  • PswSuperMailRu: “——-PROGA START—–“, “——-PROGA END—–“

واژه”PROGA” كه در كد بالا استفاده شده، ممكن است به ترجمه اي از زبان روسي عاميانه “ПРОГА” كه در معناي واقعي كلمه، به معني يك برنامه يا برنامه اي در ميان مهندسان نرم افزار روسي است، اشاره داشته باشد.

به طور خاص، “Zakladka” در روسيه مي تواند به معناي “bookmark” يا (به احتمال زياد) در اصطلاح عاميانه به معني “قابليت هاي اعلام نشده”، مثلاً در نرم افزار يا سخت افزار باشد. با اين حال، همچنين امكان دارد كه يك ميكروفون جاسازي شده در يك آجر از ساختمان سفارت باشد.

همچنين كلاس c++ اين بدافزار كه داراي پارامترهاي قابل پيكربندي سرورهاي كنترل و دستور آن است، “MPTraitor” ناميده شده و بخش پيكربندي مربوط به منابع هم به نام “conn_a” مي باشد. برخي از اين نمونه ها عبارتند از:

  • conn_a.D_CONN
  • conn_a.J_CONN
  • conn_a.D_CONN
  • conn_a.J_CONN

با اين حال، اگر چه مهاجمان و بدافزار قابل اجراي توسعه يافته توسط آن ها در حال حاضر ناشناخته اند اما آن ها هرگز ارتباطي با ديگر حملات سايبري هدفمند كه در گذشته انجام شده اند، نداشته و هيچ مدركي كه نشان دهنده ارتباط اين موضوع با حمله اي حمايت شده توسط يك دولت خاص باشد نيز وجود ندارد.

عملكرد

مهاجمان براي تحقق اهداف خويش، يك چارچوب (Framework) چند منظوره ايجاد كرده اند كه قادر به استفاده از گستره هاي وسيع از ويژگي هايي است كه اطلاعات را جمع آوري مي نمايند. اين چارچوب كه بسيار پيچيده مي باشد از ابتدا توسط همين مهاجمان، طراحي شده و در هيچ يك از عمليات هاي سايبري ديگر استفاده نشده است.

علاوه بر اهداف سنتي حمله، شامل ايستگاه هاي كاري رايانه اي، اين بدافزار قادر به سرقت اطلاعات از دستگاه هاي تلفن همراه، از جمله گوشي هاي هوشمند (آي فون، نوكيا و ويندوز موبايل)، روگرفت از پيكربندي تجهيزات شبكه (سيسكو)، ربودن فايل ها از ديسك درايوهاي قابل جابجايي (حتي شامل فايل هايي كه در حال حاضر از روي سيستم پاك شده اند توسط يك فرآيند بازيابي سفارشي فايل)، سرقت نامه هاي الكترونيك ذخيره شده در نرم افزار Outlook سيستم هاي آلوده يا سرورهاي POP3/IMAP از راه دور به همراه فايل هاي ضميمه آن ها، ثبت تمامي كليدهاي فشرده شده بر روي صفحه كليد، گرفتن تصويرهاي فوري و ارسال آن ها، تهيه تاريخچه وب گردي از مرورگرهاي وب همچون كروم، فايرفاكس، اينترنت اكسپلورر و اپرا، همچنين انحراف مسير فايل ها از سرورهاي FTP شبكه محلي مي باشد.

Rocra علاوه بر سرقت اطلاعات از نرم افزارهاي متني، ورد و اكسل مي تواند اطلاعات رمزنگاري شده از قبيل pgp و فايل هاي رمزگذاري شده gpg را نيز سرقت نمايد. همچنين پسوندهاي “acid*” كه توسط اين بدافزار سرقت مي شوند به نرم افزار طبقه بندي اسناد محرمانه “Acid Cryptofiler” كه توسط نهادهاي مختلفي از جمله اتحاديه اروپا و ناتو استفاده مي گردد، تعلق دارد. اطلاعات به سرقت رفته از سيستم هاي آلوده، شامل اسنادي با پسوندهاي زير مي باشد:

txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa.

اطلاعات به سرقت رفته از قربانيان، اطلاعات سطح بالا و طبقه بندي شده اي بوده و شامل داده هاي جغرافيايي سياسي است كه مي تواند توسط دولت هاي ملي مورد استفاده قرار گيرد. اگر چه هنوز چگونگي استفاده از اين اطلاعات همچون يك معما، ناشناخته مانده و فرآيند جمع آوري اطلاعات در طول 5 سال گذشته، دامنه كاملاً گسترده اي را دربرداشته است اما اين امكان وجود دارد كه اطلاعات گردآوري شده، به صورت مخفيانه و زيرزميني، در بازار سياه به بالاترين پيشنهاد فروخته مي شده يا بعضي از آن ها، به صورت مستقيم، مورد استفاده قرار مي گرفته اند.

