Neverquest؛ بدافزار هوشمند بانکی که به دام نمی‌افتد

مبداء Neverquest

در گزارشی که به‌تازگی توسط تیم تحقیقاتی ASERT (سرنام  Arbor Security Engineering and Response Team) منتشر شده است نشان می‌دهد، چگونه یک بدافزار اغواگر بانکی به‌نام Neverquest یا Vawtrak توانایی گریز از سیستم‌های شناسایی را با استفاده از تکنیک‌های رمزنگاری، روترهای ناشناس و حتی به‌کارگیری تکنیک‌های پنهان‌سازی دارد.

اما ریشه و مبدأ شکل‌گیری این بدافزار در کجاست؟ در اصل، یک خانواده شناخته شده از بدافزار Ursniff برای ساخت بدافزار جدیدی به نام Gozi مورد استفاده قرار گرفتند. سال‌ها تجزیه و تحلیل‌ روی این بدافزار انجام شد که نشان داد یک تروجان بانکی است. بعد از موفقیت‌هایی که Gozi به دست آورد، ناگهان غیرفعال شد. Gozi زندگی دوباره‌ای را با نام Gozi Prinimalka آغاز کرد. این بدافزار جدید راه تکامل را به سرعت پیمود و به بدافزار مدرن و پیشرفته  Vawtrak/Neverquest تبدیل شد. در 24 مارس شرکت AVG نتیجه تحقیقات خود را درباره آخرین فعالیت‌های Nerverquest منتشر کرد که نشان داد این بدافزار از دامنه tor2web برای دانلود نسخه‌‌های به‌روزشده استفاده می‌کند. دامنه tor2web در کتابخانه Neverquest برای ماه‌ها قابل روئیت بود، اما ماهیت اصلی به‌کارگیری این سایت‌ها توسط Neverquest تا زمانی‌که مؤسسه Abor در نیمه مارس 2015 تحقیقاتی را روی آن انجام داد به درستی مشخص نبود.

مروری بر تهدید نرم‌افزار مخرب Neverquest

کریک سولوک، مدیر تهدیدات و پاسخ‌گویی هوشمند در Abor Network می‌گوید: « Neverquest بدافزاری است که به طور ویژه مورد مطالعه ما قرار گرفته است، به دلیل این‌که تهدید مستقیمی برای مؤسسات مالی به شمار می‌رود.» Neverquest یک قطعه‌ کاملا پیچیده بدافزاری است که به دلیل به کارگیری تکنیک‌های متنوع توسط آن نه تنها فرآیند شناسایی آن‌را سخت‌تر کرده است، بلکه امکان دنبال کردن شیوه کارکرد آن‌را برای محققان امنیتی با مشکل همراه ساخته است. این بدافزار تاکنون به بیش از 100 مؤسسه مالی بزرگ در 25 کشور جهان آسیب رسانده است. این بدافزار با استفاده از بدافزارهای ثالثی که از قبل روی دستگاه کاربر نصب شده‌اند، وارد شده و سپس با استفاده از راه‌های مختلف اقدام به دریافت و سرقت اعتبار بانکی کرده و همچنین به بررسی شبکه‌های اجتماعی و حساب‌های ایمیل مورد استفاده کاربر می‌پردازد. سولوک می‌گوید: « هدف اولیه این بدافزار سرقت اعتبار مشتریانی است که از مؤسسات مالی استفاده می‌کنند.»

هنگامی که هکرها این اعتبار را به دست می‌آورند، با استفاده از کامپیوتر کاربر و اطلاعات ثبت شده به حساب بانکی او وارد می‌شوند. به دلیل این‌که در این روش هکرها از مکان‌های عجیب و غریب برای وارد شدن به حساب بانکی استفاده نمی‌کنند؛ در نتیجه مؤسسات مالی در شناسایی این‌که آیا موردی اشتباه یا مشکوک است به سختی می‌توانند عمل کنند. هکرها حتی توانایی دستکاری معاملات را در حالی‌که روی سیستم مشتری نشسته‌اند را دارند. توانایی عبور از تکنیک‌های مختلف امنیتی که مردم تصور می‌کنند با استفاده از آن‌ها در امنیت هستند از شگردهای این بدافزار به شمار می‌رود. اما مقصد این بدافزار فقط بانک‌ها یا آنتی‌ویروس‌های مورد استفاده توسط کاربران نیست. طراحان این بدافزار از تکنیک‌های پنهان‌سازی زیادی در ارتباط با این بدافزار استفاده کرده‌اند که همین موضوع باعث شده است محققان امنیتی در مورد شناسایی این‌که این بدافزار چگونه کار کرده و چگونه می‌توان آن‌را متوقف کرد ناتوان بمانند. این عدم توانایی، به وجود مشکل تاریخی که در سیستم‌های شناسایی بدافزار قرار دارد باز می‌گردد. حتی اگر کاربران آنتی‌ویروس‌ها، نرم‌افزار خود را به طور مرتب به‌روزرسانی کنند باز هم با یک تغییر ساده و در حد چند بایت، آنتی‌ویروس‌ها دیگر قادر به شناسایی آن نخواهند بود. این بدافزار از تکنیک رمزنگاری در کدهای خودش استفاده می‌کند که همین موضوع شناسایی آن‌را با مشکل همراه می‌سازد. همچنین از ارتباطات رمزنگاری شده با زیرساخت‌های کنترلی و فرمان‌های خاص خود استفاده می‌کند. Neverquest همچنین از شبکه TOR که روشی برای ارسال مخفی اطلاعات در داخل تصاویر را ارائه می‌کند استفاده می‌کند. سولوک می‌گوید: « با دانلود تصاویر به ظاهر بی خطر بدافزار در واقع برای به‌روزرسانی زیرساخت‌های کنترلی و فرمان‌دهی استفاده می‌کند.»

