مطالب مطالب

تحلیل بدافزار Dyzap

اصولا یکی از مبناهای اصلی طراحی بدافزار ها با هدف سرقت اطلاعات محرمانه از برنامه‌های کاربردی و سازمانی است و امرزه بدافزار های مدعددی با این رویکرد طراحی ‌شده و دنیای سایبری را با مشکل مواجه میکنند. بدافزار Dyzap متعلق به این خانواده است و این کار را بوسیله‌ی عملیاتی نمودن یک حمله‌ی مرد میانی (به اختصار MITB) در مرورگرهای رایج انجام می‌دهد. بخش تحقیقات مرکز FortiGuard به تازگی گونه‌ی جدیدی از تروجان Dyzap را کشف کرده‌اند. اطلاعات به سرقت رفته می‌تواند شامل اطلاعات سیستمی و مدارک مربوط به برنامه‌ها که در سیستم آلوده ذخیره شده‌اند باشد، اما تنها به این موارد محدود نمی‌شود. در ادامه توضیح خواهیم داد که این بدافزار چگونه حساب‌های کاربری را به سرقت می‌برد  و مانند یک کی‌لاگر (کلید دزد) عمل نموده و چگونه با سرور فرمان و کنترل (به اختصار C&C) خودش  ارتباط برقرار می‌کند.

آشنایی با نحوه‌ی سرقت اطلاعات توسط بدافزار Dyzap

Dyzap برای عمل سرقت اطلاعات، بیش از یک‌صد برنامه را هدف قرار می‌دهد، از جمله مرورگرها، برنامه‌های پروتکل انتقال فایل (FTP)، و غیره.

شکل 1. روال  ساده عملیات سرقت.

به منظور سرقت اطلاعات از انواع مختلف برنامه‌ها، Dyzap برای هریک به روش مختلفی عمل می‌کند. این توانایی سرقت اطلاعات از پایگاه‌های داده، رجیستری‌ها، و همچنین از فایل‌های برنامه‌هایی که روی سیستم آلوده نصب شده‌اند را به بدافزار ذکر شده می‌دهد. تعدادی از برنامه‌های مورد هدف این بدافزار، مانند Fossamail، Postbox است که در شکل 2 نشان داده شده است.

شکل 2. بخشی از برنامه‌های مورد هدف بدافزار برای سرقت.

برای درک بهتر روش های مختلفی که Dyzap می‌تواند اعمال کند، چهار برنامه را انتخاب کرده‌ایم و نحوه‌ی دستیابی این بدافزار به اطلاعات ورود حساب آنها را بررسی کردیم. تحلیل‌هایی که در ادامه خواهند آمد، روی نسخه 32بیتی ویندوز 7 انجام شده‌اند. مسیرهای اشاره شده ممکن است در سیستم‌عامل‌های دیگر، متفاوت باشند.

خانواده‌ی Chrome.

یکی از روش‌های اصلی Dyzap، سرقت اطلاعات ورود حساب از فایل پایگاه داده‌ی sqlite3 است. بعنوان مثال، کرومیوم (پروژه‌ای برای ساخت مرورگر وب متن باز) اطلاعات ورود را در فایلی به اسم "Login Data" یا "Web Data" ذخیره می‌کند. این بدافزار با استفاده از قطعه کدها و مسیرهای فایل که بصورت کدسخت (کدی که بجای استفاده از متغیرها، داده‌ها ثابت قرار داده می‌شوند) نوشته شده‌اند، به دنبال مسیرهایی خواهد گشت که شامل فایل‌های ذکر شده باشند. اگر این فایل موجود باشد، بدافزار محتوای آن را داخل یک فایل موقت کپی می‌کند تا در عملیات بعدی مورد استفاده قرار دهد.

برای بدست آوردن اطلاعات ورود، ابتدا باید تایید کند که هدف یک فایل SQlite3 است. سپس یک الگوی رشته‌ای "منحصر به فرد" را جستجو می‌کند تا اطلاعات ورود را از جدول "logins" استخراج کند. در نهایت حساب کاربری را با استفاده از الگوهای رشته‌ای "password_value" ، "username_value" ، و "original_url" استخراج میکند.

شکل 3. جستجوی Dyzap برای فایل مربوطه در مسیرهای نوشته شده بصورت کدسخت.

دریافت کامل مستند

تصاویر مرتبط
تاریخ انتشار مطلب: 15 اسفند 1395
بازدید ها: 689