شهدت طروادة
DanaBot وحدات سريعة النمو تغييرات جديدة. تطبق النسخة التي تم إصدارها في نهاية يناير 2019 بروتوكول اتصال جديد تمامًا يضيف عدة مستويات من التشفير إلى اتصالات طروادة وخادم C&C. بالإضافة إلى ذلك ، تم تغيير بنية DanaBot ومعرفات الحملة.
تطور DanaBot
بعد
اكتشافه في مايو 2018 كجزء من حملة البريد العشوائي التي تستهدف أستراليا ، ظهر DanaBot في عدد من الهجمات الأخرى ، بما في ذلك حملة البريد العشوائي في
بولندا وإيطاليا وألمانيا والنمسا وأوكرانيا ، وكذلك
الولايات المتحدة . في الحملات الأوروبية ، تم تعزيز وظائف طروادة من خلال الإضافات الجديدة
وقدرات البريد العشوائي .
في 25 كانون الثاني (يناير) ، وجدنا ملفات تنفيذية غير عادية تتعلق بـ DanaBot في بيانات القياس عن بُعد. كشف فحص آخر أن هذه الملفات الثنائية هي بالفعل إصدارات من DanaBot ، لكنها تستخدم بروتوكول اتصال مختلفًا للاتصال بخادم C&C. منذ 26 يناير ، توقف مشغلو طروادة عن تجميع الملفات الثنائية بالبروتوكول القديم.
في وقت كتابة هذا التقرير ، تم توزيع الإصدار الجديد من DanaBot في سيناريوهين:
- كـ "تحديثات" يتم تسليمها إلى ضحايا DanaBot ؛
- عبر البريد المزعج (في بولندا).
بروتوكول اتصال جديد
في البروتوكول ، الذي تم استخدامه حتى 25 يناير ، لم يتم تشفير الحزم ، كما هو موضح في الشكل 1.
الشكل 1. التقاط حزمة يظهر البروتوكول القديم مع البيانات في شكل غير مشفربعد الانتهاء ، تستخدم DanaBot خوارزميات تشفير AES و RSA في التواصل مع خادم C & C. بروتوكول الاتصال الجديد أكثر تعقيدًا لأنه يستخدم عدة مستويات من التشفير ، كما هو موضح في الشكل أدناه.
الشكل 2. مخطط بروتوكول اتصالات DanaBot الجديدتتجنب هذه التغييرات الكشف باستخدام تواقيع الشبكة الحالية وتجعل من الصعب كتابة قواعد جديدة لأنظمة كشف التسلل والوقاية منه. بالإضافة إلى ذلك ، من دون الوصول إلى مفاتيح RSA المقابلة ، لا يمكن فك تشفير الحزم المرسلة أو المستلمة ؛ وبالتالي ، ملفات RSAP من أنظمة التحليل المستندة إلى مجموعة النظراء (مثل
ANY.RUN ) غير مناسبة للبحث.
الشكل 3. التقاط حزمة مع بروتوكول اتصال جديدكل حزمة إرسالها من قبل العميل يحتوي على رأس 24 بايت (0x18):
لكل حزمة ، يتبع الرأس بيانات الحزمة المشفرة بواسطة AES ، ثم قيمة 4 بايت تشير إلى حجم الإزاحة AES ، ثم مفتاح AES المشفر بواسطة RSA. يتم تشفير جميع الحزم باستخدام مفاتيح AES مختلفة.
استجابات خادم استخدام نفس التنسيق. على عكس الإصدارات السابقة ، فإن بيانات الحزمة في ردود الخادم لا تتوافق مع أي بنية معينة (مع بعض الاستثناءات).
بنية حزم البيانات
تم وصف هيكل بيانات الحزمة السابقة بالتفصيل من قبل
Proofpoint في أكتوبر 2018. في أحدث إصدار من DanaBot ، تم تعديل هذا المخطط قليلاً ، كما هو موضح في الشكل أدناه.
الشكل 4. مقارنة بنية بيانات الحزمة في الإصدارات القديمة والجديدة من DanaBotتغييرات هندسة DanaBot
بالإضافة إلى بروتوكول الاتصال ، لدى DanaBot بنية متغيرة قليلاً. تضمنت الإصدارات السابقة من طروادة مكونًا قام بتنزيل وتنفيذ الوحدة الرئيسية. ثم الوحدة الرئيسية تحميلها وتنفيذها الإضافات والتكوينات.
في أحدث إصدار ، يتم تنفيذ هذه الوظائف بواسطة أداة تحميل التشغيل الجديدة ، والتي تُستخدم لتنزيل جميع المكونات الإضافية مع الوحدة الرئيسية. يتم ضمان الثبات عن طريق تسجيل مكون أداة تحميل التشغيل كخدمة.
الشكل 5. مقارنة بين بنية الإصدارات القديمة والجديدة من DanaBotفرق
وفقًا للتحليل ، يستخدم مكون أداة التحميل الأوامر التالية:
- 0x12C - مرحبا. تم إرسال الأمر الأول من العميل إلى الخادم
- 0x12D - تحميل مكون قاذفة 32/64 بت
- 0x12E - اطلب قائمة بالمكونات الإضافية وملفات التكوين
- 0x12F - تحميل الإضافات / ملفات التكوين
يتم تشفير المكونات الإضافية التي تم تنزيلها وملفات التكوين باستخدام مفتاح AES الذي تم الحصول عليه من معرف العميل. بالإضافة إلى ذلك ، يتم أرشفة المكونات الإضافية بتنسيق ZIP باستخدام ضغط LZMA ، بينما يتم أرشفة ملفات التكوين باستخدام zlib.
