بدافزار Scranos

Scranos یک بدافزار از نوع جاسوس‌افزار و مبتنی بر روت‌کیت است که از طریق نرم‌افزارهای کرک‌شده، برنامه‌های با ظاهر قانونی مثل کتابخوان‌های الکترونیکی، پخش‌کننده‌های ویدیو و حتی محصولات بدافزاری (تقلبی) ، بر روی سیستم‌های قربانی منتشر می‌شود. این بدافزار همچنان در حال توسعه و تکامل بوده و با اتصال به مرکز کنترل و فرمان خود، دستورات لازم را برای بروزرسانی و رفع مشکلات موجود در نسخه‌های جاری دریافت می‌کند.
با وجود اینکه این بدافزار تقریبا در سراسر جهان انتشار یافته است، ولی با این حال بیشتر در کشورهای هند، رومانی، برزیل، فرانسه، ایتالیا و اندونزی دیده شده است. اولین نمونه شناسایی شده این بدافزار در ماه نوامبر سال 2018 به وقوع پیوسته ولی تعداد نمونه‌های مشاهده شده، در ماه‌های دسامبر 2018 و ژانویه 2019 به اوج خود رسیده است.
این بدافزار بعد از نصب در سیستم قربانی، یک درایور (روت‌کیت) را نصب کرده و به این شکل حضور دائمی خود و سایر مولفه‌های دیگر را که بعدا قرار است در سیستم قربانی نصب شوند، تضمین می‌کند. روت‌کیت مذکور، حاوی امضای دیجیتال توسط یک CA معتبر بوده که احتمالا توسط مهاجمان، مورد نفوذ قرار گرفته است. این روت‌کیت با وجود پیاده‌سازی مکانیسم مناسب جهت حضور دائمی در سیستم قربانی، فاقد مکانیسم‌های محافظت از خود بوده و در صورت مشاهده، به راحتی قابل حذف کردن از سیستم است ولی اکثر مولفه‌های دیگر بدافزار، بعد از اجرا در سیستم قربانی، حذف شده و در صورت نیاز مجدد، این مولفه‌ها قابل بارگذاری از طریق مرکز کنترل و فرمان بدافزار هستند.
 به طور خلاصه، روند آلوده‌سازی سیستم قربانی توسط این بدافزار به صورت زیر است:


• فایل اصلی بدافزار، با استفاده از dll های تعبیه شده در بدنه خود، اطلاعات cookie و حساب‌های کاربری جهت ورود به وب‌سایت‌های مختلف از جمله پرداخت‌های بانکی را در مرورگرهای اینترنتی مشهور و هدف‌های معروفی مثل Facebook، YouTube، Amazon و Airbnb  به سرقت برده و به مرکز منترل و فرمان مرتبط با بدافزار ارسال می‌کند.
• فایل اصلی بدافزار، روت‌کیت را در سیستم قربانی نصب می‌کند.
• روت‌کیت نصب شده با کپی یک نسخه از خود بر روی دیسک در زمان خاموش شدن سیستم و ایجاد یک سرویس، حضور دائمی خود در سیستم قربانی را تضمین می‌کند.
• روت‌کیت مذکور، فایل اجرایی یک دانلودِر را بر روی فضای حافظه در پردازه svchost.exe تزریق می‌کند.
• روت‌کیت ذکر شده اطلاعاتی از سیستم قربانی را برای مرکز کنترل و فرمان بدافزار ارسال کرده و لینک‌های دانلودی را دریافت می‌کند.
• در این مرحله فایل‌های بدافزار دیگری بر روی سیستم قربانی بارگذاری و اجرا می‌شوند.
    