ليست زير، دربردارنده آدرس سرورهاي كنترل و دستور بدافزار Rocra است كه اطلاعات سرقت شده توسط اين بدافزار به يكي از آن ها ارسال مي شود:

  • csrss-check-new.com
  • csrss-update-new.com
  • csrss-upgrade-new.com
  • dll-host-check.com
  • dll-host-udate.com
  • dll-host.com
  • dllupdate.info
  • drivers-check.com
  • drivers-get.com
  • drivers-update-online.com
  • genuine-check.com
  • genuineservicecheck.com
  • genuineupdate.com
  • microsoft-msdn.com
  • microsoftcheck.com
  • microsoftosupdate.com
  • mobile-update.com
  • ms-software-check.com
  • ms-software-genuine.com
  • ms-software-update.com
  • msgenuine.net
  • msinfoonline.org
  • msonlinecheck.com
  • msonlineget.com
  • msonlineupdate.com
  • new-driver-upgrade.com
  • nt-windows-check.com
  • nt-windows-online.com
  • nt-windows-update.com
  • os-microsoft-check.com
  • os-microsoft-update.com
  • osgenuine.com
  • services-check.com
  • svchost-check.com
  • svchost-online.com
  • svchost-update.com
  • update-genuine.com
  • win-check-update.com
  • win-driver-upgrade.com
  • windows-genuine.com
  • windowscheckupdate.com
  • windowsonlineupdate.com
  • wingenuine.com
  • wins-driver-update.com
  • wins-update.com
  • xponlineupdate.com

زيرساخت سرورهاي كنترل و دستور بدافزار Rocra، در واقع زنجيره اي از سرورهايي است كه به عنوان پروكسي براي پنهان نمودن محل واقعي سرورها عمل مي كنند. اين سيستم بسيار پيچيده، در برابر تصاحب سرورهاي كنترل و دستور، مقاوم بوده و به مهاجمان براي بهبود دسترسي به دستگاه هاي آلوده با استفاده از كانال هاي ارتباطي جايگزين، اجازه مي دهد. در شكل زير، يك نماي كلي از زيرساخت سرورهاي كنترل و دستور Rocra كه در تحقيقات كسپرسكي به دست آمده است نشان داده مي شود:

 اکتبر سرخ-محمد مهدی واعظی نژاد

تغييرات در سيستم

فايل (هاي) زير ممكن است در سيستم آلوده ديده شود:

  • %ProgramFiles%\WINDOWS NT\msc.bat
  • %ProgramFiles%\WINDOWS NT\[RANDOM CHARACTERS FILE NAME].lt
  • %ProgramFiles%\WINDOWS NT\Svchost.exe

انتشار

اين بدافزار مي تواند خود را در سراسر يك شبكه محلي با استفاده از اعتبارهاي مدير شبكه كه قبلاً آن ها را به دست آورده است، تكثير نمايد. آسيب پذيري هاي ذكر شده نيز نقش مهمي در انتشار بدافزار Rocra بر عهده دارند.

نصب

بدافزار Rocra با سوء استفاده از آسيب پذيري هاي از پيش شناخته شده زير عمل مي نمايد:

اين آسيب پذيري ها به نام هاي زير نيز شناخته مي شوند:

حملات اوليه اي كه در سال هاي 2010 و 2011 انجام گرفته اند از كد مخرب MS Excel استفاده نموده اند و حملات صورت پذيرفته در تابستان سال 2012 از آسيب پذيري هاي موجود در MS Word بهره مند گشته اند.

اکتبر سرخ-محمد مهدی واعظی نژاد

اين كدهاي مخرب اسناد، در حملات فيشينگي كه در طول حملات سايبري مختلف عليه فعالان تبتي، اهداف نظامي و بخش هاي انرژي در آسيا مورد استفاده قرار گرفته اند توسط ساير مهاجمان ايجاد شده اند. تنها چيزي كه در اين ميان تغيير كرده است كدهاي اجرايي جاسازي شده در سندها مي باشد كه مهاجمان آن را با كد خود جايگزين نموده اند.

