بدافزار PlugX

1    بدافزار PlugX
تیم تحقیقاتی و امنیتی Sekoia با انتشار گزارشی، از انتشار یک کرم رایانه‌ای بسیار خطرناک با نام PlugX خبر داد. بدافزار PlugX نوعی Post-Exploitation RAT می‌باشد که پس از نفوذ به سیستم قربانی می‌تواند اعمال مخرب خود را انجام دهد. این کرم از طریق حافظه‌های USB انتشار یافته و ایران در لیست آلوده‌ترین کشورها به این بدافزار می‌باشد. در ادامه برخی از نکات اولیه شناسایی شده درباره PlugX ذکر شده‌ است:
•    این بدافزار حدودا 4 سال قبل به تعداد زیادی دستگاه در سراسر دنیا حمله کرد و تاکنون حدود 90 هزار آدرس IP منحصر به فرد همچنان آلوده می‌باشند.
•    در این بدافزار امکان ارسال دستور برای پاکسازی ایستگاه‌های کاری آلوده وجود دارد.
•    در سال 2023 یک سرور C2 مربوط به این بدافزار با استفاده از تکنیک Sinkhole شناسایی شده است.
در ماه مارس سال 2023 میلادی شرکت امنیت سایبری Sophos گزارش داد: همه نمونه‌های PlugX با نشانی 45.142.166.112 (که توسط شرکت GreenCloud میزبانی می‌شود) ارتباط برقرار می‌کنند. لذا در ماه سپتامبر همان سال، شرکت امنیت سایبری Sekoia پس از درخواست از GreenCloud مالکیت این نشانی IP را به دست آورده و با راه‌اندازی یک کارگزار وب ساده تلاش کرد نقش کارگزار فرماندهی و کنترل (C&C) PlugX را ایفا کند. بررسی‌های صورت گرفته توسط این شرکت نشان می‌دهد که روزانه بین 90 تا 100 هزار میزبان آلوده با نشانی IP یکتا از بیش از 170 کشور درخواست‌هایی را به این کارگزار وب ارسال می‌کنند. همان‌طور که در شکل زیر مشاهده می‌شود، در میان این کشورها، 15 کشور شامل نیجریه، هند، چین، ایران، اندونزی، بریتانیا، عراق و ایالات متحده آمریکا بیش از 80 درصد کل آلودگی‌ها را به خود اختصاص داده‌اند و درصد آلودگی میزبان‌ها به تفکیک هر کشور در سوم ماه آوریل سال 2024 میلادی نمایش داده شده است.
 

میزان آلودگی به بدافزار PlugX در دنیا

1-1    تاریخچه بدافزار
•    براساس اطلاعات منتشر شده توسط Trend-Micro، بدافزار PlugX از سال 2008 وجود داشته است.
•    اولین مقالات و تحقیقات منتشر شده از بدافزار PlugX به سال 2012 برمی‌گردد.
•    بدافزار PlugX از ابتدای شناسایی اولیه تاکنون به‌روزرسانی‌های بسیاری داشته و از بین رفتن آن دور از انتظار است.
•    بدافزار PlugX از نسخه اصلی خودش تاکنون، عمدتأ دولت‌ها و سازمان‌های سیاسی را مورد هدف قرار داده و در مواردی به بخش‌های خصوصی نفوذ کرده است.
•    در سال 2016 یک آژانس گردشگری در ژاپن، نشت اطلاعات 7.93 میلیونی خود را تایید و سپس توسط Trelix عامل اصلی حمله، بدافزار PlugX شناسایی شد.

1-2    اهداف PlugX
کرم PlugX اولین بار در سال 2008 در سیستم تشخیص نفوذ چندین اپراتور مشاهده شد. به دلیل اینکه از سال 2018 به بعد تعداد نمونه‌های مشابهی از این بدافزار با قابلیت‌های مختلف و متعدد کشف شده‌اند، به نظر می‌رسد که کد منبع آن منتشر شده و توسط سودجویان در حال بهره‌برداری می‌باشد. آخرین نمونه بدافزاری کشف شده از PlugX سعی دارد با استفاده از فلش‌های آلوده به دستگاه‌ها نفوذ کند. دیگر اهداف اصلی PlugX عبارتند از:
•    دور زدن Airgapها
•    آلوده‌سازی شبکه‌ها از راه دور (از طریق اینترنت) و سرقت داده‌ها
•    اجرا و فراخوانی یک فایل DLL آلوده در پس‌زمینه
•    ثبت کلید
•    عکس‌برداری از صفحه نمایش قربانی
•    مدیریت پردازه‌ها در ماشین قربانی
•    راه‌اندازی مجدد ماشین قربانی
•    کنترل از راه دور صفحه کلید
•    انتقال اسناد PDF و Word از ماشین قربانی به پوشه‌های پنهان در دستگاه (درایو) USB