فایل اصلی بدافزار با استفاده از dll های تعبیه شده در بدنه خود، رمزگشایی و تزریق آن در فضای پردازه خود، اطلاعات cookie و حساب‌های کاربری را از مرورگر پیش‌فرض کاربر جاری به سرقت می‌برد. Google Chrome، Chromium، Mozilla Firefox، Opera، Microsoft Edge، Internet Explorer، Baidu و Yandex از جمله مرورگرهایی هستند که این بدافزار قابلیت سرقت اطلاعات کاربری مربوط به وب‌سایت‌های Facebook، YouTube، Amazon و Airbnb را دارد. به علاوه، اگر کاربری به حساب کاربری خود در Facebook لاگین کرده باشد، بدافزار می‌تواند با جعل کاربر مذکور وارد صفحات وب خاصی از طریق سیستم قربانی شده و بدون شناسایی شدن مکانی از جانب سرور و اعلام هشدار به کاربر، اطلاعاتی را در رابطه با قربانی به دست آورد. این بدافزار می تواند با استفاده از حساب کاربری Facebook قربانی، اطلاعات cookie مربوط به لاگین به اینستاگرام و تعداد دنبال‌کننده‌های او را به سرقت ببرد.


نشانه‌های آلودگی
اتصال سیستم آلوده به URL های مختلف، در زمان آلودگی سیستم


• 178.162.132.79
• 114.114.114.114 (114dns Chinese public DNS)
• 104.24.97.162 (Cloudflare)


روش‌های پاکسازی سیستم آلوده
برای پاکسازی سیستم از این بدافزار به صورت زیر عمل می‌شود:

1- بستن تمامی مرورگرهای اینترنتی
2- Kill کردن تمامی پردازه‌های اجرا شده از مسیر %TEMP%
3- Kill کردن پردازه rundll32.exe
4- تولید نام روت‌کیت به صورت زیر:
      • به دست آوردن SID کاربر جاری
      • محاسبه MD5 رشته بند قبل
      • نام روت‌کیت، 12 کاراکتر ابتدایی به دست آمده از بند قبل است.
5- اجرای یک cmd یا Powershell با سطح دسترسی Administrator و تایپ دستورات زیر:
      • sc stop <rootkit name from step 4>
      • sc delete <rootkit name from step 4>
6- رفتن به مسیر %WINDIR%\System32\drivers و یافتن روت‌کیت با نام به دست آمده از مرحله 4 و با پسوند فایل .sys
7- حذف درایور DNS
      • بررسی نصب بودن درایور در مسیر %TEMP% با نامی به صورت 10 کاراکتر با حروف بزرگ با پسوند فایل .sys مثل ABCDEFGHIJ.sys
      • بررسی کلیدی با نام بند قبل در رجیستری با مسیر HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Services\ABCDEFGHIJ
      • اجرای یک cmd یا Powershell با سطح دسترسی Administrator و تایپ دستورات زیر:
             1- sc stop ABCDEFGHIJ
             2- sc delete ABCDEFGHIJ
      • حذف فایل %TEMP%\ABCDEFGHIJ.sys
8- Reboot کردن سیستم جهت حذف کد تزریق شده به پردازه svchost.exe
9- حذف هرگونه extension مشکوک از مرورگرهای اینترنتی
10- تغییر تمامی کلمات‌عبور مرتبط با کاربر قربانی

روش‌های جلوگیری از آلودگی
توجه به توصیه‌های ارائه شده در زیر می‌تواند نقش بسزایی در جلوگیری از آلودگی سیستم‌های کاربران داشته باشد:
    • عدم دانلود نرم افزار از منابع غیر معتبر
    • عدم استفاده از برنامه‌های کرک شده نامعتبر
    • نصب ضدبدافزار معتبر و بروزرسانی آن
از آنجا که در سال‌های اخیر شیوع گسترده انواع بدافزارها و ویروس‌ها بر روی سیستم‌های کامپیوتری منجر به ایجاد مشکلات فراوانی برای صاحبان آن‌ها شده است، لذا نصب برنامه‌های ضد ویروس یکی از کارهای ضروری جهت جلوگیری از آلوده شدن سیستم‌های رایانه‌ای و انتشار برنامه‌های مخرب است. همچنین همواره از برنامه‌های ضد ویروس معتبر استفاده کرده و مرتباً با انجام بروزرسانی برای این برنامه‌ها از انجام پروسه صحیح ویروس‌یابی بر روی سیستم رایانه‌ای خود اطمینان حاصل کنید.

راهبر