عملکرد بدافزار

1. قواعد تزریق وب

دستورالعمل مکانی‌که محتوای مخرب در یک نشست HTTP  باید به آن وارد شود به صورت زیر است:

هر قاعده تزریق از قالبی این چنینی پیروی می‌کند.

($target_url_regex, $injection_point, $content_to_be_injected, $flags)

یک مثال

(‘client.schwab.com/Accounts/’, ‘</body>’, ‘<script>\r\nLoadPageGood();\r\n</script>\r\n</body>’, ‘\x0c\x07 ‘)

به این معنی که برای هر آدرس URL مطابق با الگوی client.schwab.com/Accounts اولین عنصر </body> با کدهای مخرب جاوااسکریپت جایگزین می‌شود.

2. سرقت درخواست‌های HTTP

فهرستی از تریگر آدرس‌های URL که درخواست‌های HTTP آن باید به  Neverquest  ارسال شود، تهیه می‌شود.هر تریگر URL که به صورت ($trigger_url, $flags) قالب‌بندی شده باشد، به عنوان هدف شناخته می‌شود.

یک مثال

(‘flickr.com/services/xmlrpc/’, 32)

3. تریگر رشته‌ها: سرقت پاسخ‌های HTTP

زمانی‌که Neverquest به یک رشته تریگر در هر واکنش HTTP می‌رسد، یک کپی از واکنش (Response) را به C2 ارسال می‌کند.

یک مثال

'available balance'

Neverquest یک تهدید جهانی است

تحقیقات نشان می‌دهد 25 کشور مختلف جهان حداقل ‌یک‌بار میزبان این بدافزار بوده‌اند و حداقل یک سایت هدف تزریق وب Neverquest قرار گرفته است. میزان تأثیرگذاری Neverquest در کشورهای مختلف با استفاده از داده‌های جغرافیایی مربوط به آدرس‌های IP که عمل تزریق کد Neverquest در آن انجام شده است را در تصویر زیر مشاهده می‌کنید.

نمودار گرافیکی زیر ارتباط 50 شناسه پروژه Neverquest (رنگ زرد) را با 25 کشور آلوده شده ( رنگ آبی) نشان می‌دهد.

در مجموع از 1 مارس تا 26 مارس نزدیک به 64500 هزار آدرس IP در ارتباط با Neverquest  توسط مؤسسه Abor شناسایی شده است.

تجزیه و تحلیل‌های بیشتر در ارتباط با مکان قربانیان Neverquest و اهدافی که Neverquest تزریق کد را به ‌آن‌ها انجام داده است، در تصویر زیر آمده است. همان‌طور  که انتظار می‌رفت، مرکز تراکم در در ایالات متحده و به موازات آن دیگر کشورها است.

در حالی‌که تراکم فراوانی در ایالت متحده و در ادامه در دیگر کشورها قرار دارد اما به نظر می‌رسد، انگلستان بیشترین ضربات را متحمل شده است.

در منطقه اقیانوسیه و آسیا، فعالیت‌های این بدافزار در ژاپن قربانیان زیادی داشته و در مقیاس کمتری در کره جنوبی فعال بوده است.

زمانی که یک تریگر URL در یک درخواست POST شناسایی شود؛  Neverquest اقدام به ارسال یک کپی از داده‌های ارسال شده به C2 می‌کند. در 25 مارس Abor نزدیک به 153 تریگر URL بی‌همتا را در پیکربندی Neverquest شناسایی کرد. جدول زیر 25 مورد از 153 آدرسی که داده‌های آن‌ها ارسال شده است را نشان می‌دهد.

Arbor موفق شده است به لایه‌برداری از لایه‌های مورد استفاده توسط این بدافزار به پردازد. شروع این‌کار با دامین‌های کنترلی و فرمان‌های کدگذاری پیچیده انجام شد و در ادامه بعضی از داده‌های به دست آمده را به دامنه‌های Onion انتقال داده شد. در این بررسی نزدیک به 609 فرمان یکتا و مکان کنترلی برای این بدافزار شناسایی شد. به اضافه، سرورهایی که بیشتر در غرب و شرق اروپا قرار داشتند. همچنین اهداف این بدافزار 100 تا 200 مؤسسه مالی مختلف با صدها سایت وابسته به این مؤسسات بودند. برای هر کدام از این سایت‌ها چندین صفحه وب به عنوان هدف تزریق بدافزار شناسایی شدند که برای هر کدام از این صفحات چندین نقطه تزریق وجود داشته‌اند. سولوک می‌گوید: « یکی از دلایلی که باعث می‌شود هکرها توانایی تخصیص و تزریق بدافزارها به این منابع را داشته باشند به افزایش سطح تخصصی که در صنعت بدافزار به وجود آمده است، باز می‌گردد.» مؤسسه تحقیقاتی Arbor بعد از پژوهش‌های انجام شده به تازگی اعلام کرده است، سیستم‌های Sophos نیز به این بدافزار آلوده شده‌اند و این بدافزار به عنوان بخشی از یک سرویس خدمت‌رسانی در سیستم‌های سوفوس به فعالیت مشغول بوده است.