نتایج بررسی و تحلیل محققان شرکت پروف‌پوینت حاکی از آن است که این بدافزار یک تروجان دسترسی از راه دور (Remote Access Trojan – به‌اختصار RAT) بوده و از طریق کارزارهای مخرب ایمیلی با سوءاستفاده از سوژه COVID-19 در حال گسترش است و برای این کار از ترفندهای مختلفی برای دورزدن راهکارهای امنیتی استفاده می‌کند.
این بدافزار که Nerbian نام‌گذاری شده به زبان برنامه‌نویسی GO که سازگار با هر نوع سیستم‌عامل بوده،  نوشته شده است و به طور قابل‌توجهی از امکانات ضد تحلیل و ضد مهندسی معکوس استفاده می‌کند.
محققان پروف‌پوینت، نام این تروجان را بر اساس نام یکی از توابع موجود در کد بدافزار Nerbian گذاشته‌اندکه به نظر می‌رسد از «Nerbia» نام مکانی تخیلی در رمان دن‌کیشوت (Don Quixote) اقتباس شده باشد.
بر اساس مشاهدات، توزیع این تروجان‌ برای نخستین‌بار از 6 اردیبهشت با یک کارزار ایمیلی نه‌چندان حجیم آغاز و در پیام‌هایی به صنایع مختلف و عمدتاً در ایتالیا، اسپانیا و بریتانیا ارسال شده است.
پیام‌های ارسالی ادعا می‌کنند که از سوی سازمان بهداشت جهانی (World Health Organization – به‌اختصار WHO) ارسال شده‌اند و حاوی اطلاعات مهمی در مورد ویروس COVID-19 هستند. مشابه این پیام‌ها در یک کارزار «فریب سایبری» موسوم به فیشینگ (Phishing) ارسال می‌شد که در روزهای نخستین همه‌گیری کرونا در فروردین سال 1399 برپاشده بود.
در نمونه ایمیل‌های منتشر شده، ایمیل‌های ارسالی به‌گونه‌ای هستند که به نظر برسند از سوی سازمان بهداشت جهانی ارسال شده‌اند.
این ایمیل‌ها از نشانی‌های who.inter.svc@gmail[.]com یا announce@who-international[.]com و تحت عنوان World Health Organization یا WHO ارسال می‌‌شوند.
این ایمیل‌ها به‌ظاهر شامل اقدامات ایمنی مربوط به COVID-19 بوده و همچنین شامل پیوست‌هایی هستند که عبارت «covid19» در نام فایل‌ها به کار رفته است. اما در واقع فایل‌های پیوست، فایل‌های Word حاوی ماکروهای مخرب هستند.
در صورت فعال‌بودن ماکروها در نرم‌افزار Word، با کلیک کاربر بر روی فایل‌های پیوست، اطلاعاتی در خصوص پیشگیری از  COVID-19 به‌ویژه قرنطینه کردن و مراقبت از افراد مبتلا به COVID-19 نمایش داده می‌شود. همچنین ماکرو جاسازی شده در فایل اجرا می‌شود که باعث ایجاد یک فایل بر روی سیستم قربانی شده و یک فرایند PowerShell را به جریان می‌اندازد. این فرایند فایل فراخوانی‌کننده Nerbian را در یک فایل اجرایی 64 بیتی به نام UpdateUAV.exe که به زبان برنامه‌نویسی Go  نوشته شده، بارگذاری می‌کند.
محققان معتقدند که زبان برنامه‌نویسی Go، احتمالاً به دلیل یادگیری آسان و سهولت استفاده از آن، در حال تبدیل‌شدن به زبان محبوب مهاجمان است.