شركت امنيتي F-Secure نيز در بلاگ امنيتي اش اعلام كرده است كه مهاجمان از كدهاي مخرب قديمي شناخته شده نرم افزارهاي Word، Excel و Java استفاده كرده اند و نشانه اي از آسيب پذيري هاي بسيار محرمانه (0-day) بهره برداري شده توسط آن ها وجود ندارد.

بدافزار Rocra با حمله مهندسي اجتماعي و ترغيب به كليك بر روي لينك هاي جعلي كه معمولاً تبليغ ثبت نام در خريد يك ماشين لوكس است، فعاليت خود را آغاز مي نمايد. شكل زير، نمونه يك تصوير جعلي است كه در حملات فيشينگ، توسط اين بدافزار استفاده مي شود:

اکتبر سرخ-محمد مهدی واعظی نژاد

همچنين اين بدافزار همان طور كه در شكل زير نشان داده شده است با ارسال يك نامه الكترونيك كه دربردارنده فايل ضميمه مخرب است و تشويق به دانلود و بازكردن اين فايل ضميمه، اقدام به آلوده نمودن سيستم ها مي كند:

اکتبر سرخ-محمد مهدی واعظی نژاد

اکتبر سرخ-محمد مهدی واعظی نژاد

سپس مهاجمان يك ماژول را براي اسكن شبكه محلي و جستجوي سيستم هاي آسيب پذير در آن شبكه مستقر نموده، ميزبان آسيب پذير براي MS08-067 را يافته (كد مخرب آسيب پذيري توسط كرم كانفيكر) يا با اعتبارهاي مدير از پايگاه داده رمز عبور خود، توانايي دسترسي بر روي سيستم هاي آسيب پذير را پيدا مي كنند. هنگامي كه يكي از اين اسناد باز مي شود، فعاليت رسمي بدافزار آغاز شده و مي تواند بدافزارهاي بيشتري را تحت يك روش كه به قطره چكان تروجان معروف است از سرورهاي كنترل و دستور خود دريافت نمايد. اين بدافزارهاي ثانويه، شامل برنامه هاي جمع آوري داده ها و ارسال اطلاعات به مهاجمان مي باشند.

يكي از دستوراتي كه در قطره چكان تروجان وجود دارد مي تواند كد صفحه سيستم آلوده را به 1251 قبل از زمان نصب و راه اندازي، تغيير دهد كه اين امر، نيازمند آدرس فايل ها و دايركتوري هايي است كه كاراكترهاي سيريليك (Cyrillic) را در نام هاي خودشان دارند.

پس از اين آلودگي اوليه، بدافزار توسط خودش در سراسر شبكه، انتشار يافته و مهاجمان در طي چند روز، فقط اطلاعاتي را در مورد آن شبكه جمع آوري مي كنند. در طول اين مدت، اقدام به شناسايي سيستم هاي كليدي كرده و سپس ماژول هايي را در شبكه مستقر مي نمايد كه مي تواند ساير رايانه ها را با خود همگام و همسو نمايد. يكي از اين ماژول ها نيز براي جمع آوري اطلاعات به ميزبان هاي راه دور آلوده در همان شبكه مورد استفاده قرار مي گيرد.

در تحقيقات انجام گرفته توسط كسپرسكي، بيش از 1000 ماژول متعلق به 30 دسته بندي از ماژول هاي مختلف، كشف شده اند كه بين سال هاي 2007 تا جديدترين آن ها كه در 8 ژانويه 2013 ايجاد گشته اند. در جدول زير، ليستي از اين ماژول هاي شناخته شده و دسته بندي آن ها آورده شده است:

اکتبر سرخ-محمد مهدی واعظی نژاد

Rocra داراي ماژول هاي سفارشي خاصي است كه براي هر قرباني، با يك ID منحصر به فرد ايجاد شده اند و برخلاف ساير بدافزارهاي سايبري، مي توان آن را داراي ظرافت خاصي دانست كه براي قربانيان مخصوص، شخصي سازي شده است. چندين ماژول تلفن همراه نيز براي اين بدافزار طراحي شده اند كه اقدام به سرقت اطلاعات از انواع مختلف دستگاه هاي تلفن همراه همچون آي فون، نوكيا و ويندوز موبايل مي كنند. اين ماژول ها در سيستم، نصب شده و براي اتصال دستگاه هاي تلفن همراه به سيستم قرباني، منتظر مي مانند. هنگامي كه يك اتصال تلفن همراه، شناسايي گرديد ماژول شروع به جمع آوري داده ها از آن تلفن همراه مي كند.