2    تحلیل نمونه بدافزار
براساس اطلاعات منتشر شده، نسخه‌های زیادی در طول چند سال اخیر تاکنون از بدافزار PlugX منتشر شده است و هریک با عملکرد و رفتار خاصی ظاهر شده‌اند. مطابق با جدول زیر می‌توان اطلاعات مربوط به IoCهای کشف شده از آخرین نسخه بدافزار را مشاهده نمود.
 

IoCهای بدافزار

2-1    تحلیل ایستا
تحلیل ایستای بدافزار PlugX با استفاده از تارنمای VirusTotal مطابق با شکل زیر قابل مشاهده می‌باشد. تقریبا تمامی موتورهای ضد ویروس، این فایل را مخرب شناسایی کردند. 
 

تحلیل ایستای بدافزار با استفاده از VirusTotal

در جدول زیر نیز، اطلاعات اولیه بدافزار درج شده‌ است:
 

اطلاعات اولیه بدافزار

بخشی از سورس کُد فایل اجرایی بدافزار PlugX توسط ابزارهای موجود استخراج شده است که در ادامه به بررسی قسمت‌های مشکوک آن پرداخته خواهد شد. در حالت کلی تمامی فایل‌های اجرایی در سیستم‌عامل ویندوز اجازه دارند از برخی کتابخانه‌ها که بصورت فایل DLL وجود دارند، استفاده کنند. اگر برنامه‌ای از کتابخانه‌های سطح پایین سیستم‌عامل استفاده کند، می‌تواند پتانسیل رفتار مشکوک یا فعالیت مخرب را داشته باشد. مطابق با شکل زیر، پس از دی‌کامپایل کردن فایل اجرایی بدافزار PlugX تعدادی DLL که دسترسی‌های زیادی به فایل اجرایی می‌دهند نیز کشف شده است.
 

فایل‌های DLL که دسترسی زیادی به بدافزار می‌دهند

مطابق با شکل زیر، دو متغیر محلی در بدنه تابع entry وجود دارد که مشخص نیست چه کاری قرار است انجام دهند.
 

متغیر با کاربرد نامشخص در بدنه کُد

همچنین در بخش اصلی کُد، همواره یک حلقه در حال اجرا است که در بین آن یک Sleep پنج ثانیه‌ای وجود دارد. به نظر می‌رسد این فرایند جهت بررسی وجود حافظه USB جدید برای آلوده‌سازی آن باشد. 
 

حلقه مشکوک همراه با Sleep

در ادامه کُد منبع بدافزار، تابعی وجود دارد که از آن، جهت تغییر مقادیر حافظه استفاده می‌شود. در حالت کلی این رفتار مشکوک محسوب می‌شود. زیرا با استفاده از این متدولوژی می‌توان فعالیت‌های مشکوک در حافظه را مخفی نمود. 
 

تابع ناشناس جهت مخفی‌سازی فعالیت‌های مشکوک

2-2    تحلیل پویا
تحلیل پویای بدافزار بخشی از فرایند اصلی شناسایی عوامل تخریب و علل رخداد می‌باشد. پس از طی این فرایند می‌توان ارتباطات بدافزار و نحوه فعالیت آن را ثبت نمود. فرایند تحلیل پویا برای بدافزار PlugX در محیط ایزوله REMnux صورت گرفته است. براساس اطلاعات بدست‌آمده از تیم تحقیقاتی Sophos، این بدافزار از تکنیک DLL-Side-Loading جهت مخفی‌سازی فعالیت‌های خود استفاده می‌کند. در این روش آلوده‌سازی سیستم قربانی از طریق فایل DLL رخ می‌دهد و بدافزار سعی می‌کند یک برنامه بی‌خطر و سالم را از طریق بارگیری یک DLL آلوده (به جای DLL اصلی) فریب دهد. با بارگیری فایل DLL آلوده، امکان اجرای کُدهای مخرب دلخواه توسط بدافزار به راحتی فراهم می‌شود. در شکل زیر می‌توان یک معماری ساده از عملکرد روش DLL-Side-Loading را مشاهده نمود:

