انتشار باج‌افزار Cerber با روش‌های پیشرفته مبهم‌سازی کد مخرب

در ماه‌های اخیر انتشار باج‌افزارها از طریق ماکروهای ویروسی به‌شدت افزایش یافته است. در نمونه‌های حرفه‌ای‌تر بدافزار ماکرویی از روش‌های پیشرفته مبهم‌سازی کد استفاده می‌شود. این کار سبب دشوار شدن تحلیل عملکرد بدافزار و فراهم شدن امکان فرار آن از سد بدافزارهای سنتی و غیرپویا می‌شود. این روش های مبهم‌سازی نیز به‌طور پیوسته در حال تکامل هستند.

اکنون شرکت McAfee از ظهور گونه جدیدی از بدافزارهای ماکرویی خبر داده که در آن کاربر برای باز کردن فایل آلوده پیوست شده به ایمیل باید از گذرواژه درج شده در متن ایمیل استفاده کند. این کار سبب پویش نشدن فایل در زمان عبور از درگاه‌های شبکه‌ای مجهز به دیواره آتش و ضدویروس شود.

پیش‌تر نیز در اینجا و اینجا به روش‌های مبهم‌سازی ماکروها اشاره شد. در آن گونه‌ها از تکنیک‌های ضدتحلیلی نظیر ضدماشین مجازی، ضدقرنطینه امن (Snadbox) استفاده می‌شد. بسترهایی که بسیاری از تحلیلگران ویروس از آنها برای کالبدشکافی بدافزارها استفاده می‌کنند.

با نگاهی به یکی از ایمیل‌های گونه جدید مشخص می‌شود که فایل پیوست شده به ایمیل، فایلی با پسوند dot و با نامی تصادفی است. در متن ایمیل هم به گذرواژه‌ای برای باز کردن فایل اشاره شده است.

در این صورت در زمان باز کردن فایل از کاربر خواسته می‌شود که گذرواژه صحیح را وارد کند. در غیراینصورت فایل باز نخواهد شد.

زمانی که کاربر گذرواژه صحیح را وارد کند از کاربر خواسته می شود که بر روی دگمه Enable Content کلیک کند. با این کار ماکروی ویروسی تزریق شده در درون فایل اجرا شده و با برقراری ارتباط با سرور فرماندهی مهاجم یا مهاجمان، یک فایل VBScript را دریافت نموده و با نامی تصادفی در مسیر %appdata% ذخیره می‌کند.

به گزارش شرکت امنیتی McAfee، کدهای ماکرو و VBScript هر دو به‌شدت مبهم‌سازی شده‌اند. پس از رمزگشایی، VBScript یک کد مخرب رمز شده با پسوند jop را دانلود می‌کند. در مرحله بعد فایل توسط یک عملیات ساده XOR، رمزگشایی می‌شود. اما کد رمزگشایی شده خود نیز مبهم‌سازی شده است.

در این گونه، الگوریتم مبهم‌سازی همیشه یکسان نیست. محققان شرکت McAfee، در گونه بررسی شده محتوا را از طریق یک اسکریپت Python از حالت مبهم‌سازی شده خارج کردند.

با این کار کدهای مخرب بیشتری از جمله نشانی‌های سرور فرماندهی نمایان می‌شوند.

نویسندگان حرفه‌ای بدافزارها از تکنیک‌های مختلفی برای به تأخیر انداختن اجرای کدهای مخرب فایل استفاده می‌کنند. هدف از این کار فرار از سد قرنطینه‌های امنی است که رفتار پروسه‌ها را در مدتی کوتاه بررسی می‌کنند. این کارها معمولاً از روش‌هایی نظیر Sleep Call و Stalling انجام می‌شود. اما در گونه جدید تاخیر از طریق اجرای فرمان “ping 8.8.8.8 -n 250 > nul” که در آن سرور DNS شرکت Google برای ۲۵۰ بار Ping می‌شود صورت می‌پذیرد.

در نهایت فایل نصب باج‌افزار معروف Cerber شروع به اجرا می‌کند.

نمودار زیر تعداد آلودگی ها به Cerber را در هفته های ۳۸ تا ۴۱ از زمان ظهور آن نشان می دهد.

فایل‌های این بدافزار با نام‌های W97M/Downloader،وVBS.Downloader و [Ransomware-FUN! [Partial hash توسط شرکت McAfee شناسایی می‌شوند.