روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ اواسط ماه فوریه، لابراتوار کسپرسکی از یکی از مشتریان خود درخواست "رسیدگی به حادثه[1]" دریافت کرد. ابتدا فردی که این مشکل را به مشتری ما گزارش داد از رو کردن منبع اصلی سر باز زد. اما آنچه می‌دانیم این است که مشکل، اسکرین‌شاتی از یکی از کامپیوترهای داخلی مشتری بود که در تاریخ 11 فوریه -درحالیکه کارمند ظاهراً داشته در ایمیل‌های خود چیزی را جست‌وجو می کرده- گرفته شده بود. همچنین، این منبعِ گمنام افزود اسکرین‌شات توسط ابزار سرقتی به نام Predator به C2 منتقل شده است.

به محض اینکه مشتری با ما تماس گرفت، بررسی‌های همه‌ی جانبه‌ی خود را روی دستگاه آلوده شروع کردیم: مموری دامپ‌ها[2]، لاگ‌های سیستم‌عامل[3]، اندیکارتورهای محیطی از سوی شبکه و غیره. با اطلاعات کمی که از این ابزار در اختیار داشتیم، تصمیم گرفتیم شِمای کلی از آن بدست آوریم و سایرین را در یافته‌های اصلی خود سهیم کنیم تا شاید در آینده بشود نسخه‌های مخلفی از این ابزار را مورد شناسایی قرار داد. هدف این مقاله این است که بتوانیم انواع Predator را به همراه قابلیت‌های فنی، شاخص‌ها و امضاهای YARA[4] برشماریم تا کار شناسایی و نظارت روی نمونه‌های جدید آسان‌تر شود. همچنین قصد داریم اطلاعات کلی‌ای از فعالیت‌های صاحبان آن ارائه دهیم.

بعلاوه‌ی همه‌ی اطلاعاتی که از مشتری جمع کردیم، کمی فراتر رفته و با منبعی تماس برقرار کردیم که قبلاً Predator را واکاوی کرده بود. نام منبع  Fumik0@ بود؛ یک محقق بدافزار فرانسوی که نسخه‌های 2.3.5 و 2.3.7 را تنها چند ماه پیش در بلاگش پست کرده بود (اکتبر 2018). او به ایدو نائور -محقق امنیتی ارشد در لابراتوار کسپرسکی- ملحق شد و این دو با هم پروژه‌ی تحلیل نسخه‌های جدید Predator  را آغاز نمودند.

ظاهراً بلاگ آنقدر تأثیر داشت که صاحبان این ابزار سرقت تصمیم گرفتند از طریق توییتر با Fumik0 تماس حاصل کنند. نام اکانت Alexuiop1337 بود و ادعا می‌کرد صاحب Predator است. این اکانت همچنان فعال بود و تا همین اواخر هم به کشفیات Fumik0 واکنش نشان می‌داد.

Predator سارق

Predator دزد اطلاعاتی است که روسی‌زبانان آن را ساخته‌اند. این ابزار در بازارهای روسی با قیمت پایینی در حال فروش است و تا به حال چندین بار شناسایی شده‌. گرچه شناسایی نسخه‌های قبلی موفقیت‌آمیز بود اما صاحبان آن مدام دارند هر چند روز یکبار خود را با نمونه‌های FUD (تماماً غیر‌قابل‌شناسایی) سازگار می‌کنند. صاحبان این ابزار خود را مسئول حملاتی که متوجه قربانی می‌شود نمی‌دانند و کارشان تنها فروش این سازه است. آن‌ها همچنین با کمی پرداخت اضافه پنل ادمین هم برای مشتریان درست می‌کنند. جدیدترین نمونه‌ها روی گروه تلگرامی‌شان گذاشته شده بود... با این حال، لینک‌ها تنها به جمع‌آوری‌کننده‌[5]ی کمترشناخته‌شده‌ی AV هدایت می‌شدند. در حال حاضر در حال ردیابی هش‌های نمونه‌ها هستیم و منتظر ماندیم شکارچیان خودشان را به ما نشان دهند.