يتم إرسال الأوامر بالكود 0x130-0x134 بواسطة الوحدة الرئيسية:
- 0x130 - نقل المعلومات التي تم جمعها إلى خادم C & C (على سبيل المثال ، لقطة شاشة للكمبيوتر الضحية ؛ بيانات النظام)
- 0x131 - نقل المعلومات التي تم جمعها إلى خادم C & C (على سبيل المثال ، قائمة الملفات على القرص الثابت لجهاز كمبيوتر مصاب)
- 0x132 - طلب أوامر أخرى من خادم C & C. هناك حوالي 30 أمرًا نموذجيًا للواجهات الخلفية ، بما في ذلك تشغيل المكونات الإضافية وجمع معلومات النظام وتغيير الملفات في نظام العميل
- 0x133 - تحديث قائمة خوادم C&C من خلال وكيل Tor
- 0x134 - الوجهة الدقيقة غير معروفة ، على الأرجح يتم استخدامها للاتصال بين المكونات الإضافية وخادم C&C
تغيير معرفات الحملة
أظهرت دراسة سابقة أن DanaBot يتم توزيعها تحت معرفات مختلفة.
في الإصدار السابق من DanaBot ،
تم استخدام حوالي 20 معرِّفًا للحملة . في الإصدار الأخير ، تغيرت المعرفات قليلاً. اعتبارًا من 5 فبراير 2019 ، نلاحظ بطاقات الهوية التالية:
- المعرف = 2 على ما يبدو ، إصدار تجريبي يقدم عددًا صغيرًا من ملفات التكوين ، بدون حقن الويب
- يتم توزيع ID = 3 بشكل نشط ، ويستهدف المستخدمين في بولندا وإيطاليا ، ويقدم جميع ملفات التكوين وحقن الويب للأغراض البولندية والإيطالية
- معرّف = 5 يخدم ملفات التكوين لأغراض أستراليا
- معرف = 7 ينطبق فقط على بولندا ، ويخدم حقن الويب لأغراض البولندية
- المعرف = 9 ، على ما يبدو ، هو أيضًا نسخة تجريبية ذات توزيع محدود وبدون استهداف خاص ، وهو يخدم عددًا محدودًا من ملفات التكوين ، بدون حقن ويب
الاستنتاجات
في عام 2018 ، لاحظنا تطور DanaBot من حيث
التوزيع والوظائف . في بداية عام 2019 ، مرت طروادة بتغييرات "داخلية" ، مما يشير إلى العمل النشط لمبدعيها. تشير التحديثات الأخيرة إلى أن منشئي DanaBot يبذلون جهودًا لتجنب الاكتشاف على مستوى الشبكة. من الممكن أن يهتم مؤلفو Trojan بالدراسات المنشورة من أجل إجراء تغييرات فورية على الكود ، قبل مطوري المنتجات للأمان.
تكتشف منتجات ESET وتحظر جميع مكونات ومكونات DanaBot. وترد أسماء الكشف في القسم التالي.
مؤشرات التنازل (IoCs)
خوادم C & C المستخدمة من قبل الإصدار الجديد من DanaBot84.54.37[.]102
89.144.25[.]243
89.144.25[.]104
178.209.51[.]211
185.92.222[.]238
192.71.249[.]51خوادم لحقن الويب وإعادة التوجيه47.74.249[.]106
95.179.227[.]160
185.158.249[.]144أمثلة التجزئةيتم إصدار تصميمات DanaBot الجديدة بانتظام ، حتى نتمكن من توفير جزء فقط من التجزئة:
98C70361EA611BA33EE3A79816A88B2500ED7844 Win32 / TrojanDropper.Danabot.O
محمل الإقلاع (x86) ، المعرف = 3
0DF17562844B7A0A0170C9830921C3442D59C73C Win32 / Spy.Danabot.L
محمل الإقلاع (x64) ، المعرف = 3
B816E90E9B71C85539EA3BB897E4F234A0422F85 Win64 / Spy.Danabot.G
محمل الإقلاع (x86) ، المعرف = 9
5F085B19657D2511A89F3172B7887CE29FC70792 Win32 / Spy.Danabot.I
محمل الإقلاع (x64) ، المعرف = 9
4075375A08273E65C223116ECD2CEF903BA97B1E Win64 / Spy.Danabot.F
الوحدة الرئيسية (x86)
28139782562B0E4CAB7F7885ECA75DFCA5E1D570 Win32 / Spy.Danabot.K
الوحدة الرئيسية (x64)
B1FF7285B49F36FE8D65E7B896FCCDB1618EAA4B Win64 / Spy.Danabot.C
الإضافاتRDPWrap
890B5473B419057F89802E0B6DA011B315F3EF94 Win32 / Spy.Danabot.H
Stealer (x86)
E50A03D12DDAC6EA626718286650B9BB858B2E69 Win32 / Spy.Danabot.C
Stealer (x64)
9B0EC454401023DF6D3D4903735301BA669AADD1 Win64 / Spy.Danabot.E
Sniffer
DBFD8553C66275694FC4B32F9DF16ADEA74145E6 Win32 / Spy.Danabot.B
VNC
E0880DCFCB1724790DFEB7DFE01A5D54B33D80B6 Win32 / Spy.Danabot.D
TOR
73A5B0BEE8C9FB4703A206608ED277A06AA1E384 Win32 / Spy.Danabot.G