github
۶ اردیبهشت ۱۳۹۷

بدافزارهای مجرمان رایانه ای روی GitHub

مجرمان رایانه ای بدافزارهای استخراج رمزارز را به صورت تهاجمی روی GitHub بارگذاری می‌کنند. این مجرمان سایر پروژه‌ها را منشعب نموده، تا یک نقطه آغاز بسازند، برای مثال با کپی‌برداری از پروژه‌ای که روی GitHub هست استفاده می‌کنند تا بدافزار خود را در آن قرار دهند. این پروژه‌های مناسب جهت انشعاب به صورت تصادفی انتخاب می‌شوند. در پایان لیستی از منابع آلوده شده GitHub ارائه خواهد شد.
github
نحوه عملکرد این بدافزار بدین گونه است که، قربانیان با فریب خوردن تبلیغات فیشینگ موجود در بازی‌های آنلاین وب‌سایت‌های بزرگ، به کاربران هشدار می‌دهند که نسخه flash player شما منسوخ شده است. در واقع برای استخراج، بدافزار یک نسخه مخرب از مرورگر کروم را روی سیستم نصب می‌کند، تا تبلیغات جعلی خود را تزریق کند و کلیک روی این تبلیغات در پس زمینه به مجرمان رایانه‌ای اجازه‌ی سود بیشتری را می‌دهد. تبلیغات ابتدا مهاجم را به کنترل سرور هدایت می‌کند، سپس منبع میزبانی بدافزار GitHub که برنامه های مخرب قابل اجرا در آنجا بارگذاری شده اند. بدافزار به یک رمز ارز مونرو را که همیشه بر روی GitHub قرار دارد می‌پیوندد و عملیات‌های مخرب توسط مجرمان رایانه‌ای به آن افزوده می‌شود. یکی از عملیات‌ها پایان دادن به مرورگر Opera، Chrome و Amigo Free هست. هدف این بدافزار مرورگر کروم می‌باشد اما علت پایان دادن به مرورگرهای Opera و Amigo Free هنوز مشخص نشده است. می‌توان حدس زد که آن مرورگرها هدف بعدی مجرمان رایانه‌ای است و همچنین می‌تواند یک نقص در این بدافزار باشد. نخستین اقدام بدافزار کپی خود در کامپیوتر در آدرس  زیر است: C:\ProgramData\VsTelemetry\vshub.exe نمونه جدید این بدافزار در مسیر زیر خود را کپی می‌کند: C:\ProgramData\WindowsPerformanceRecorder\spyxx_amd64.exeدر گام دوم دو وظیفه دیگر را فهرست می‌نماید: schtasks /create /tn \SystemLoadCheck /tr C:\ProgramData\VsTelemetry\vshub.exe -loadcheck /st 00:00 /sc daily /du 9999:59 /ri 10 /f وظیفه اول نصب یک توسعه از مرورگر کروم است که به هر صفحه باز شده کد جاوااسکریپت را تزریق می‌کند. این وظیفه همچنین بارگذاری بدافزار را به عنوان یک برنامه پایه‌ای هر روز و هرشب اجرا می‌کند و هیچوقت پایان نمی‌یابد. حتی اگر کامپیوتر آلوده را ریبوت کنیم باز هم بدافزار بارگذاری مجدد می‌شود. اگر فرایند توسط کاربر پایان پذیرد، این وظیفه هر ۱۰ دقیقه یکبار مجدداً شروع می‌شود. schtasks /create/tn\Windows\VsServiceCheck /tr C:\ProgramData\VsTelemetry\vshub.exe /st 00:00 /sc daily /du 9999:59 /ri 2 /f وظیفه دوم موارد زیر را انجام می‌دهد: -o stratum+tcp://vwwvvw.com:3333 -u 39VwaJXhVdJ7pd5XR8D8wubdFfE4dxkDaM -p x -k -cpu-priority=1 -max-cpu-usage=50 -donate-level=1 این موارد مرتبط با صفحه GitHub را شرح می‌دهد. -o –url=URL یک URL از سرور استخراج است. –u، --user=USERNAME نام کاربری برای سرور استخراج است. p،  --pass=PASSWORD رمز عبور برای سرور استخراج است. -k، --keepalive برای پیشگیری از وقفه (نیاز به انجام کاری) --cpu-priority این ویژگی اولویت فرایند را به این صورت تنظیم می‌کند: در حالت ۰ ایده‌آل، ۲ نرمال و ۵ بالاترین اولویت را داراست. --donate-level=N اهدا کردن سطح، پیشفرض ۵% است (۵دقیقه در ۱۰۰دقیقه) --max-cpu-usage=N ماکزیمم استفاده از CPU برای نخ‌ها در حالت خودکار (پیشفرض ۷۵) شماری از مسائل به منظور اجتناب از شناسایی توسط کاربر انجام شده‌اند. مشخصه max-cpu-usage بدین منظور تنظیم شده است که بدافزار بتواند ۵۰% از CPU کامپیوتر آلوده را استفاده نماید تا سیستم بیش از حد کند نشود. این امر به قربانی اجازه می‌دهد از کامپیوتر خود در حالت معمولی استفاده نماید، بنابراین متوجه بدافزار نمی‌شود. یک فریب دیگر که توسط بدافزارهای استخراج مورد استفاده قرار می‌گیرد که در این بدافزار هم به کار رفته است، اینکه هنگام فعالیت task manager، بدافزار استخراج، متوقف می‌شود تا از دستگیرشدن اجتناب کند.
adblock
توسعه بدافزار کروم بدافزار همچنین یک نسخه از توسعه قدیمی مرورگر Chrome را که توسعه AdBlock Chrome است، نصب و از آن بهره‌برداری می‌کند. همانطورکه در ابتدا نیز گفته شد این بدافزار تمامی فرایندهای Chrome را پایان می‌دهد.