از  v2 به v3

Predator به عنوان یک ابزار سرقت، چیزی ساده و ارزان است. این ابزار مناسب حمله به افراد و سازمان‌های کوچک می‌باشد. اما در خصوص شرکت‌های بزرگ، تیم‌های رسیدگی به مشکلات با راه‌حل‌های قوی‌شان می‌توانند فعالیت آن را سریعاً شناسایی نموده و جلوی روند آن را بگیرند. دارندگان Predator بسیار سازمانی-محورند. آن‌ها دائماً در حال به روز کردن این نرم‌افزار هستند و پیوسته تلاش می‌کنند قابلیت‌های آن را اضافه نموده و خودشان را با نیاز مشتریان مطابق سازند.

مبهم‌سازی

دارندگان Predator تصمیم گرفتند بخش اعظمی از کد این ابزار را با چند تکنیک ساده مبهم‌سازی کنند: XOR، Base64، Substitutions، رشته‌های Stack و غیره. همچنین خیلی از روش‌هایشان برای پنهان کردن متودهای  API، مسیرهای فولدر و کلیدهای رجیستر، پنل سرور/ادمین C2 و غیره است.

برای یکی از این روش‌های مبهم‌سازی، روندنمایی (flow chart) ترسیم نموده‌ایم.

همچنین برای آن‌هایی که راهنمای گام‌به‌گام را دوست دارند نیز فهرستی تهیه کرده‌ایم:

جدول خروجی

همچنین پی بردیم که ترفند خروجی گرفتن از کارکرد API خیلی پیچیده‌تر از آنی است که برای v2 معرفی شد:

بررسی‌های ضد-دیباگ/سندباکس

Predator برای گریز از سندباکس، تکنیک‌های قدیمی‌اش را نگه می‌دارد اما همچنان قابلیت‌های جدید را هم بدان‌ها اضافه می‌کند. برای مثال یکی از آن‌ها فهرستی از  DLLهای هاردکدشده است برای مطمئن شدن از اینکه در مموری لود شده‌اند بررسی می‌شوند.

برای مثال یکی از ترفندهای قدیمی که هنوز بر قوت خود باقیست چک کردن Graphic Card Name که در v2.x.x معرفی شد.

خوب ولی زوری- پشتیبانی مرورگر از ابزار سرقت

اخیراً پشتیبانی دو مرورگر اج و اینترنت اکسپلورر نیز به فهرست مرورگرها اضافه شده است. با این حال، اقدامات انجام شده با تصمیم‌گیری‌های این بدافزار  (Gecko و مرورگر کروم) فرق دارد. در نسخه‌های قبلی، Predator معمولاً از یک فایل موقتی (*.col format file) برای ذخیره‌ی محتوای مرور (در پایگاه اطلاعاتی SQLite3) استفاده می‌کند؛ اما برای اج و اینترنت اکسپلورر، از فرمان هارکدشده‌ی PowerShell استفاده می‌شود که به طور مستقیم محتوای فایل را در مخزنی مشخص‌شده می‌گذارد.

محض اطلاع این را هم بگوییم که Predator بر اساس اطلاعاتی که روی صفحه‌ی فروش رسمی است، در حال حاضر از فهرستی از مرورگرهای سارق اطلاعات (که در زیر مشاهده می‌کنید) پشتیبانی می‌کند:

ویژگی غلط کی‌لاگر

صاحبان Predator از میان ویژگی‌های این ابزار، قابلیت‌های کی‌لاگرش را فهرست می‌کنند؛ گرچه بازبینی دقیق‌تر از کد نشان می‌دهد هیچ کی‌لاگی صورت نگرفته است. رفتاری که دستگیرمان شده رفتار یک سارق کلیپ‌بورد است. این قابلیت شامل خزنده‌ای می‌شود که چک می‌کند ببیند آیا کلیپ‌بورد حاوی اطلاعات است یا نه و اینکه آیا این اطلاعات را گرفته و در فایل تعیین‌شده قرار می‌دهد یا نه (فایلی که صاحبان ابزار سرقت اسمش را information.log گذاشتند).

