رُستوک ، ارباب حقه‌ها

به گزارش جام جم کلیک: بدافزار روسی رُستوک از جمله روت­کیت­‌های ارسال کننده هرزنامه است که برای اولین بار در نوامبر سال 2005 مشاهده شد. این بدافزار برای پنهان سازی عملیات خود از تکنیک­‌های پیشرفته­‌ای بهره برد که تا آن موقع درمیان روت­کیت­‌ها بی­‌نظیر بود. می­توان براساس رفتار رُستوک روی سیستم قربانی، آن را به سه گونه متفاوت تقسیم کرد که آخرین بررسی­‌های انجام شده نشان می­‌دهد گونه سوم آن (با نام Rustock.C معروف است) رفتار مخفیانه‌­تری از دیگر گونه­‌های بدافزار دارد.

نکات قابل توجه که در نتیجه تحلیل این بدافزار به دست آمده است را در چند بخش به شرح زیر می‌توان بیان کرد:

رمزگذاری: رُستوک دارای دو بخش اجرایی dropper و درایور است که هر دو بخش با استفاده از الگوریتم‌­های فشرده­‌سازی و رمزنگاری Rc4 و Aplib کد شده و طی روند اجرا رمزگشایی خواهند شد. از جمله نقاط قوتی که می­‌توان در این بدافزار به آن اشاره نمود وجود رمزگذارهای چندلایه­ است. بدافزار با استفاده از jump های چندریختی که به کدهای spaghetti معروف هستند، سعی می­‌کند روال تحلیل را برای تحلیلگران دشوار ساخته و با تکیه بر هوک­‌هایی که بر روی توابع هسته انجام می­‌دهد، دسترسی و تغییر علائم حیاتی خود را کنترل کند. در بسیاری از نسخه­‌ها نیز درصورت دیباگ و دسترسی باعث بروز BSOD در سیستم قربانی می­‌شود.

فایل سیستم مورد استفاده: شروع کار بدافزار با اجرای dropper آغاز خواهد شد که مسئولیت تولید فایل درایور را برعهده دارد. براساس نوع گونه بدافزار که بر روی سیستم قربانی اجرا شده است، درایور مورد نظر در یکی از مسیر­های %WindowsDirectory% یا %Drivers% به صورت فایل یا ADS قرار گرفته و با شروع سرویس روی آن، روت‌کیت به عنوان یک سرویس هسته به اجرا درخواهد آمد. لازم به ذکر است که در گونه­‌های اولیه dropper، درایور بدافزار به جای یکی از درایورهای سیستمی همانند Beep.sys یا null.sys کپی می­شده و بعد از بارگذاری در حافظه، محتوای اصلی درایور سیستم بر سرجای خود بازگشت داده می­شد. یکی از نقاط قوتی که در آن زمان، این بدافزار را به بدافزاری پنهان از دید ضدویروس‌­ها تبدیل کرده بود استفاده از Alternative Data Stream روی پوشه %SystemDirectory% بود. ADS ها در واقع رشته­‌هایی هستند که هرفایل/پوشه موجود در فایل سیستم می­‌تواند برای ذخیره اطلاعات از آن­ها استفاده کند که البته این رشته­ ها می­‌توانند محتوای اجرایی داشته باشند. بسیاری ازضدویروس­‌ها در آن زمان از پویش این اطلاعات اجتناب کرده و متوجه حضور این بدافزار نمی­شدند.

تکنیک‌ها: از جمله تکنیک­‌های بسیار نادری که درایور بدافزار در ابتدای روال اصلی اجرای کد خود از آن استفاده می­‌کند، هوک کردن آدرس SYSENTER_EIP (MSR 0x176) است که به تابع KiFastCallEntry اشاره می­‌کند. روت­کیت با این ترفند سعی می­‌کند فراخوانی­‌هایی که روی توابع شروع شونده با حروف Zw انجام می­‌گیرد را کنترل نماید و در صورت هرگونه استفاده از این توابع برای خواندن کلید رجیستری خود، باعث BSOD شود.

پنهان­سازی و عدم دسترسی فایل: از دیگر ترفندهای پنهان ساز فایل، که علاوه بر رُستوک توسط بدافزاری همانند TDL نیز استفاده شده است هوک کردن pIofCallDriver است. اکثر بدافزارهایی که از این تکنیک استفاده می­‌کنند، تمامی IRPهای ارسالی به درایورها را پویش کرده تا در نهایت IRPهای مدنظر خود را فیلتر کنند. رُستوک نیز با دو هدف خاص از این هوک استفاده می­‌کند. یکی پنهان سازی نام فایل خود از میان فایل­‌های یک دایرکتوری و دیگری پنهان سازی و منع دسترسی به فایل ADS خود است که به ترتیب مربوط به استفاده از IRP_MJ_DIRECTORY_CONTROL و IRP_MJ_QUERY_INFORMATION می­‌شود. از دیگر تکنیک­‌های معروفی که توسط این بدافزار مورد استفاده قرار گرفته است، هوک بر روی تابع IRP_MJ_CREATE از درایور Ntfs است. در برخی نسخه­‌های رُستوک که فایل­ روت‌کیت از دیدها پنهان نیست هر فراخوانی روی فایل باعث منع دسترسی به آن می­‌شود.

بقای روت­کیت: یکی از ترفندهای رُستوک برای بقای خود روی سیستم قربانی، بازنویسی مداوم فایل درایور است. حتی اگر فایل بدافزار توسط ابزارهای متفاوت ضدویروس پاکسازی شود، یکی از نخ­‌هایی که سمت هسته توسط درایور روت‌کیت ایجاد شده است آن فایل را مکرراً بازنویسی خواهد کرد. همین نکته باعث شده تا این بدافزار از دسته بدافزارهایی محسوب شود که پاکسازی سیستم قربانیان را دشوار کرده و یک راه چاره را پاکسازی به­‌هنگام شروع مجدد ویندوز قرار دهد.

ارسال هرزنامه: نسخه­‌هایی از این روت­کیت در زمان خود از قویترین بدافزارهای ارسال کننده هرزنامه به شمار می­‌آمده‌­اند. برای ارسال هرزنامه از سمت کاربر، روت‌کیت نیازمند اجرای بخش­‌هایی از کد و توابع خود درون پردازه­‌های سیستم است. بنابراین با استفاده از تزریق APC به پردازه services.exe و نگاشت بخشی­‌هایی از Image درایور و کدهای ارسال هرزنامه درون پردازه موفق به راه اندازی ارسالگر هرزنامه خود شده و کار خود را به سرانجام می­رساند.

فائزه میرعلایی
پادویش