به طور كلي، چارچوب اصلي Rocra براي اجراي “وظايف” توسط سرورهاي كنترل و دستور آن طراحي شده است. بسياري از اين وظايف كه به عنوان كتابخانه هاي PE DLL از سرور دريافت مي شوند در حافظه سيستم قرباني اجرا شده و سپس بلافاصله دور انداخته مي شوند.

با اين وجود، چند كار بايد به صورت مداوم در سيستم انجام شود، مثلاً انتظار براي اتصال دستگاه هاي تلفن همراه. اين وظايف به عنوان فايل هاي PE EXE ايجاد شده اند كه در سيستم آلوده نصب مي گردند. نمونه هايي از وظايف “مداوم” شامل موارد زير مي باشد:

  • · هنگامي كه يك درايو usb به سيستم آلوده متصل مي شود عمل جستجو توسط بدافزار آغاز گشته و فايل ها توسط ماسك/فرمت، از آن درايو usb استخراج مي شوند كه مي تواند شامل فايل هاي پاك شده نيز باشد. فايل هاي پاك شده با استفاده از يك تجزيه كننده فايل سيستم ساخته شده، بازيابي مي شوند.
  • · منتظر مي ماند تا يك دستگاه تلفن آي فون يا يك گوشي نوكيا به سيستم آلوده وصل شود. پس از اتصال، اطلاعاتي را در مورد تلفن، دفترچه تلفن آن، ليست تماس، تاريخچه تماس ها، تقويم، پيام هاي SMS و تاريخچه وب گردي بازيابي مي كند.
  • · منتظر مي ماند تا يك دستگاه تلفن همراه داراي ويندوز موبايل به سيستم آلوده وصل شود. پس از اتصال، تلفن را با يك نسخه تلفن همراه كه از اجزاي اصلي Rocra است، آلوده مي نمايد.
  • · منتظر مي ماند تا يك فايل خاص مايكروسافت آفيس يا سند PDF باز شود تا يك بسته محدود شده را در آن سند اجرا نمايد. همچنين يك راه مخفيانه ارتباطي را اجرا مي كند كه مي تواند براي بازگردادن كنترل سيستم آلوده، مورد استفاده قرار گيرد.
  • تمام كليدهاي فشرده شده بر روي صفحه كليد را ثبت نموده و تصاوير فوري از آن ها ايجاد مي نمايد.
  • ماژول هاي اضافي رمزگذاري شده را با توجه به برنامه از پيش تعيين شده، اجرا مي نمايد.
  • · پيام ها و ضميمه هاي نامه هاي الكترونيك را از نرم افزار مايكروسافت Outlook و از سرويس دهنده پست الكترونيكي مورد دسترس، با استفاده از اعتباري كه قبلاً به دست آورده است، بازيابي مي كند.

نمونه هايي از وظايفي كه “يك بار” اجرا مي شوند نيز عبارتند از:

  • جمع آوري اطلاعات كلي محيط هاي نرم افزاري و سخت افزاري؛
  • · جمع آوري فايل سيستم و اطلاعات به اشتراك گذاشته شده در شبكه، ايجاد ليست هاي دايركتوري، جستجو و بازيابي فايل ها توسط ماسك ارايه شده توسط سرور كنترل و دستور بدافزار؛
  • · جمع آوري اطلاعات در مورد نرم افزارهاي نصب شده كه مهمترين آن ها شامل پايگاه داده اوراكل، برنامه RAdmin، نرم افزار سرويس گيرنده پست الكترونيكي از جمله نسخه كلاينتي Mail.Ru، درايوها و نرم افزارهاي ويندوز موبايل، نوكيا، سوني اريكسون، اچ تي سي، تلفن هاي اندرويدي و درايوهاي usb مي باشد.
  • استخراج تاريخچه وب گردي از مرورگرهاي كروم، فاير فاكس، اينترنت اكسپلورر و اپرا؛
  • استخراج كلمات عبور ذخيره شده وب سايت ها، سرورهاي FTP، پست الكترونيكي و حساب هاي كاربري سرويس دهنده هاي پست الكترونيكي؛
  • استخراج هش هاي حساب هاي كاربري ويندوز، به احتمال زياد براي كرك نمودن آفلاين آن ها؛
  • استخراج اطلاعات حساب كاربري نرم افزار Outlook؛
  • تعيين آدرس IP خروجي سيستم آلوده (به منظور ارتباط با اينترنت)؛
  • · دريافت فايل از سرورهاي FTP كه از طريق سيستم آلوده، در دسترس هستند (شامل آن هايي كه به شبكه محلي خود متصل هستند) با استفاده از اعتباري كه قبلاً به دست آورده است.
  • نوشتن و/يا اجراي كدهاي دلخواه در داخل وظيفه (task)؛
  • اسكن شبكه، روگرفت از اطلاعات پيكربندي دستگاه هاي سيسكو، در صورت موجود بودن؛
  • اسكن شبكه در يك محدوده از پيش تعريف شده و تكثير خود به ماشين هاي آسيب پذير، توسط آسيب پذيري MS08-067؛
  • تكثير از طريق شبكه با استفاده از اعتبارهاي مدير شبكه كه آن ها را قبلاً به دست آورده است.