پیچیدگی برای فرار از چنگ راهکارهای امنیتی

به نقل از محققان، تروجان Nerbian  در چندین مرحله، از چند مؤلفه ضد تحلیل و چندین کتابخانه منبع‌باز استفاده می‌کند. در واقع، بدافزار در سه مرحله مجزا عمل می‌کند و بسیار پیچیده است. همان‌طور که توضیح داده شد، بدافزار با انتشار فایل مخرب فوق از طریق حملات فیشینگ شروع کرده و سپس با فایل اجراییUpdateUAV.exe  ادامه می‌دهد. فایل فراخوانی‌کننده بدافزار قبل از اجرا و فعال‌سازی Nerbian، کنترل‌های مختلفی را انجام می‌دهد تا مطمئن شود در محیط آزمایشگاهی، قرنطینه یا جعبه شنی اجرا نمی‌شود. در نهایت، تروجان از طریق یک فایل پیکربندی و رمزگذاری شده بااحتیاط بسیار اجرا می‌شود. به‌منظور اطمینان از رصد نشدن و دورزدن راهکارهای امنیتی، داده‌های ارسالی به سرورهای کنترل و فرماندهی (Command-and-Control – به‌اختصار C2) رمزگذاری شده و از طریق ارتباطات امن منتقل می‌شوند.
محققان پروف‌پوینت اظهار داشتند که این بدافزار علاوه بر ارتباط و تبادل اطلاعات با سرورهای C2، سایر کارهای معمول یک تروجان، همچون ضبط کلیدهای فشرده شده توسط کاربر (Keylogging) و تصویربرداری از صفحه‌نمایش (Screen Capture) را نیز به شیوه خود انجام می‌دهد. ضبط کلیدهای فشرده شده توسط کاربر را به‌صورت رمزگذاری شده انجام می‌دهد؛ درحالی‌که ابزار تصویربرداری از صفحه‌نمایش آن نیز در تمامی انواع سیستم‌های عامل کار می‌کند.

ارزیابی دقیق

شاید پیچیده‌ترین بخش گریز از راهکارهای امنیتی در این فرایند سه‌مرحله‌ای، مرحله قبل از اجرای فایل فراخوانی‌کننده بدافزار Nerbian  باشد. به گفته محققان، فایل فراخوانی‌کننده بدافزار، به‌صورت دقیق و گسترده، سیستم قربانی را بررسی کرده و در صورت وجود هر یک از شرایط زیر، اجرای آن را متوقف می‌کند.
–    اندازه دیسک سخت سیستم کمتر از یک اندازه معین (100 گیگابایت) باشد.
–    نام دیسک سخت حاوی «virtual»، «vbox» یا «vmware» باشد.
–    آدرس MAC درخواست شده مقادیر OUI خاصی را برگرداند.
–    چنانچه هر یک از برنامه‌های مهندسی معکوس/اشکال‌زدایی در فهرست فرایندها مشاهده شوند.
–    اگر برنامه‌های تحلیل حافظه/ تخریب حافظه همچون Dumplt.exe، RAMMap.exe، RAMMap64.exe و یا vmmap.exe در فهرست فرایندها وجود داشته باشند.
–    و در نهایت چنانچه مقدار زمان سپری شده برای اجرای توابع خاص «بیش از حد» در نظر گرفته شود که نشان‌دهنده اجرا در محیط آزمایشگاهی است.
بااین‌حال، با وجود این‌همه پیچیدگی برای اطمینان از شناسایی نشدن تروجان Nerbian  در مسیر نفوذ به دستگاه قربانی، فایل فراخوانی‌کننده بدافزار و خود بدافزار، به‌غیراز استفاده از فشرده‌ساز UPX، از روش‌های مخفی‌سازی استفاده نمی‌کنند. به‌کارگیری UPX نیز لزوماً منجر به مخفی‌سازی نمی‌شود و تنها باعث کاهش اندازه فایل اجرایی را می‌شود.
همچنین محققان اظهار داشته‌اند که درک نحوه عملکرد برنامه‌های فراخوانی‌کننده بدافزار و خود بدافزار آسان است، به دلیل وجود داده‌هایی در کد این برنامه‌ها که به منابعی بر روی بستر برنامه‌نویسی GitHub اشاره دارند.

مشروح گزارش شرکت پروف‌پوینت در خصوص تروجان Nerbian  در نشانی زیر قابل‌مطالعه است:

https://www.proofpoint.com/us/blog/threat-insight/nerbian-rat-using-covid-19-themes-features-sophisticated-evasion-techniques

منبع: