XDLoc : Pattern Of Life Geolocation Information
مقاله
  • ۲۹ بهمن ۱۴۰۲
  • Learning Road Map
  • ۴ دقیقه خواندن

XDLoc : Pattern Of Life Geolocation Information

داده‌های مربوط به ردیابی اشخاص مهم، چه در زمان صلح و چه در زمان جنگ، همواره جزو داده‌های مهم برای نهادهای اطلاعاتی/نظامی محسوب می‌شود. این سازمان‌ها در طول تاریخ از روش‌ها و فناوری‌های مختلفی برای جمع‌آوری این نوع داده‌ها بهره برده‌اند. امروزه یکی از روش‌های مورد استفاده‌ی این سازمان‌ها، بهره‌برداری از پروتکل SS7 می‌باشد. از طرفی با شروع تهاجم نظامی روسیه به اوکراین، بسیاری از گروه‌های APT مختلف با یکی از دوطرف این جنگ درگیر هستند. یکی از این گروه‌ها که قرار است در این مقاله به آن بپردازیم، گروه XDSpy است که از روش جالبی برای ردیابی افراد در اوکراین بهره می‌برد. این گروه برای دستیابی به اهداف خود، از بدافزاری با نام XDLoc و اطلاعات Access Pointهای اطراف کاربر بهره‌برداری می‌کند که در این مقاله به تحلیل آن پرداخته شده است.

بدافزار XDLoc

این بدافزار برای جمع‌آوری اطلاعات از WLAN API استفاده می‌کند. درواقع با استفاده از این API می‌تواند اطلاعات مربوط به Access Pointهای نزدیک را به‌دست آورده، سپس اطلاعات به‌دست آمده را با داده‌های موجود در یک Database از پیش جمع‌آوری شده، مقایسه کند. این Database شامل اطلاعات (قدرت سیگنال، BSSID) Access Pointهای یک منطقه (شهر، کشور یا سراسر دنیا) به علاوه‌ی موقعیت مکانی آن‌هاست. این Database می‌تواند با روش‌های مختلفی جمع‌آوری شده باشد، به‌عنوان مثال War-Driving و Location Service، دو روش مرسوم برای جمع‌آوری این نوع از داده‌ها هستند. برای انجام این‌کار، لازم نیست سیستم افراد به Access Point‌ای متصل باشد و تنها کافی‌ست Access Pointها را ببیند. همچنین این روش بدون نیاز به GPS کار می‌کند و نتایج آن بستگی به‌ دقت و حجم اطلاعات موجود در Database جمع‌آوری‌شده دارد.باجستجوی نمونه‌ها و پیاده‌سازی‌های مشابه این تکنیک در گذشته، به اطلاعات نشت‌شده CIA در سال 2017 برمی‌خوریم. طبق این اسناد، CIA پروژه‌ای مشابه‌، در ابعاد بسیار گسترده‌تر و جهانی با نام ELSA را پیاده‌سازی کرده بوده است. توضیح CIA درباره‌ی پروژه‌ی ELSA درعبارت و شکل زیر ارایه شده است:

Figure 1 - System Overview and Description

Figure 2 - Operational Scenario for Elsa

مقدار Hash مربوط به بدافزار XDLoc تحلیل شده در این مقاله، در جدول زیر آمده است. 
ValueAlgorithm
c6ed160688d8cbbbd5c8b8a2afe849d9MD5
88410d6eb663fba2fd2826083a3999c3d3bd07c9SHA1
82c08697466ef64866af6d41936d6231307e09bc75eace4e7fee371ebc2eb1efSHA256

تحلیل تکنیکال بدافزار XDLoc

این بدافزار کار خود را با لود کردن APIهای موردنظر خود، به‌صورت داینامیک از طریق LoadLibrary/GetProcAddress آغاز می‌کند که بخشی از آن را در شکل زیر مشاهده می‌کنید. همچنین stringهای برنامه مبهم‌سازی شده‌اند که البته این تکنیک‌ها اغلب برای دور زدن محصولات امنیتی به‌کار گرفته می‌شوند. توضیح این تکنیک‌ها و روش پیاده‌سازی آن‌ها در مقاله‌ی Bypassing AV/EDR شرح داده شده است.

Figure 3 - Dynamic API Resolution and String Obfuscation in XDLoc

سپس مطابق شکل زیر، با استفاده از WlanEnumInterfaces لیستی از interfaceها و با استفاده از WlanGetNetworkBssList لیستی از Basic Service Set (BSS) مربوط به interfaceها را دریافت می‌کند.هر interface شامل GUID، توضیحات و وضعیت interface است. BSS حاوی SSID، BSSID و قدرت سیگنال در کنار موارد دیگر است.

Figure 4 - WLAN Enumeration in XDLoc

در نهایت همان‌گونه که در شکل زیر نمایش داده شده است، اطلاعات جمع‌آوری شده شامل قدرت سیگنال (RSSI) و BSSID را در فایل wgl.dat ذخیره می‌کند. این اطلاعات، برای پیدا کردن موقعیت جغرافیایی کاربر استفاده می‌شوند.

Figure 5 - Saving BSSID and RSSI in a File by XDLoc

برخلاف پروژه‌ی ELSA، دیتای جمع‌آوری شده توسط XDLoc به‌صورت plain-text ذخیره می‌شود. خروجی هر یک از این ابزار‌ها را در شکل زیر می‌بینید:

Figure 6 - Example of XDLoc Collection

Figure 7 - Example of an Elsa Collection

در انتها باید توجه داشته باشیم که تجهیزات الکترونیک مورد استفاده‌ی ما (به‌طور خاص گوشی‌های موبایل) و البته اپلیکیشن‌های نصب شده بر روی آن‌ها، داده‌های مختلفی را تولید و برای شرکت‌های مختلف ارسال می‌کنند که در اغلب موارد آن‌ها را اطلاعات بدون اهمیتی می‌دانیم و از حجم بزرگ اطلاعاتی که از فعالیت‌های ما در حال ارسال به شرکت‌های مختلف است، غافل هستیم. همچنین با آلوده‌ شدن این تجهیزات به بدافزارهای هدف‌مند، ممکن است این داده‌های مختلف به‌دست افراد خراب‌کار بیفتد. باتوجه به‌ موارد ذکر شده، در این مقاله ابزار مربوط به یک تیم هکری را بررسی کردیم که از منبع داده‌ی کم‌تر شناخته شده‌ای برای دستیابی به داده‌های مورد نظر خود و استفاده از این داده‌ها برای ردیابی افراد کلیدی بهره می‌برده است. در زمان جنگ، همین اطلاعات به‌نظر کم‌ارزش، می‌تواند:۱) با بررسی الگوی زندگی افراد، رفتارهای غیرعادی آن‌ها را شناسایی کرده ۲) مکان و زمان رفتار بعدی فرد و رویدادهای آینده را بااستفاده از داده‌های خود پیش‌بینی کرده ۳) در مقیاس بزرگ، از این داده‌ها در راستای ایجاد برتری استراتژیک نسبت به دشمن، استفاده شود.

علی طباطبایی

نویسنده‌ی مقاله