اما بعد از اجرا شدن فایل cache.bat فایل bcd.rar بازگشایی میشود که شامل فایل bcd.bat و sync.exe میباشد، در مرحله بعد فایل cache.bat فایل bcd.bat به اجرا در می آورد، همونطور که در کد بالا مشاهده میشه مهاجم یک فایل boot.ini ساخته و جایگزین فایل boot.ini اصلی سیستم عامل میکند و به همین منظور سیستم عامل در خصوص Bootloader به مشکل خواهد خورد و دفع بعد از راه‌اندازی بالا نخواهد آمد، در قدم بعدی بواسطه فایل sync.exe فایل cache.bat اقدام به بازنویسی مقادیر حافظه Cache در هارد دیسک خواهد شد، اما بعد از این تخریب ها مهاجم به دنبال پلن بعدی خود یعنی پاک سازی Event Logs ها رفته که کد اجرایی این موضوع رو هم در قسمت پایین میبینیم،

در دستورها بالا همونطور که میبینید از COM Object با نام wevtutil استفاده شده که مختص مدیریت Log بوده است و در دستورها بالا با سوئیچ cl اقدام به حذف Event Log ها در Security و System و Application خواهد کرد، در مرحله آخر اقدام به اجرای فایلی با نام sync.exe میبینیم که به عمکرد این فایل هم خواهیم پرداخت.

فایل update.bat در جریان اتمام اجرای bcd.bat، فایلی با نام ms.rar را بازگشایی میکند که در اثر این Extract شش عدد فایل با نام های mscap.bmp – mscap.jpg – msconf.conf – msmachine.reg – mssetup.exe – msuser.reg را خواهد داشت و نهایتا فایل update.bat یک تماس با msrun.bat خواهد گرفت تا جریان اجرا به فایل msrun.bat انتقال بیابد.

اما بعد از اجرای msrun.bat تمامی شش فایلی که استخراج شده اند به پوشه "C:\temp" انتقال یافته و یک schtasks برای اجرای فایل msapp.exe ساخته میشود که فایل msconf.conf به‌صورت رمزنگاری شده به عنوان ورودی به فایل msapp.exe داده میشود، متأسفانه بسیاری از فایل های مورد استفاده بازیابی نشده اند و Source از آنها بدست نیامده است. اجرای فایل msapp.exe سبب قفل شدن سیستم و تغییر رمز عبور آن خواهد شد، محتوای فایل msconf.conf را در تصویر زیر مشاهده میکنید. در انتها اگر به تصویر بالا دقت کنید در مرحله آخر فایلی به نام mstask اجرا میشود.

این فایل رمز سیستم را به مقداری تصادفی تغییر داده و سپس در صورتی که نسخه ویندوز قبل از ویستا باشد، فایل boot.ini را تخریب می‌کند. در صورتی که ویندوز سیستم بعد از ویستا باشد، مقادیر bcdedit را تخریب می‌کند که در نتیجه سیستم هنگام Boot توانایی Load کردن سیستم عامل را از دست می‌دهد.

اما در تصویر بالا که بخش دیگری از کدهای فایل update.bat است، یک تماس انجام میشود با فایل mssetup.exe برای قفل کردن Screen Server و Wipe کردن حافظه سخت که تخریب کامل انجام شود تا بعد از Restart کردن دیگر سیستم عامل بالا نخواهد آمد.

همچنین، با مسیرهایی که به صورت هاردکد برای خود در فایل conf مشخص کرده است، اقدام به Wipe هارد سیستم می‌کند. این فایل پس از اجرای عملیات فوق، Session جاری را می‌بندد و کاربر را Logout می‌کند تا مجبور به وارد کردن رمز عبور شود. با توجه به اینکه رمز عبور توسط بدافزار تغییر پیدا کرده، کاربر نخواهد توانست مجدداً وارد سیستم شود. حتی با وارد کردن رمز صحیح، هر زمان که کاربر سیستم را Restart کند، با خطای بوت مواجه خواهد شد.

شرح عملیات فایل mssetup.exe

این فایل صرفاً وظیفه قفل کردن صفحه نمایش و از کار انداختن ابزارهای ورودی را بر عهده دارد. به این ترتیب که:

• امکان ارسال دستورها به سیستم از طریق ماوس و کیبورد را غیرفعال می‌کند.
• پنجره‌ای مشکی رنگ که در میان آن تصویر مورد نظر بدافزار قرار دارد و تمام صفحه نمایش را در بر می‌گیرد، نمایش می‌دهد.

اجرای فایل nti.exe

در مواردی دیده شده که فایل update.bat فایل mssetup.exe nti.exe را اجرا میکند که اجرای این فایل سبب آلوده شدن MBR و 17 سکتور بعد از آن می‌شود. همچنین، در سکتور 34ام، مقدار MBR اصلی را با عدد هفت XOR کرده و می‌نویسد، نهایتا برای تخریب دیسک نیز با رمزکردن MFT، امکان بوت کردن سیستم را از بین می‌برد.

log_encryption_key
processes_to_kill
process_termination_timeout
log_server_port
locker_background_image_jpg_path
auto_logon_path
locker_background_image_bmp_path
state_encryption_key
log_server_ip
log_file_path
paths_to_wipe
wiping_stage_logger_interval
locker_installer_path
locker_exe_path
locker_registry_settings_files
locker_password_hash
users_password
cleanup_scheduled_task_name
self_scheduled_task_name
cleanup_script_path
is_alive_loop_interval

فایل mssetup.exe را به‌صورت Binary مقادیر Cleartext آنرا استخراج کردیم و موارد بالا بیرون آمد، مقادیر بدست آمده مجموعه ای از مسیرهای پیکربندی رمزگذاری شده است و این مسیرها را رمزنگاری میکند. همچنین مطمئن می شود که کپی های سایه را حذف می کند و همچنین سیستم عامل را از دامنه حذف می کند تا از روش های کشف درون شبکه ای جلوگیری کند. دیگر امکانات را میتواند از جمله موارد زیر اشاره نمود:

• تغییر رمزهای عبور برای همه کاربران
• محافظ صفحه نمایش غیر فعال
• خاتمه فرایند بر اساس فهرستی از فرایندهای هدف
• نصب یک کمد صفحه نمایش
• غیرفعال کردن حالت بازیابی
• تغییر بوت سیاست دست زدن به خطا
• ایجاد وظایف برنامه ریزی شده
• ورود به سیستم کردن جلسات محلی
• تغییر تصاویر صفحه قفل برای نسخه های مختلف ویندوز (XP ، 7، 10)
• ایجاد فرایندها و اجرای دستورها

در کد مهندسی معکوس شده بالا دو روش برای حذف سیستم عامل قربانی از عضویت در Domain پیاده‌سازی شده که اولی با استفاده از توابع خود سیستم عامل یعنی WinAPI تلاش میکند و اگر شکست خورد از COM Object سیستم عامل یعنی WMIC به همین منظور استفاده میکند.

شاخصه های حمله (IoCs)

شاخصه های حمله و امضاء Yara برای شکار APT-IR-1

تشریح حمله به زندان اوین

اولین نکته راجع‌به حمله سایبری به زندان اوین این است انگیزه های سیاسی پشت پرده آن کاملا همخوانی با حملات گذشته مخصوصا حمله راه آهن دارد، و این بدین معنی است که این دو حمله را میتوان به هم مرتبط دانست، در خصوص حمله به زندان اوین هیچگونه TTP انتشار داده نشده و IoCs های حمله نا معلوم است، برای تشریح نحوه عمکرد حمله ، میتوان به گذاره های حمله راه آهن هم تا حدودی اشاره داشت.

روش های ایجاد دسترسی

در خصوص مرحله Initial Access یا ایجاد دسترسی نظریه پردازی های بسیاری شده است، اما نسبت به پتانسیل های قربانی معمولا چند پلن تکنیکی بیشتر را نمیتوان متصور بود، اولین نکته این است که شبکه زندان اوین یک شبکه Intranet بوده است، بدین معنی که شبکه ارتباطی به سیستم های زندان بر بستر Internet نبوده و به‌صورت انحصاری شبکه طراحی شده است به‌طوری که صرفا لبه شبکه با نظارت و دیواره آتش کنترل شده و دسترسی ها کاملا تحت کنترل خواهند بود، پس به همین منظور از سناریو های حمله به‌صورت مستقیم بر مبنای کشف بلاک IP های شبکه زندان صورت نگرفته است.

سناریو اول

به‌صورت کلی دو سناریو بر مبنای استانداردهای MITRE ATT&CK میتوان متصور بود که اولین سناریو آلوده سازی سیستم ها بواسطه یک عامل داخلی و نفوذی که مستقیما بدافزار را بر روی یکی از سیستم ها اجرا و فعال کرده است، این سناریو قبلا هم در خصوص حملات رخداده به کشور ایران استفاده شده است و در حمله ویروس Stuxnet ما شاهد استفاده از همین سناریو در خصوص شبکه های صنعتی که یک معماری کاملا مشابه به معماری شبکه زندان اوین را دارد بوده ایم، اما نکته ای در خصوص تفاوت حمله ویروس Stuxnet با حمله به زندان اوین وجود دارد، آن هم اینکه در سناریو حمله ویروس Stuxnet قرار بر Leak شدن اطلاعات نبوده و هدف صرفا Impact و تخریب بر مبنای PLC ها بوده است، به همین منظور نیازی به ارتباط به Command & Control نبوده است، اما در خصوص حمله به زندان اوین به این صورت نبوده و یکی از اهداف حمله Leakage کردن اطلاعات دوربین ها بوده است که خب این مسئله نیازمند ارتباط با C&C خواهد بود، البته ناگفته نماند که همین Leakage اطلاعات میتواند بواسطه نیروی انسانی هم باشد که خب فعلا تمامی این توضیحات در حد نظریه است.

اما سناریو دوم

در کنفرانس BlackHat 2018 از دانشگاه Ben-Gurion کشور جعلی اسرائیل ارائه ای داده شد مبتنی بر انواع حملات به شبکه Air-Gap که یک نوع از شبکه غیر وابسطه به اینترنت جهانی است که مبتنی بر ارتباطات کاملا درون شبکه ای بوده و به‌صورت جدا پیاده‌سازی میشود، تفاوت آن با معماری شبکه Intranet این است که در ابعاد وسیع تر کاملا خصوصی طراحی میشود، بسیاری از مراجع صنعتی مانند نیروگاه های انرژی، تاسیسات صنعتی، شبکه های نظامی و غیره بر مبنای این نوع معماری از شبکه کار میکنند، از این روی کشور جعلی اسرائیل بشدت بر روی حملات مبتنی بر شبکه Air-Gap کار کرده و سعی بر استفاده از روش هایی دارد که بر مبنای معماری شبکه رایج مانند Internet نباشد و از روش های دیگری ارتباط با قربانی را فراهم سازد، به همین منظور هفت نوع از حملات مبتنی بر Physical Media، Acoustic، Electromagnetic، Magnetic، Electric، Optical، Thermal در ارائه BlackHat 2018 تشریح کرده است،

در خصوص نحوه عملکرد تمامی تکنیک ها مجال صحبت نیست و در مقاله دیگری به‌صورت کامل تری خواهیم پرداخت به این موضوع، اما یکی از روش ها یعنی Physical Media را تشریح کرده و وارد جزئیات آن میشویم چرا که میتواند در خصوص سناریو حمله به زندان اوین و دزدیدن اطلاعات محرز تر باشد، در روش Physical Media همانطور که تشریح شده میتوان بواسطه دستگاه های رادیو پایه ارتباطی را با یک کامپیوتر بر قرار نمود که بعضا بدون نیاز به هیچگونه ارتباطه مبتنی بر شبکه ای رایج، قدرت انتقال و دریافت داده را از آن کامپیوتر داشته باشید، در تصویر بالا مشاهده میکنید که برخی از حملات پیشرفته رخداده (APTs) از نمونه ی این روش استفاده کرده و عملیات خود را با موفقیت به پایان رسانیدند.

آشنایی با دستگاه USBee

یکی از سخت‌افزار هایی که به‌صورت عموم بفروش میرسد USBee نام دارد، این دستگاه با همان روش منطق ارتباط رادیویی کار کرده و هیچگونه عملیاتی را بر روی سیستم عامل انجام نخواهد داد، اما این روش ها معایبی هم دارا هستند از جمله آنکه محدودیت مسافتی در خصوص این نوع از ارتباط رادیویی وجود داشته و یک بازه مسافتی را پوشش میدهند که البته این موضوع متغیر است.

بازه رادیویی فرکانس ارسال داده ها بین 240 تا 480 مگاهرتز است و در حال حاضر ، با نوشتن توالی های ‘0’ و ‘1’ ، مهاجمان می توانند موجی حامل را از تغییرات سریع ولتاژ ایجاد کرده و سپس از کلید زنی تغییر فرکانس باینری (B-FSK) برای رمزگذاری داده های مفید استفاده کنند. نکته آخر: از آنجا که هدف این حمله سرقت داده های باینری است ، مهاجمان قادر به سرقت فایل های بزرگ نیستند ، اما می توانند کلیدها ، گذرواژه ها و سایر قطعات کوچک اطلاعات حساس ذخیره شده در رایانه مورد نظر را در دست بگیرند.

نمونه ای از حمله بر مبنای USBee

مرحله جا به جایی در شبکه

تاکتیک Lateral Movement یکی از تاکتیک های چهارده‌گانه حملات مداوم پیشرفته یا APT است که تیم مهاجم با استفاده از تکنیک های این تاکتیک اقدام به جا به جایی درون شبکه ای کرده و به نوعی دسترسی خود را به سیستم عامل های دیگر درون شبکه افزایش میدهد، این امر به قصد دسترسی داشتن به تمامی سیستم های داخل یک شبکه انجام میشود.

همانطور که در تصویر بالا مشاهده میکنید روش های جا به جایی در نُه تکنیک کلی تعریف میشوند که از بهره‌برداری از آسیب پذیری های مبتنی بر پروتکل میتوان نام برد تا تکنیک های مبتنی بر Hijack کردن Token ها، Hash ها که معروفترین روش هایش تکنیک Pass the Hash و Pass the Ticket و Application Access Token میباشد.

اما از شواهد و قرائن موجود در تصاویر دوربین های زندان اوین، ما شاهد یک Crash در برخی سیستم عامل ها هستیم که نشان دهنده بهره‌برداری یک آسیب پذیری Binary Base هستش که میتوان نتیجه گرفت که روش شناسی مورد استفاده در امر Lateral Movement میتواند بر پایه بهره‌برداری از آسیب پذیری های بر روی پروتکل ها باشد،

نکته دومی که میتواند این نظریه را تقویت کند این است که در Deface سیستم عامل ها یکی از آنها که سیستم عامل ویندوز 10 میباشد تحت تاثیر قرار نگرفته و این نشان دهنده این است که مهاجم موفق به Lateral کردن در آن سیستم عامل نشده است، که این بدین معنی است که آسیب پذیری مبتنی بر پروتکل بر روی ویندوز 7 بسیار شایه است.

یکی از آسیب پذیری های معروف پروتکل SMB که در خصوص بسیاری از سیستم عامل های ویندوز 7 وجود دارد، EternalBlue نام دارد که در جریان حمله سایبری ای که به سازمان NSA آمریکا صورت گرفت این کدهای بهره‌برداری یا Exploit ها بدست تیم Shadow Brokers عمومی شد.

این آسیب پذیری میتواند برای مهاجم به‌صورت مستقیم ایجاد دسترسی از سیستم مورد نظر کند و تنها نیاز به یک شناسه IP از آن سیستم دارد. حال مبتنی بر نکاتی که ذکر شد و شواهدی که وجود دارد احتمال آنکه سیستم های درون شبکه ای زندان اوین دارای این آسیب پذیری بوده و مهاجم بواسطه آن توانسته است تکنیک Lateral Movement را عملیاتی کند بسیار تقویت میشود.

مرحله Impact یا تخریب

نکته دیگری که در این حمله مورد توجه است، این است که مهاجمان در انتهای عملیات خود اقدام به تخریب و Deface سیستم عامل ها کرده اند تا اهداف سیاسی خود را مطالبه کنند، این مورد دقیقا با حمله اول یعی تخریب سیستم عامل های راه آهن مشترک کرد و اگر ما فرض را بر آن بگیریم که مهاجمان هر دو حمله یک تیم بوده اند میتواند گفت تمامی روش های مورد استفاده در حمله راه آهن در بحث تخریب میتواند در مورد حمله به زندان اوین هم صادق باشد، از این روی با توجه به آنکه هیجگونه IoCs در خصوص رخداد حمله به زندان اوین عمومه نشده است نمیتوان نظر قطعی داد اما از لحاظ تئوری میتوان این سناریو ها را متصور بود.

خلاصه

دو حمله مورد بررسی بدلیل شباهت های اهداف سیاسی، در یک قاب تجزیه و تحلیل شده است و بدلیل نداشتن اطلاعات محبوب جرم شناسان، حمله دوم را مبتنی بر روش شناسی حمله اول تشریح کردیم و سعی کردیم تمامی سناریو های احتمالی را بیان کرده و از دیدمان مخفی نماند.

پر واضح است که این قبیل حملات با اهداف سیاسی از طرف گروه های مخالف جمهوری اسلامی ایران طراحی شده است و بدلیل استاندارد نبودن آرایش امنیت دفاعی هر دو سازمان مهاجمان توانسته اند به‌صورت موفقیت آمیز حمله خود را عملیاتی نمایند، اگر علاقمند هستید تا در خصوص استانداردهای بالا برنده امنیت سایبری اطلاعات و راه کار هایی کسب کنید میتواند به قسمت راهکار ها سری بزنید.

منابع