ليست زير، دربردارنده فهرستي از MD5هاي اسناد شناخته شده است كه توسط بدافزار Rocra مورد استفاده قرار مي گيرند:

114ed0e5298149fc69f6e41566e3717a

1f86299628bed519718478739b0e4b0c

2672fbba23bf4f5e139b10cacc837e9f

350c170870e42dce1715a188ca20d73b

396d9e339c1fd2e787d885a688d5c646

3ded9a0dd566215f04e05340ccf20e0c

44e70bce66cdac5dc06d5c0d6780ba45

4bfa449f1a351210d3c5b03ac2bd18b1

4ce5fd18b1d3f551a098bb26d8347ffb

4daa2e7d3ac1a5c6b81a92f4a9ac21f1

50bd553568422cf547539dd1f49dd80d

51edea56c1e83bcbc9f873168e2370af

5d1121eac9021b5b01570fb58e7d4622

5ecec03853616e13475ac20a0ef987b6

5f9b7a70ca665a54f8879a6a16f6adde

639760784b3e26c1fe619e5df7d0f674

65d277af039004146061ff01bb757a8f

6b23732895daaad4bd6eae1d0b0fef08

731c68d2335e60107df2f5af18b9f4c9

7e5d9b496306b558ba04e5a4c5638f9f

82e518fb3a6749903c8dc17287cebbf8

85baebed3d22fa63ce91ffafcd7cc991

91ebc2b587a14ec914dd74f4cfb8dd0f

93d0222c8c7b57d38931cfd712523c67

9950a027191c4930909ca23608d464cc

9b55887b3e0c7f1e41d1abdc32667a93

9f470a4b0f9827d0d3ae463f44b227db

a7330ce1b0f89ac157e335da825b22c7

b9238737d22a059ff8da903fbc69c352

c78253aefcb35f94acc63585d7bfb176

fc3c874bdaedf731439bbe28fc2e6bbe

bb2f6240402f765a9d0d650b79cd2560

bd05475a538c996cd6cafe72f3a98fae

c42627a677e0a6244b84aa977fbea15d

cb51ef3e541e060f0c56ac10adef37c3

ceac9d75b8920323477e8a4acdae2803

cee7bd726bc57e601c85203c5767293c

d71a9d26d4bb3b0ed189c79cd24d179a

d98378db4016404ac558f9733e906b2b

dc4a977eaa2b62ad7785b46b40c61281

dc8f0d4ecda437c3f870cd17d010a3f6

de56229f497bf51274280ef84277ea54

ec98640c401e296a76ab7f213164ef8c

f0357f969fbaf798095b43c9e7a0cfa7

f16785fc3650490604ab635303e61de2

 

جلوگیری

اگر چه هم اكنون تمامي آنتي ويروس ها قادر به شناسايي و پاك كردن Rocra هستند اما انجام فعاليت هاي زير توسط همه مديران و كاربران سيستم مي تواند باعث جلوگيري و يا كاهش خطر اين بدافزار شود:

  • غير فعال كردن ويژگي AutoRun يا AutoPlay سيستم براي جلوگيري از اجراي خودكار فايل هاي قابل اجرا در درايوهاي قابل جابجايي؛
  • · غیر فعال کردن درايوهاي قابل جابجایی از طریق Setup سیستم. در صورت نیاز، فقط حالت read-only را فعال كرده و حتماً يك رمز عبور هم براي setup در نظر گرفت.
  • · اصلاح نقاط آسيب پذير سيستم عامل و نرم افزارهاي نصب شده، به خصوص برنامه هايي كه اين بدافزار از آسيب پذيري هاي موجود در آن ها بهره مي برد.
  • · به روز رسانی نرم افزار ضد ويروس در فاصله هاي زماني كوتاه مدت و فعال کردن گزينه به روز رساني خودكار براي دريافت خودكار آخرين به روز رساني ها؛
  • · دسترسي به آدرس هايي كه سرورهاي كنترل و دستور اين بدافزار هستند بايد با استفاده از فايروال و مسيرياب، مسدود شده و با اضافه كردن به فايل local hosts به آدرس 127.0.0.1 تغيير مسير داده شوند.
  • · استفاده از رمز عبور پيچيده كه تركيبي از عدد، حروف بزرگ و كوچك و نمادها مي باشد براي كلمه عبور كاربران، به نحوي كه اين رمزها توسط حملات ديكشنري به راحتي قابل شناسايي و كشف نبوده و در عين حال، براي كاربران هم به ياد ماندني باشد.
  • · همه ارتباطات ورودی از اينترنت به سرويس هاي سازمان كه نبايد در دسترس عموم باشد را با استفاده از فایروال، غير فعال كرده و تنها به سرويس هايي اجازه دهيد كه به مردم خدمات ارايه می دهند.
  • · هرگز نبايد با يوزر administrator يا root به سيستم login كرد. كاربران و برنامه ها هم بايد پايين ترين سطح دسترسي لازم را داشته باشند.
  • · غيرفعال كردن اشتراك گذاري منابع و فايل ها در شبكه اگر به اشتراك گذاري آن ها نيازي نيست. در صورت نياز، از ليست هاي كنترل دسترسي استفاده كرده و مشخص نماييد كه چه افراد يا كامپيوترهايي اجازه دسترسي به آن ها را دارند.
  • · غيرفعال كردن و حذف سرويس هاي غيرضروري فعال در سيستم. اگر هم كد مخربي عليه يكي از سرويس ها پيدا شد، تا زمانيكه وصله امنيتي آن سرويس در سيستم نصب نشده است، آن سرويس را غير فعال كرده و يا دسترسي به آن را محدود نماييد.
  • · سرويس هايي همچون HTTP، FTP،  Mail و DNS مهمترين سرويس هاي يك شبكه متصل به اينترنت هستند. بنابراين، هميشه وصله هاي امنيتي اين سرويس ها را مهم درنظر گرفته و به روز نگهداريد. همچنين توسط فايروال، دسترسي به آن ها را كنترل نماييد.
  • · پیکربندی سرويس دهنده پست الكترونيك در جهت حذف نامه هاي الكترونيكي كه حاوي فايل ضميمه است. از این فایل ها برای گسترش تهديدهايي همچون  .vbs، .bat ، .exe ، .pif و .scr استفاده مي شود.
  • · كامپيوترهاي آلوده را به سرعت براي جلوگيري از گسترش بيشتر آلودگي در شبكه ايزوله كنيد و تا زماني كه از برطرف شدن آلودگي مطمئن نشده ايد، آن ها را وارد شبكه نكنيد.
  • · استفاده نکردن از بلوتوث در شبکه. در صورت نياز، ديد دستگاه را در حالت پنهان تنظيم کنید تا توسط دستگاه هاي ديگر پيدا نشده و حتماً از رمز عبور  نيز براي برقراري ارتباط بین دستگاه ها استفاده كنيد.

 

پیشگیری

پیشگیری از حوادث و کنترل امنیت سیستم نیاز به یک رویکرد چند لایه دارد که از آن با عنوان “دفاع در عمق” یاد می شود. این لایه، شامل سیاست ها و رویه ها، آگاهی و آموزش، تقسیم بندی شبکه، کنترل دسترسی ها، اقدام هاي امنیتی فیزیکی، سیستم های نظارتی همچون فایروال و ضد ویروس، سیستم های تشخیص و جلوگيري از نفوذ، رمز کاربری و غيره است.

بهترین روش برای پیشگیری هم معمولاً تجزیه و تحلیل خطر، شناسایی نقاط آسیب پذیر سیستم ها و شبکه، کنترل سیستم ارزیابی امنیتی و همچنین توسعه برنامه های اولویت بندی برای از بین بردن یا به حداقل رساندن ریسک خطر است.

 

منابع

ارتباط با نویسنده مقاله

09360895848

mahdivaezi61@yahoo.com

دیدگاه خود را وارد کنید
تعداد دیدگاه ها : 3 دیدگاه
  1. با سلام
    نسخه دیگری از این بدافزار با نام Backdoor.Rocra!gen3 ت وسط شرکت امنیتی سیمانتک شناسایی گردید.

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *