گروه APT27 که در مقاله‌های مختلف، با نام‌های دیگری مانند Emissary Panda ،Bronze Union ،TG-3390 و Lucky Mouse هم شناخته می‌شود، یک گروه هکری منتسب به کشور چین است. بر‌اساس مدارک به‌دست‌آمده، این گروه فعالیت خود را از سال ۲۰۱۰ میلادی شروع کرده و حمله‌های آن، اغلب با هدف جاسوسی و سرقت اطلاعات طراحی و اجرا شده‌اند. گروه APT27، در طی سال‌های فعالیت خود، کشورهای مختلفی را در اروپا، آسیا و خاورمیانه هدف قرار داده است که از بین آن‌ها می‌توان به برخی از کشورهای منطقه مانند امارات متحده عربی، عربستان سعودی و مغولستان اشاره کرد. همچنین، قربانیان این گروه‌، اغلب در حوزه‌هایی مانند دولتی، هوا‌ و فضا، دفاعی، فناوری، انرژی و تولید فعالیت داشته‌اند.

به نظر می‌رسد، در موج جدید حمله‌های این گروه که از سال ۲۰۱۹ میلادی آغاز شده، کشور ایران نیز هدف قرار گرفته است. به همین دلیل، در آکادمی راوین تصمیم گرفتیم روش‌ها و ابزارهای مورد استفادۀ APT27 را در قالب مقاله‌‌ای بررسی و تحلیل کنیم. در این مقاله، به بررسی یکی از روش‌های پایدارسازی دسترسی (Persistence) که توسط این گروه به کار گرفته می‌شود، می‌پردازیم.

پایدارسازی دسترسی با استفاده از رجیستری

گروه APT27 در سال‌های فعالیتش، از روش‌های مختلفی برای نفوذ و پایدارسازی دسترسی خود بهره برده است. در اینجا، به بررسی یکی از روش‌های مورد استفادۀ این گروه، در ماه‌های اخیر می‌پردازیم.

در این روش، APT27 ابتدا با استفاده از Exploit یک آسیب‌پذیری موجود در سامانۀ سازمان قربانی، به آن نفوذ کرده و پس از نصب Webshell معروف چینی به نام «ChinaChopper»، به پایدارسازی دسترسی خود اقدام می‌کند. به‌عنوان مثال، این گروه در ماه‌های اخیر با بهره‌گیری از آسیب‌پذیری CVE-2019-0604 که روی سامانۀ SharePoint شناسایی و اعلام شد، به بسیاری از سازمان‌های دولتی و غیر‌دولتی که این آسیب‌پذیری را به‌موقع برطرف نکرده بودند، نفوذ کرده است. مراحل این حمله، در شکل زیر نمایش داده شده است:

پایدارسازی دسترسی APT27، با استفاده از بدافزار اختصاصی این گروه انجام می‌شود که در بعضی از مقالات، ازجمله مقالات Focusfjord» ،Fireeye» نامیده شده است. این بدافزار، اطلاعات مربوط به پیکربندی خود را به‌صورت رمزنگاری‌شده (با الگوریتم Triple-DES) در رجیستری ذخیره کرده و در زمان نیاز، آن‌ها را رمزگشایی و استفاده می‌کند. به عبارت دیگر، بدافزار Focusfjord اطلاعات پیکربندی بدافزار را مطابق جدول زیر، در رجیستری ذخیره می‌کند:

در ابتدای آدرس این رجیستری، یک رشتۀ ۸ بایتی به‌عنوان شناسۀ CPU آمده است:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<CPU Identifier>-ll37389743nxshkhjhgee\1

به‌عنوان مثال:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Intel64 Family 6 Model 63 Stepping 2-ll37389743nxshkhjhgee\1

این بدافزار پس از اجرا، به آدرس سرور مشخص‌شده در رجیستری متصل می‌شود، بدافزار اصلی را دانلود کرده و در آن را حافظۀ سرور قربانی ذخیره می‌کند.

روش شناسایی این Backdoor

با توجه به موارد ذکر‌شده، یکی از روش‌های ردیابی این گروه در زیرساخت سازمان، جست‌وجوی کلیدهای مربوط در رجیستریِ سرورهای ویندوز مرتبط با شبکه (به‌ویژه سرورهای SharePoint) و در‌صورت یافتن، رمزگشایی آن‌ها است. به‌منظور سهولت در ردیابی این تیم، می‌توانید از اسکریپت PowerShell تهیه‌شده در آکادمی راوین استفاده کنید:

bit.ly/2UzBwjD

این اسکریپت، مقادیر ذکر‌شده در جدول را یافته (در‌صورت وجود) و محتوای آن را به‌صورت رمزگشایی‌شده در اختیار شما قرار می‌دهد. شایان ذکر است گروه APT41 که یک گروه دیگر منسوب به چین است نیز از همین روش در برخی اهداف خود استفاده می‌کند.

در مقالۀ بعدی به تحلیل یکی از روش‌های پرکاربرد این گروه در پایداری دسترسی، که برای مقابله با شناسایی شدن از روش DLL Side-Loading بهره می‌برد، خواهیم پرداخت.