لاگ‌های سارق

با بررسی محتویات فایل کلیپ‌بورد، به تغییرات عظیمی در مقایسه با نسخه‌های قبلی پی بردیم. لاگرِ اطلاعات شاید مهم‌ترین جمع‌کننده‌ی Predator باشد. این لاگر همه‌ی وظایف انجام‌شده توسط سارق را روی دستگاه قربانی ذخیره می‌کند.

همچنین متوجه شدیم در نسخه‌های جزئی قبلی، لاگ‌ها شروع به جمع‌آوری داده‌هایی کردند که ممکن است باب طبع مشتریان احتمالی باشد، از قبیل:

• HWID
• زبان سیستم
• طراحی کیبورد

دارندگان در آخر گزارش، یک آی‌دی مشتری/اعتبار اضافه کردند (شاید برای ارتقای سطح پشتیبانی).

آپدیت‌ها

Predator برای محکم کردن جا پای خود، مدام در حال یکپارچه‌سازی نرم‌افزار جدید در فهرست سرقت است. همچنین مدام باگ‌ها را برطرف می‌کند تا همچنان محبوبیت خود را حفظ کند. در ادامه خلاصه‌ای از ویژگی‌های جدید در v3 ارائه داده‌ایم:

نقطه‌ی فروش (بازارهای روسی)

در طی بررسی‌هایمان متوجه فروشنده‌ی فعال Predator در بازاری به نام VLMI شدیم. زبان اصلی VLMI روسی است و محتوایش هم حول محور حملات سایبری می‌چرخد. علاوه بر این، این بازار مجموعه‌ای سخت و پیچیده دارد از قوانینی که ممکن است در صورت تخطی، فعالیت‌تان مسدود شود. هزینه‌ی Predator برای پنل ادمین و سارق 2000 روبل (30 دلار) است.

همچنین سرویسی اختیاری هم وجود دارد که به مشتری کمک می‌کند C&C را نصب کند. این مثل سایر سارقان دیگر در بازار مانند Vidar و HawkEye گران نیست اما توسعه‌دهندگانش در ارائه‌ی بروزرسانی‌ها و تضمین پشتیبانی سریع و مؤثر بسیار کوشا هستند.

تلگرام به عنوان سرویس

کانال اصلی Predator برای بروزرسانی‌ مشتریانش در تلگرام است. در حال حاضر ادمین‌ها میزبان بیش از 370 عضو در این گروه می‌باشند.

کانال بروزرسانی دیگر @sett9 است.

ظاهراً ادمین‌های Predator با اجرای نمونه‌ای ساخت ابزار سرقتشان، در حال نمایش قابلیت‌های FUD هستند. با این حال، برخی نمونه‌ها از بروزرسانی جدیدشان (v3.0.7) از قبل توسط محصولات کسپرسکی شناسایی شده است: Trojan-PSW.Win32.Predator.qy (25F9EC882EAC441D4852F92E0EAB8595) و این درحالیست که بقیه به روش اکتشافاتی شناسایی شدند.

بر اساس این گروه، لینک‌ها نزدیک‌های آگِست سال گذشته (2018) پست شده‌اند. آپلودهای رسانه‌ای بی‌شمار در گروه تلگرام خبر از هزاران قربانی می‌دهد.

روزی که به گروه تلگرام نگاه کردیم (7 فوریه 2019) آخرین سازه (v3.0.7) منتشر شده بود. بر اساس یادداشت‌های انتشار صاحبان Predator، این ابزار با پشتیبانی WinSCP و NordVPN اجرا شد.

IOCs

دامنه‌ها/IP

هش‌ها

Yara

[1]  incident response

[2] (memory dump) برخی اوقات پیش می آید که نرم افزارها بصورت خودکار Dump File ایجاد می کنند ، برای مثال نرم افزارها بصورت خودکار و بدون دلیل مشخصی هنگ می کنند و از سرویس خارج می شوند در این لحظه ویندوز یک Dump File ایجاد می کند و آن را برای برنامه نویس های مایکروسافت ارسال می کند تا دلیل ایجاد مشکل را بررسی و آن را رفع کنند.

[3] EVENT LOGS

[4]نام ابزاریست که برای شناسایی بدافزار و همچنین تحقیق روی آن مورد استفاده قرار می‌گیرد.

[5] Aggregator