تایید وجود درپشتی XSLCmd در سامانه‌های OS X

درپشتی XSLCmd از سال ۲۰۰۹ در سامانه‌عامل ویندوز کشف شده بود، به‌تازگی FireEye نسخه‌ی جدیدی از این درپشتی به نام OSX.XSLCmd را کشف کرده است که با هدف آلوده کردن سامانه‌های OS X طراحی شده و بخش قابل توجهی از کد خود را از نسخه‌ی ویندوزی به ارث برده است. 
چنین کشفی نشان‌دهنده‌ی این است که تهدید پیش‌رفته‌ی مستمر یا APT مذکور در حال تغییر مواضع خود برای حمله به سامانه‌های مک می‌باشند، سکوی OS X در سال‌های اخیر تعداد زیادی مخاطب جذب کرده است. 
در سال ۲۰۱۲ نیز، گروهی از مجرمان سایبری با استفاده از آسیب‌پذیری قدیمی مایکروسافت ورد، اقدام به انتشار مستند آلوده‌ای کردند که در صورت باز شدن در یک رایانه‌ با سامانه‌عامل OS X، درپشتی به نام MacControl را در این ماشین نصب می‌کرد، پس از مدتی مشخص شد که کد این درپشتی از منبع یک درپشتی ویندوزی که در انجمن‌های زیرزمینی چینی به راحتی در دست‌رس بود، گرفته شده است. 
در سال ۲۰۱۳ میلادی نیز، کسپراسکی از یک تهدید جدی به نام IceFog که بسیاری از سامانه‌های حساس در ژاپن و کره‌جنوبی را آلوده کرده بود،‌ پرده برداشت، به اعتقاد کسپراسکی کد منبع این بدافزار نیز به کد منبع ویندوزی شباهت زیادی داشت و بسیاری از بخش‌‌های آن‌ها مشترک بود. 
با این سابقه‌ای که در بدافزاری‌های سامانه‌عامل OS X وجود دارد،‌ FireEye تهدید جدید به نام XSLCmd را شناسایی کرده است،‌ نام گروهی که با ااحتمال زیادی توسعه‌دهنده‌ی این درپشتی هستند «GREF» است، این نام به این دلیل انتخاب شده است که این گروه تمایل زیادی به استفاده از منابع گوگل یا Google Refrences دارد و به همین دلیل مخفف همین عبارت به عنوان نام آن‌ها انتخاب شده است. 
ره‌گیری فعالیت‌های GREF به سال ۲۰۰۹ باز می‌گردد، FireEye معتقد است این گروه دست‌کم از سال ۲۰۰۹ فعال بوده است، این گروه مراکز مهمی از جمله پایگاه صنعتی دفاع آمریکا موسوم به DIB، شرکت‌های الکترونیکی و مهندسی در سراسر دنیا و سایر بنیاد‌ها و NGO‌ها در دنیا خصوصاً مراکز فعال در آسیا را هدف قرار داده است. 
 
جزییات فنی بدافزار
پرونده‌ی اصلی درپشتی XSLCmd، در تاریخ ۱۰ اوت، در وب‌گاه تحلیل بدافزار ویروس‌توتال با شناسه‌ی MD5 به صورت  60242ad3e1b6c4d417d4dfeb8fb464a1 ثبت شده است. در تحلیل اولیه‌ی این پرونده نرخ تشخیص مقدار صفر بوده است و هیچ محصول ضدبدافزاری این نمونه را تشخیص نداده است. نوع پرونده به صورت پرونده‌ی اجرایی Mach-O و قابل اجرا در معماری‌های مورد استفاده در رایانه‌های اپل یعنی PowerPC، و x86 و x86-64 می‌باشد. 
پرونده‌ی درپشتی شامل یک نصاب است که به محض اولین اجرا، درپشتی را در رایانه‌ی قربانی نصب می‌کند، و بیش‌تر کد آن از نسخه‌ی ویندوزی همین درپشتی که در سال‌های اخیر در حملات سایبری مهمی به کار رفته، گرفته شده است. 
برای نصب این بدافزار ابتدا با استفاده از NXGetLocalArchInfo، نوع پردازنده را شناسایی می‌کند و سپس با استفاده از خروجی تابع getuid تشخیص می‌دهد کاربر به صورت کاربر مدیر وارد شده است یا خیر. پرونده‌ی اصلی اجرایی در مسیر HOME/Library/LaunchAgents/clipboardd ذخیره می‌شود و یک پرونده‌ی plist به نام com.apple.service.clipboardd.plist در همین مسیر ایجاد می‌شود. سپس بدافزار خود را یک بار دیگر اجرا می‌کندو گزینه‌ی load را نیز فعال می‌کند، این گزینه باعث می‌شود بدافزار پیکربندی اجرایی را پرونده‌ی plist که ایجاد کرده بخواند. در این مرحله فرآیند اصلی بدافزار آغاز شده و بدافزار منتظر دریافت فرمان‌های لازم از  کارگزار فرمان‌دهی و کنترل می‌شود. 
 
پروتکل فرمان‌دهی و کنترل
XSLCmd از یک پروتکل شبه HTTP برای ارتباط استفاده ‌می‌کند. با باز کردن یک سوکت و قالب رشته‌ای یک درخواست HTTP ارسال می‌شود، البته بستگی به پیکربندی Lsiten mode نیز دارد. 
 
   
 
متن درخواست به صورت رمز‌شده است که نحوه‌ی رمز‌گذاری توسط تیمی به نام «My Destiny Team» ایجاد شده است. دامنه‌های حساسی مانند kocrmicrosoft[.]com و kasparsky[.]net و حتی cisco-inc[.]net و چندین دامنه‌ی دیگر در اختیار کارگزار‌های فرمان‌دهی و کنترل این بدافزار است که با رایانامه‌ cooweb51[@]hotmail.com ثبت شده‌اند. 
 
 
فعالیت‌های بدافزار
این بدافزار می‌تواند در تمام نسخه‌های قبلی OS x یعنی نسخه‌ی 10.8 و نسخه‌های قدیمی‌تر نصب شود، در نسخه‌ی 10.9 یک API از این سامانه‌عامل حذف شده است که فعالیت‌های بدافزار را مختل می‌کند و امکان نصب را از این بدافزار می‌گیرد. 
بدافزار در صورتی که کاربر به عنوان کاربر عادی وارد سامانه شود فعالیت‌هایش در قالب یک رویدادنگار ضبط می‌کند و در صورتی که کاربر مدیر باشد، رویدادنگاری غیرفعال می‌شود. سایر دستورات نیز از کارگزار‌ها دریافت می‌شوند و پس از پایان کار، اطلاعات جمع‌آوری شده به سمت کارگزار‌های فرمان‌دهی و کنترل ارسال می‌شوند. 
 
اخبار مرتبط:

 

0
هنوز هیچ ستاره‌ای موجود نیست.