# ۵. فرار از دفاع (Defense Evasion)

* مهاجمان از تکنیک پیشرفته BYOVD (Bring Your Own Vulnerable Driver) برای غیرفعال کردن راه‌حل‌های امنیتی استفاده می‌کنند.

* آنها ابزارهایی مانند 2stX.exe و Or2.exe را مستقر می‌کنند که از یک درایور آسیب‌پذیر به نام eskle.sys بهره می‌برد.

* این درایور که دارای امضای دیجیتال یک شرکت چینی توسعه‌دهنده بازی ("Thumb World (Beijing) Network Technology Co., Ltd.") است، قابلیت‌هایی برای خاتمه دادن اجباری به فرآیندها (مانند فرآیندهای AV و EDR) از طریق ایجاد Thread در سطح کرنل دارد.

* علاوه بر این، یک کامپوننت دیگر به نام msimg32.dll شناسایی شد که از طریق تکنیک DLL Sideloading (با استفاده از یک فایل اجرایی قانونی مانند FoxitPDFReader.exe ) ، دو درایور مخرب دیگر را در مسیر %TEMP% رها می‌کند:

۔ rwdrv.sys
۔ hlpdrv.sys

* این دو درایور پیش از این در کمپین‌های باج‌افزار Akira برای دستیابی به دسترسی سطح کرنل و خاتمه دادن به EDR ها مشاهده شده بودند.

# ۶. حرکت جانبی و C&C

* برای حرکت جانبی به سیستم‌های لینوکسی در محیط، مهاجمان کلاینت‌های PuTTY SSH را با نام‌های تغییریافته (مانند test.exe , 1.exe , 2.exe) مستقر می‌کنند.

* برای ارتباطات Command and Control، آنها چندین نمونه از بک‌دور COROXY (که یک SOCKS proxy DLL است) را در دایرکتوری‌های نرم‌افزارهای قانونی مانند Veeam ، VMware و Adobe قرار می‌دهند تا ترافیک مخرب خود را در میان ارتباطات عادی شبکه پنهان کنند.

مرحله نهایی: استقرار پی‌لود کراس-پلتفرم

این بخش، نوآورانه‌ترین بخش حمله است:

1. انتقال فایل: مهاجمان از WinSCP.exe (ابزار قانونی انتقال فایل) استفاده می‌کنند تا باینری باج‌افزار لینوکس (مثلاً mmh_linux_x86-64) را به دسکتاپ سیستم ویندوزی منتقل کنند.

2. اجرا: آنها از سرویس مدیریت Splashtop Remote (به طور خاص فایل SRManager.exe) سوءاستفاده می‌کنند تا مستقیماً فایل باینری لینوکس (mmh_linux_x86-64) را بر روی خود سیستم‌عامل ویندوز اجرا کنند.

این تکنیک بسیار مؤثر است زیرا اکثر راه‌حل‌های EDR و مکانیسم‌های کنترلی ویندوز برای نظارت یا جلوگیری از اجرای یک باینری لینوکسی (که توسط یک ابزار مدیریت از راه دور قانونی فراخوانی شده) پیکربندی نشده‌اند.

تحلیل واریانت لینوکس باج‌افزار

باینری لینوکس مورد استفاده نیز بسیار پیشرفته و قابل تنظیم است:

* اجرا با پسورد: برای اجرا حتماً به یک رمز عبور از طریق آرگومان خط فرمان نیاز دارد.

* پارامترهای گسترده: دارای آپشن‌های خط فرمان جامع برای حالت دیباگ (-d)، سطوح لاگ (-l)، تعیین مسیر (-p) ، پیکربندی لیست سفید و پارامترهای کنترل رمزگذاری است. همچنین شامل تأخیر زمانی (-t) برای اجرای با تأخیر و حالت "yes" (-y) برای عملیات خودکار است.

* هدف‌گیری VMware: پیکربندی باج‌افزار به طور خاص مسیرهای حیاتی VMware ESXi مانند /vmfs/ ، /dev/ و /lib64/ را هدف قرار می‌دهد و در عین حال دایرکتوری‌های سیستمی حیاتی را مستثنی می‌کند.

* تشخیص OS: واریانت‌های قدیمی‌تر قابلیت تشخیص FreeBSD، VMkernel (ESXi) و توزیع‌های استاندارد لینوکس را داشتند.

* هدف‌گیری جدید (Nutanix): نمونه‌های جدیدتر، قابلیت تشخیص Nutanix AHV را نیز اضافه کرده‌اند که نشان می‌دهد مهاجمان در حال گسترش هدف‌گیری خود به سمت پلتفرم‌های زیرساخت ابر همگرا (Hyperconverged Infrastructure) فراتر از VMware هستند.

@NullError_ir