به گزارش جام جم کلیک: بدافزار روسی رُستوک از جمله روتکیتهای ارسال کننده هرزنامه است که برای اولین بار در نوامبر سال 2005 مشاهده شد. این بدافزار برای پنهان سازی عملیات خود از تکنیکهای پیشرفتهای بهره برد که تا آن موقع درمیان روتکیتها بینظیر بود. میتوان براساس رفتار رُستوک روی سیستم قربانی، آن را به سه گونه متفاوت تقسیم کرد که آخرین بررسیهای انجام شده نشان میدهد گونه سوم آن (با نام Rustock.C معروف است) رفتار مخفیانهتری از دیگر گونههای بدافزار دارد.
نکات قابل توجه که در نتیجه تحلیل این بدافزار به دست آمده است را در چند بخش به شرح زیر میتوان بیان کرد:
رمزگذاری: رُستوک دارای دو بخش اجرایی dropper و درایور است که هر دو بخش با استفاده از الگوریتمهای فشردهسازی و رمزنگاری Rc4 و Aplib کد شده و طی روند اجرا رمزگشایی خواهند شد. از جمله نقاط قوتی که میتوان در این بدافزار به آن اشاره نمود وجود رمزگذارهای چندلایه است. بدافزار با استفاده از jump های چندریختی که به کدهای spaghetti معروف هستند، سعی میکند روال تحلیل را برای تحلیلگران دشوار ساخته و با تکیه بر هوکهایی که بر روی توابع هسته انجام میدهد، دسترسی و تغییر علائم حیاتی خود را کنترل کند. در بسیاری از نسخهها نیز درصورت دیباگ و دسترسی باعث بروز BSOD در سیستم قربانی میشود.
فایل سیستم مورد استفاده: شروع کار بدافزار با اجرای dropper آغاز خواهد شد که مسئولیت تولید فایل درایور را برعهده دارد. براساس نوع گونه بدافزار که بر روی سیستم قربانی اجرا شده است، درایور مورد نظر در یکی از مسیرهای %WindowsDirectory% یا %Drivers% به صورت فایل یا ADS قرار گرفته و با شروع سرویس روی آن، روتکیت به عنوان یک سرویس هسته به اجرا درخواهد آمد. لازم به ذکر است که در گونههای اولیه dropper، درایور بدافزار به جای یکی از درایورهای سیستمی همانند Beep.sys یا null.sys کپی میشده و بعد از بارگذاری در حافظه، محتوای اصلی درایور سیستم بر سرجای خود بازگشت داده میشد. یکی از نقاط قوتی که در آن زمان، این بدافزار را به بدافزاری پنهان از دید ضدویروسها تبدیل کرده بود استفاده از Alternative Data Stream روی پوشه %SystemDirectory% بود. ADS ها در واقع رشتههایی هستند که هرفایل/پوشه موجود در فایل سیستم میتواند برای ذخیره اطلاعات از آنها استفاده کند که البته این رشته ها میتوانند محتوای اجرایی داشته باشند. بسیاری ازضدویروسها در آن زمان از پویش این اطلاعات اجتناب کرده و متوجه حضور این بدافزار نمیشدند.
تکنیکها: از جمله تکنیکهای بسیار نادری که درایور بدافزار در ابتدای روال اصلی اجرای کد خود از آن استفاده میکند، هوک کردن آدرس SYSENTER_EIP (MSR 0x176) است که به تابع KiFastCallEntry اشاره میکند. روتکیت با این ترفند سعی میکند فراخوانیهایی که روی توابع شروع شونده با حروف Zw انجام میگیرد را کنترل نماید و در صورت هرگونه استفاده از این توابع برای خواندن کلید رجیستری خود، باعث BSOD شود.
پنهانسازی و عدم دسترسی فایل: از دیگر ترفندهای پنهان ساز فایل، که علاوه بر رُستوک توسط بدافزاری همانند TDL نیز استفاده شده است هوک کردن pIofCallDriver است. اکثر بدافزارهایی که از این تکنیک استفاده میکنند، تمامی IRPهای ارسالی به درایورها را پویش کرده تا در نهایت IRPهای مدنظر خود را فیلتر کنند. رُستوک نیز با دو هدف خاص از این هوک استفاده میکند. یکی پنهان سازی نام فایل خود از میان فایلهای یک دایرکتوری و دیگری پنهان سازی و منع دسترسی به فایل ADS خود است که به ترتیب مربوط به استفاده از IRP_MJ_DIRECTORY_CONTROL و IRP_MJ_QUERY_INFORMATION میشود. از دیگر تکنیکهای معروفی که توسط این بدافزار مورد استفاده قرار گرفته است، هوک بر روی تابع IRP_MJ_CREATE از درایور Ntfs است. در برخی نسخههای رُستوک که فایل روتکیت از دیدها پنهان نیست هر فراخوانی روی فایل باعث منع دسترسی به آن میشود.
بقای روتکیت: یکی از ترفندهای رُستوک برای بقای خود روی سیستم قربانی، بازنویسی مداوم فایل درایور است. حتی اگر فایل بدافزار توسط ابزارهای متفاوت ضدویروس پاکسازی شود، یکی از نخهایی که سمت هسته توسط درایور روتکیت ایجاد شده است آن فایل را مکرراً بازنویسی خواهد کرد. همین نکته باعث شده تا این بدافزار از دسته بدافزارهایی محسوب شود که پاکسازی سیستم قربانیان را دشوار کرده و یک راه چاره را پاکسازی بههنگام شروع مجدد ویندوز قرار دهد.
ارسال هرزنامه: نسخههایی از این روتکیت در زمان خود از قویترین بدافزارهای ارسال کننده هرزنامه به شمار میآمدهاند. برای ارسال هرزنامه از سمت کاربر، روتکیت نیازمند اجرای بخشهایی از کد و توابع خود درون پردازههای سیستم است. بنابراین با استفاده از تزریق APC به پردازه services.exe و نگاشت بخشیهایی از Image درایور و کدهای ارسال هرزنامه درون پردازه موفق به راه اندازی ارسالگر هرزنامه خود شده و کار خود را به سرانجام میرساند.
فائزه میرعلایی
پادویش
سید رضا صدرالحسینی در یادداشتی اختصاصی برای جام جم آنلاین مطرح کرد
در گفتگو با جام جم آنلاین مطرح شد
سید رضا صدرالحسینی در یادداشتی اختصاصی برای جام جم آنلاین مطرح کرد