 

معماری روش DLL-Side-Loading

بدافزار PlugX از اولین نسخه آن تاکنون تغییرات زیادی داشته است. آخرین نسخه آن که در حال بررسی آن هستیم، از طریق فلش‌مموری‌ها به سیستم افراد نفوذ و همچنین ساختاری مشابه با کرم‌های کامپیوتری دارد. به عبارت دیگر خودش را به شکل‌های مختلف به سیستم‌های دیگر منتقل و به تدریج مانند یک ویروس به سایر سیستم‌ها نیز سرایت می‌کند. در حالت کلی، PlugX با اتصال یک فلش مموری به سیستم آلوده سه جزء اصلی به حافظه USB اضافه می‌کند:
•    یک Shortcut ویندوزی همنام با اسم حافظه USB (علت اصلی این عمل آن است که کاربر قربانی وقتی نامی مشابه با نام حافظه USB خود می‌بیند، فریب خورده و بر روی آن کلیک کند)
•    سه فایل مجزا برای اجرای کُدهای مخرب:
o    یک فایل اجرایی بی خطر (مانند Adobe-Acrobat)
o    یک فایل مخرب DLL
o    یک قطعه کُد باینری
•    یک پوشه مخفی RECYCLER.BIN (بدافزار فایل‌های گفته شده را درون این پوشه مخفی نگه می‌دارد.)
در ادامه تمامی فایل‌های اصلی موجود بر روی حافظه USB درون یک پوشه منتقل می‌شود که نام آن معمولا فاصله غیر شکسته (non-breaking space character) است. برای پنهان‌سازی نام پوشه از کاراکتر یونیکد (Unicode) 00A0 استفاده می‌شود. بنابراین در فرایند بررسی بدافزار، چنانچه کُدی مبنی بر ایجاد پوشه با کُد 0xA0 مشاهده شود، بخشی از فعالیت مشکوک بدافزار را افشاء می‌کند.
 

پوشه با فاصله غیر شکسته

سپس بدافزار فایل‌های مخرب خود را درون مسیر زیر کپی می‌کند:

%userprofile%/AvastSvcpCP/

هنگامی که کاربر قربانی دستگاه USB را باز می‌کند، تنها یک فایل میانبر به وی نمایش داده می‌شود. با کلیک بر روی این فایل میانبر، زنجیره آلوده‌سازی به بدافزار اجرا می‌شود. در این زنجیره، ابتدا بدافزار پنجره فعلی را بسته و پنجره جدیدی را باز می‌کند که محتویات قانونی در پوشه پنهان (پوشه با نام 00A0) را نمایش می‌دهد. سپس بدافزار، جهت ماندگاری، خود را به داخل میزبان قربانی منتقل و یک کلید رجیستری جدید در آدرس HKCU[…]\CurrentVersion\Run ایجاد می‌کند. در نهایت، مجددأ از میزبان قربانی اجرا و هر 30 ثانیه درگاه‌های USB را بررسی می‌کند و درصورت اتصال یک دستگاه USB جدید آن را به‌طور خودکار آلوده می‌کند در شکل زیر می‌توان ساختار یک حافظه آلوده به PlugX را در مقابل یک حافظه فلش سالم مشاهده نمود.
 

حافظه سالم در مقابل حافظه آلوده به PlugX

در برخی از نسخه‌های بدافزار PlugX USB جهت پنهان‌سازی مسیر فایل‌های مخرب هم از کاراکتر یونیکد 00A0 استفاده می‌شود. در  ادامه از یک فایل میان‌بر روی دستگاه USB که به یک فایل مخرب اشاره می‌کند، نمایش داده شده است. مطابق با شکل 10 کاراکتر یونیکد 00A0 (فضای خالی) در مسیر فایل مخرب با رنگ زرد مشخص شده است. فایل میانبر در یک ویرایشگر هگز نمایش داده شده است.

