تحليل كارشناسان در مورد نمونه‌های بدافزار Uroburos

تاريخ:93/4/16
محققين به تازگي دريافتند كه احتمالاً زمان آغاز فعاليت بدافزار روسي Snakeيا Uroburos، كه در سال 2011 توسط شركت امنيتي آلماني GDATA معرفي گرديد، به سال 2006 برمي گردد. شركت امنيتي G-DATA هفته پيش مقاله اي را منتشر كرد كه در آن در مورد بدافزار Uroburos توضيحاتي داده است[1]. بدافزار Uroburos يك rootkit است كه متشكل از دو فايل است كه قادر مي باشد ماشين هاي آلوده را كنترل كند، دستورات دلخواه را اجرا نموده، فعاليت هاي سيستم را مخفي كند، و در تهايت اطلاعات را سرقت و ترافيك شبكه را ضبط نمايد.
نام اين بدافزار از كلمه يوناني (Οὐροβόρος) كه يك نماد باستاني يوناني از يك مار يا اژدهايي است كه دم خود را مي بلعد، آمده است. در يكي از رشته هاي متن بدافزار، عبارت Ur0bUr()sGotyOu# مشاهده مي شود.
محققين آلماني معتقدند كه يك سازمان روسي پشت اين بدافزار پيشرفته است. جزييات فني نشان مي دهد كه گروه پشت بدافزار Uroburos همان گروهي است كه در سال 2008 تعدادي حمله هدفمند سايبري با نام Agent.BTZ بر عليه آمريكا داشته اند. بررسي ها نشان مي دهد كه يك گروه فني پيچيده و به خوبي سازمان دهي شده در حال توسعه و استفاده از اين ابزارها در هشت سال گذشته بوده است. شواهدي وجود دارد كه اين ابزارها را به حملات قبلي روس ها مرتبط مي كند ولي دقيقاً نمي توان گفت كه چه كسي پشت اين حملات هدفمند است. اين شركت امنيتي معتقد است در جايگاهي نيست كه بتواند قربانيان خاص اين بدافزار را فاش كند ولي تحليل نمونه هاي بدافزار، قربانياني را در اروپاي شرقي كشف كرده است. اما در كل، مهاجمين گروه هاي مختلفي در جهان را براي بدست آوردن اطلاعات حساس مورد هدف قرار داده اند[2].
محققين اين مسئله كه شبكه ها چگونه مورد هدف اين بدافزار قرار گرفته اند را بيان نكرده اند ولي مي توان گفت كه بدافزارهاي مشابه در گذشته از طريق حملات فيشينگ، حملات drive-by و حتي حافظه هاي USB منتقل شده اند.
واقعيت اين است كه طيف وسيعي از تكنيك ها براي حمله گروه هاي مهاجم وجود دارد تا در نهايت به سازمان ها نفوذ كنند و با روش هايي دسترسي لازم را بدست آورند. بنابراين سازمان ها نياز به ابزارهاي مختلف براي دفاع از خود را دارند.
اجزاي تشكيل دهنده بدافزار:

• يك درايور (فايل .sys)
• يك سيستم فايل مجازي(.dat)

نام هاي مختلفي براي driver مشاهده شده است : Ultra3.sys, msw32.sys, vstor32.sys كه نسخه هاي مختلفي يراي سيستم هاي 32 بيتي و 64 بيتي دارد. ولي سيستم فايل مجازي با نام هاي تصادفي و پسوند .dat مي باشد. در ضمن در startup سيستم، سرويس زير قرار مي گيرد:

• HKLM\System\CurrentControlSet\Services\Ultra3

اطلاعات ديگر[3]:

SHA256: BF1CFC65B78F5222D35DC3BD2F0A87C9798BCE5A48348649DD271CE395656341
MD5: 320F4E6EE421C1616BD058E73CFEA282
Filesize: 210944

منابع:

1. https://public.gdatasoftware.com/Web/Content/INT/Blog/2014/02_2014/documents/GData_Uroburos_RedPape…
2. http://www.scmagazine.com/experts-analyze-snake-uroburos-malware-samples-dating-back-to-2006/articl…
3. https://www.virustotal.com/en/file/bf1cfc65b78f5222d35dc3bd2f0a87c9798bce5a48348649dd271ce395656341…