این کار را انجام می‌دهد تا قربانی فریب بخورد و توسعه جدید نصب شده بر روی سیستم را اجرا کند. حتی اگر کاربر به صفحه توسعه Chrome نگاه کند می‌تواند در کسری از ثانیه آلوده بودن توسعهChrome را ببیند اما خیلی سریع کاربر به صفحه بعد هدایت می‌شود. فایل‌های زیر در پوشه توسعه Chrome نصب شده اند:
  • Extensions/gighmmpiobklfepjocnamgkkbiglidom/449_0/_metadata پوشه اصلی
  • computed_hashes.json
  • verified_contents.json
  • icon128.png
  • manifest.json
  • contentscript.js
  این فایل به ما اسکریپت مخرب را نشان می‌دهد. نکته ای که در اینجا جالب است، اینکه گوگل کروم این پلاگین را بدون هیچ مسئله‌ای بارگذاری می‌کند، بعبارت دیگر هنگامیکی شخصی توسعه سفارشی شده ای از کروم را برای بارگذاری بخواهد کافی است حالت Developer mode بمنظور اجرای توسعه فراخوانی شود. اول اینکه اسکریپت مخرب کسب و کار خود را بسیار عادی به نمایش می‌گذارد. اسکریپت بدافزار با استفاده از تزریق در توسعه جستجوهای گوگل و یاهو کاربر را هدف قرار می‌دهد تا با کلیک کاربر پول بسازد. اصطلاحاتی که توسط قربانی در گوگل و یاهو وارد می‌شود. در سایت‌هایی به جز گوگل و یاهو نفوذ می‌کند. بنظر می‌رسد این موضوع برای بهتر هدف قرار دادن مخاطب با تبلیغات است. این توسعه از بدافزار را بسادگی می‌توان با حذف مرورگر کروم و داده های کاربر در هنگام حذف از بین برد. گواهینامه امضاء مجرمان رایانه‌ای آنقدر باهوش بودند که بدافزار استخراج را به صورت دیجیتال امضاء کنند، و بدلیل آنکه به صورت دیجیتالی امضاء شده است به صورت جادویی پاک می‌شود درست؟ درست؟ اشتباه. بسیار اشتباه. متاسفیم مجرمان رایانه ای. با استفاده از امضای دیجیتال مجرمان رایانه ای کار ما را برای پیدا کردن یک برنامه مخرب راحت‌تر کرده اند. ماشین‌های ما به صورت خودکار تمامی فایل‌هایی را که اسکرین شات ان در ادامه امده است را بعنوان یک بدافزار می‌شناسد. بنظر نمی رسد که مجرمان رایانه ای از این موضوع خوشحال باشند. در بعضی موارد ما به فایل‌های پاک شده با ارائه گواهی بارگذاری در منابع GitHub توجه می‌کنیم. ما گمان کردیم که این راه آنهاست تا تشخیص اشتباه دهیم. نویسندگان این بدافزار چه کسانی هستند؟ بنظر می‌رسد نویسندگان این بدافزار به زبان روسی صحبت می‌کنند یا انتظار دارند که قربانیانشان به زبان روسی صحبت کنند. اولین گواهی برای این ادعا را می‌توان در تابعSetThreadLocale یافت که با آرگومان منطقه ۱۰۴۹ فراخوانی شده است و بیانگر منطقه روسیه است. دومین گواهی برای این ادعا این هست که بدافزار مسیر زیر را برای تزریق بررسی می‌کند: \Хром\UserData\Default\ در زبان روسی کلمه Xpom به جای Chrome قرار می‌گیرد. دلیل دیگری که برای اثبات این موضوع پیدا شد زمان گزارش گیری از git بود که همه آنها در منطقه زمانی موسکو بوده است. یکی از اقدامات هوشمند مجرمان سایبری استفاده از Bitly برای کوتاه کردن لینکها بود. نتیجه گیری بدافزار همچنان وجود دارد و میزبان آن GitHub است. البته تاکنون GitHub بسیاری از پروژه‌های منشعب میزبان بدافزار را حذف نموده است، اما مجرمان رایانه‌ای به صورت پیوسته بدافزار را بر روی GitHub بارگذاری می‌کنند. با وجود اینکه این توسعه از مرورگر گوگل کروم به عنوان یک برنامه مخرب شناسایی شده است همچنان این توسعه توسط گوگل مسدود نشده است. کاربران مرورگر کروم می‌توانند با حذف برنامه Chrome و انتخاب delete browaer data توسعه‌های مخرب این برنامه را از سیستم خود حذف نمایند. هنوز میزان بهره برداری مجرمان رایانه‌ای از این بدافزار مشخص نیست با پیگیری‌های انجام شده در مرکز استخراج رمزارز Monero مسئولان این مرکز عدم موافقت خود در همکاری با این موضوع اعلام نموده اند. نکاتی درباره محافظت سیستم خود از بدافزار
  1. از آنتی ویروس استفاده کنید.
  2. مشکوک باشید.
  3. سایت‌های نرم‌افزار یا پرتال‌های دانلود قابل اعتماد را ببینید.
  4. فقط از منابع اداری یا انشعاب های قابل اعتماد GitHub استفاده کنید. ناآگاهانه منابع دانلودی GitHub را کامپایل یا اجرا نکنید.

منابع

تارنمای www.blog.avast.com