مثالی از یک فایل میان‌بر روی دستگاه USB که به فایل مخرب اشاره می‌کند

 

فایل میان‌بر در یک ویرایشگر هگز

در ادامه این بخش، مراحل آلوده‌سازی یک دستگاه (درایو) USB توسط بدافزار PlugX USB با جزئیات بیشتر شرح داده می‌شود:
1)    ابتدا پوشه فایل‌های مخرب روی دستگاه USB ایجاد می‌شود:

<usb volume>:\u00A0\u00A0\RECYCLER.BIN\files

برای مثال،

F:\ \ \RECYCLER.BIN\files

2)    سپس یک فایل پنهان با نام desktop.ini در هر پوشه ایجاد می‌شود. این فایل که آیکون (Icon) پوشه را مشخص می‌کند، شامل داده‌های زیر است:

[.ShellClassInfo]
IconResource=%systemroot%\system32\SHELL32.dll,7

سیستم‌عامل ویندوز از فایل Shell32.dll جهت بازیابی تصاویر آیکون‌های فایل‌ها، پوشه‌ها و میان‌برها استفاده می‌کند. این فایل حاوی فهرست آیکون‌ها و یک شماره منحصربه‌فرد برای هر آیکون است. در مثال فوق، از آیکون درایو و عدد 7 استفاده شده است که در شکل زیر نمایش داده شده است.
 

نمایش آیکون درایو

استفاده از این آیکون باعث می‌شود که پوشه‌ها هنگامی که در Windows Explorer ظاهر می‌شوند، به‌صورت درایو نمایش داده شوند.
3)    در زیرپوشه RECYLER.BIN از مسیر فایل‌های مخرب، فایل پنهان desktop.ini ایجاد می‌شود. این فایل شامل داده‌های زیر می‌باشد:

[.ShellClassInfo]
CLSID = {645FF040-5081-101B-9F08-00AA002F954E}

استفاده از این CLSID باعث می‌شود که Windows Explorer جهت نمایش پوشه RECYCLER.BIN از آیکون سطل زباله استفاده کند.
 

استفاده از آیکون سطل زباله جهت نمایش پوشه RECYCLER.BIN

4)    در زیرپوشه files از مسیر فایل‌های مخرب، سه فایل با پسوندهای .dat، .dll و .exe ذخیره می‌شود.
 

ذخیره‌سازی سه فایل با پسوندهای .dat، .dll و .exe در زیرپوشه files از مسیر فایل‌های مخرب

5)    دستگاه USB آلوده، تنها شامل یک فایل با پسوند .lnk (فایل میان‌بر) است. سایر فایل‌ها و پوشه‌ها پنهان شده‌اند. در شکل زیر، نام فایل میان‌بر TESTDRIVE می‌باشد که با نام دستگاه USB مطابقت دارد.
 

نمایش فایل میان‌بر در ریشه دستگاه USB آلوده

فایل میانبر مسئول آلوده‌کردن میزبان قربانی با هربار کلیک بر روی آن است. به‌عنوان مثال، فایل میانبر در شکل فوق، شامل داده‌های زیر است:

%comspec% /q /c " \ \RECYCLER.BIN\files\x32dbg.exe"

هنگامی که کاربر روی فایل میانبر کلیک می‌کند، برنامه x32dbg.exe، دستگاه قربانی را آلوده کرده و فایل‌ها و پوشه‌های مجاز پنهان‌شده در دستگاه USB آلوده را به کاربر نمایش می‌دهد که منجر خواهد شد وی به اشتباه تصور کند همه‌چیز عادی است.
در شکل زیر می‌توان لیست کتابخانه‌های ویندوزی که از این فایل بدافزار جهت پیاده‌سازی اعمال مخرب سوءاستفاده می‌کند را مشاهده نمود.
 

لیست کتابخانه‌های فراخوانی شده

در ادامه می‌توان لیستی از موارد مشکوک در بدافزار را مشاهده نمود.
 

موارد مشکوک در بدافزار

 

همچنین در جدول زیر، توضیحات کامل‌تری از دسته‌بندی فعالیت‌های مشکوک بدافزار ارائه شده است:
 

دسته‌بندی فعالیت‌های مشکوک بدافزار

براساس اطلاعات بدست آمده، ارتباط بدافزار با یک سرور C2 کاملا مشهود است. به دلیل اینکه بسیاری از دسترسی‌های مربوط به شبکه اینترنت از طریق بدافزار میسر شده و می‌تواند درخواست‌های HTTP را ارسال/دریافت نماید. مطابق با شکل زیر، بیشترین سهم دسترسی‌ها مربوط به Network، Execution و Security می‌باشد.
 

