خبرگزاری کره جنوبی، هدف حمله!

تاریخ انتشار : ۲۰ شهريور ۱۳۹۴

بدافزار Shadow Force، یکی از سایت‌های خبری کره جنوبی را از طریق سرقت DLL موردحمله قرارداد.

به گزارش گرداب از سایبربان، بک‌دور Shadow Force، کتابخانه dll که توسط سرویس ویندوز فراخوانی می‌شود را با کتابخانه خود تعویض می‌کند. هنگامی‌که بک‌دور باز می‌شود، هکر می‌تواند پورت‌های دسترسی بیشتری را برای خود ایجاد کند.

حمله بدافزار از زمان اجرای سرویس Microsoft Distributed Transaction Coordinator آغاز می‌شود. این سرویس وظیفه مدیریت منابع مختلف و هماهنگی آن‌ها باهم، ازجمله پایگاه داده، پیام‌ها و فایل‌های سیستمی را دارد. هنگامی‌که سیستم آلوده‌شده به Domain خود وصل می‌شود، این سرویس اجراشده و دنبال فایل‌های dll خاصی در رجیستری می‌گردد.

 

 

این سرویس به دنبال سه dll بانام‌های oci.dll، SQLLib80.dll و xa80.dll می‌گردد. هکر نام بک‌دور خود را به oci.dll تغییر داده و آن را در مسیر system32 قرار می‌دهد. سپس هکر با راه‌اندازی مجدد سرویس MSDTC باعث می‌شود تا سرویس بک‌دور را اجرا کند. بدین ترتیب شناسایی بک‌دور با ابزارهای شناسایی autorun.exe مشکل می‌شود.

بدافزار Shadow Force شامل نسخه‌های مختلفی می‌شود. نسخه .exe آن دارای نسخه‌های 32 بیتی و 64 بیتی است که متناسب با سیستم هدف، نصب می‌شوند و بانام SuperBot شناخته می‌شوند. پس از نصب، بدافزار با سرور C&C یعنی irc[.]itembuy[.]org ارتباط برقرار می‌کند.

 

 

نوع dll آن متفاوت است و به‌جای ارتباط با سرور C&C فایل npf.sys را دانلود می‌کند. این فایل بخشی از وایرشارک، محبوب‌ترین ابزار بررسی ترافیک است. بدین ترتیب بدافزار می‌تواند بسته‌های شبکه را بدون مشکل بررسی کند.

 

 

پس از دسترسی، هکر می‌تواند فایل‌های مختلفی را ازجمله fileh.exe، latinfect.exe و aio.exe به‌منظور دسترسی بیشتر، بر روی سامانه قربانی نصب کند.