توزیع رفتارهای مشکوک بدافزار

 روش‌های تشخیص و شناسایی بدافزار PlugX
در این بخش از گزارش به بررسی روش‌های تشخیص بدافزار PlugX خواهیم پرداخت. اطلاع از این روش‌ها به مدیران فناوری اطلاعات، کارشناسان امنیت، کارشناسان فارنزیک و تحلیل‌گران بدافزار کمک خواهد کرد تا قبل از وقوع رخداد، پیشگیری‌های لازم را انجام داده و یا در صورت وقوع رخداد بتوانند از آسیب‌های احتمالی بیشتر جلوگیری نمایند. تشخیص بدافزار PlugX به دلیل وجود نسخه‌های مختلف، فعالیت‌های متنوع، تکنیک‌های ماندگاری و مخفی‌سازی خود در برابر سپرهای امنیتی، بسیار چالش برانگیز است. با این حال روش‌هایی برای شناسایی آن وجود دارد:
1.    تجزیه و تحلیل رفتار: نظارت بر فعالیت‌های غیرمعمول مانند اتصالات غیرمنتظره در شبکه، افزایش مصرف منابع سیستم و تغییرات غیرعادی در فایل‌سیستم
2.    ارتباطات شبکه: در حالت کلی بدافزار PlugX سعی می‌کند رفتارهای مختلف و عجیبی را بر روی سیستم قربانی پیاده‌سازی کند و این کار تنها از طریق اتصال به یک سرور C2 امکان پذیر است. بنابراین شنود و مانیتورینگ ترافیک شبکه امری بسیار مهم در شناسایی بدافزار محسوب می‌شود.
3.    صحت فایل‌ها: بررسی یکپارچگی و صحت فایل‌های موجود در سیستم می‌تواند تا حد زیادی به شناسایی بدافزار کمک کند. زیرا بدافزار با ایجاد تغییرات در فایل‌های DLL و جایگزینی DLLهای آلوده با سالم، سعی بر مخفی ماندن دارد.
4.    تشخیص با EDR: بهترین راه حل جهت شناسایی بدافزار استفاده از EDR می‌باشد. در حالت کلی EDR با تحلیل رفتار بدافزار می‌تواند IoCهای بدافزار را به راحتی کشف کند.
5.    استفاده از Multi-AV: استفاده از ابزارهای Multi-AV می‌تواند کمک بسیار بزرگی به جلوگیری از آلوده شدن سیستم‌ها در سازمان کند.
6.    تحلیل حافظه: استفاده از ابزارهایی که رفتار حافظه را تحلیل می‌کنند می‌تواند کمک بزرگی به تشخیص بدافزار و رفتارهای مشکوک در سیستم کند.
7.    تحلیل رجیستری ویندوز: با بررسی کلید‌های رجیستری ویندوز، دسترسی‌هایی که به آن وجود دارد و تغییرات اعمال شده در رجیستری به راحتی می‌توان آلودگی به بدافزار را تشخیص داد. بعنوان مثال بدافزار PlugX با ایجاد یک کلید در رجیستری ویندوز سعی دارد دسترسی خود را با روشن شدن مجدد سیستم حفظ نماید. بنابراین استفاده از ابزارهای تحلیلگر رجیستری می‌تواند به راحتی بدافزار را شناسایی و رفتار مشکوک را اطلاع دهد.
8.    نظارت بر فعالیت‌های کاربر: به دلیل اینکه بدافزار به یک سرور C2 متصل است و اغلب فعالیت‌ها از راه دور انجام می‌شوند، بهتر است که نظارت بیشتری بر کاربران سیستم صورت پذیرد.

3-1    قوانین YARA
در ادامه جهت شناسایی بدافزار، می‌توان از قوانین نوشته شده به زبان YARA استفاده نمود:

rule apt_MustangPanda_PlugXWorm_lnk {
    meta:
        id = "bea0b6e6-0999-431d-8ea2-324aa7497657"
        version = "1.0"
        malware = "PlugXWorm"
        intrusion_set = "MustangPanda"
        description = "Detects PlugXWorm Malicious LNK"
        source = "Sekoia.io"
        classification = "TLP:WHITE"
    strings:
        $ = "RECYCLER.BIN\\1\\CEFHelper.exe" wide
    condition:
        uint32be(0) == 0x4c000000 
        and filesize < 2KB
        and all of them 
}

import "pe"
rule apt_MustangPanda_MaliciousDLL_random_exports {
    meta:
        id = "d14ae417-bc6f-40b1-a027-084522fce516"
        version = "1.0"
        intrusion_set = "MustangPanda"
        description = "Detects malicious DLL used by MustangPanda"
        source = "Sekoia.io"
        classification = "TLP:WHITE"
    strings: 
        $trait = { 66 89 55 FC } 
    condition: 
        pe.is_dll() and filesize < 100KB and 
        for any e in pe.export_details: (
            $trait in (e.offset..e.offset+50)
            and e.name matches /^[a-z]{10,}$/
        )
        and not pe.is_signed
}

توصیه‌های امنیتی
در بخش قبل، جهت حفظ دارایی‌های سازمان و جلوگیری از وقوع رخدادهای مخرب، مواردی پیشنهاد گردید، در این بخش از گزارش توصیه‌هایی جهت انجام اقدامات پس از وقوع حادثه و پاسخگویی به آن ارائه می‌گردد:
1.    به‌روزرسانی منظم سیستم‌های‌عامل، آنتی‌ویروس‌ها و نرم‌افزارها: اعمال به‌روزرسانی‌های امنیتی در سازمان یکی از بخش‌های اصلی برقراری امنیت می‌باشد. بنابراین بهتر است تمامی سیستم‌های‌عامل و آنتی‌ویروس‌ها همواره به‌روزرسانی‌ شوند.
2.    آموزش به کارکنان و نیروی انسانی: در حالت کلی، اگر سازمانی حداکثر تدابیر امنیتی را رعایت کند اما نیروی انسانی مستقر در سازمان به استانداردهای امنیتی آشنا نباشد، سازمان به راحتی قابل نفوذ می‌باشد. بنابراین آموزش اقدامات امنیتی به نیروی انسانی یکی از اقدامات مهم در این زمینه به شمار می‌آید.
3.    کنترل دسترسی‌های ممتاز: محدودسازی دسترسی‌ها در سازمان یکی از مهم‌ترین اقداماتی است که می‌توان انجام داد و اجرای این موارد با راه‌اندازی محصولات مبتنی بر فناوری PAM میسر است.
4.    طرح واکنش به حادثه: استفاده از تیم‌های پاسخگویی به حوادث امنیتی یکی از سازوکارهایی است که می‌تواند تا حد زیادی به امنیت فعلی سازمان کمک کند.

نتیجه‌گیری
در این گزارش یکی از آخرین نسخه‌های بدافزار PlugX مورد تحلیل و بررسی قرار گرفت. توصیه می‌شود در صورت نیاز به تحلیل مجدد بدافزار، آن را در یک محیط ایزوله و شبیه‌سازی‌شده مانند SandBox، بدون هیچگونه اتصال به محیط بیرون، اجرا و بررسی کرد.

منابع گزارش:

[1]Detection Methods of PlugX Malware | by Lokesh Jindal | Apr, 2024 | Medium
[2]https://blog.sekoia.io/unplugging-plugx-sinkholing-the-plugx-usb-worm-botnet
[3]MalwareBazaar | Download malware samples (abuse.ch)
[4]THREAT ANALYSIS REPORT: PlugX RAT Loader Evolution (cybereason.com)
[5]https://www.bleepingcomputer.com/news/security/researchers-sinkhole-plugx-malware-server-with-25-mi…
[6]Mike Harbison and Jen Miller-Osborn, Chinese PlugX malware hidden in your USB devices?, January 2023. [Online].
[7]Gabor Szappanos, A border-hopping PlugX USB worm takes its act on the road, March 2023. [Online].
[8]Felix Aimé, M. Charles and Sekoia TDR, Unplugging PlugX: Sinkholing the PlugX USB worm botnet, April 2024. [Online].
[9]Bill Toulas, Researchers sinkhole PlugX malware server with 2.5 million unique IPs, April 2024. [Online].