بلک‌انرژی

بدافزار بلک‌انرژی (به انگلیسی: BlackEnergy) برای نخستین بار در گزارشی در سال ۲۰۰۷ به‌عنوان یک جعبه‌ابزار مبتنی بر اچ‌تی‌تی‌پی معرفی شد که بات‌هایی را برای اجرای حملات دی‌داس^[الف] ایجاد می‌کرد.^[۱] این بدافزار حدود سال ۲۰۰۷ توسط یک هکر روس به نام دمیتری اولکسیوک ایجاد شد. اولکسیوک نام مستعار Cr4sh استفاده می‌کرد.^[۲] در سال ۲۰۱۰، بلک‌انرژی ۲ با قابلیت‌هایی فراتر از حملات دی‌داس دوباره ظهور کرد. در سال ۲۰۱۴ نیز، بلک‌انرژی ۳ همراه با مجموعه‌ای از افزایه‌ها^[ب] ارائه شد.^[۳]

گروهی روسی به نام سندوُرم (ملقب به Voodoo Bear) به استفاده از بلک‌انرژی در حملات هدفمند متهم شده است. شیوه توزیع این حمله از طریق یک سند وُرد یا یک ضمیمه پاورپوینت در ایمیل صورت می‌گیرد که قربانیان را فریب می‌دهد تا بر روی پرونده مشکل دار که به نظر می‌رسد کلیک کنند.^[۴]

بلک‌انرژی ۱

کد بلک‌انرژی BE1 امکان انواع حملات متفاوت را برای آلوده‌سازی ماشین‌های مورد هدف فراهم می‌کند. این بدافزار به اسکریپت‌نویسی سمت سرور نیز مجهز است که مهاجمان می‌توانند از این قابلیت در فرماندهی و کنترل (C&C) در سمت سرور استفاده کنند و به توسعه بدافزار بپردازند. مجرمان سایبری از کیت سازنده بات بلک‌انرژی برای تولید فایل‌های اجرایی بات سفارشی استفاده می‌کنند که از طریق هرزنامه و کمپین‌های فیشینگ توزیع می‌شوند.^[۵]

BE1 فاقد قابلیت‌های اکسپلویت داخلی است و برای بارگیری بات، به ابزارهای جانبی متکی است.^[۶] بلک‌انرژی با استفاده از امضاهای یارا که توسط وزارت امنیت داخلی ایالات متحده آمریکا ارائه شده، قابل شناسایی است.

ویژگی‌های کلیدی^[۶]

امکان هدف قرار دادن بیش از یک نشانی آی‌پی در هر نام میزبان
برخورداری از یک ابزار رمزگذاری زمان اجرا برای دور زدن آنتی‌ویروس
پنهان کردن فرایندهای خود در یک درایور سیستمی (syssrv.sys)

انواع دستورها

فرمان‌های حملات دی‌داس (برای مثال: ICMP flood, TCP SYN flood, UDP flood, HTTP get flood, DNS flood و غیره)^[۱]
فرمان‌های بارگذاری به منظور دریافت و اجرای پرونده‌های اجرایی جدید یا به‌روزرسانی‌شده از سرور
فرمان‌های کنترلی (برای مثال: stop, wait یا die)

بلک‌انرژی ۲

BE2 از تکنیک‌های پیشرفته روت‌کیت/تزریق فرایند، رمزنگاری قدرتمند و معماری ماژولار موسوم به «دراپر»^[پ] بهره می‌برد.^[۷] این دراپر، کد روت‌کیت را رمزگشایی و از حالت فشرده خارج کرده و آن را روی سیستم قربانی با یک نام تصادفی به‌عنوان سرور نصب می‌کند. این نسخه به‌روزشده از بلک‌انرژی ۱، کد منبع قدیمی روت‌کیت را با توابعی جدید برای از حالت فشرده خارج کردن و تزریق ماژول‌ها در فرایندهای کاربری ترکیب می‌کند.^[۷] داده‌های فشرده‌شده با الگوریتم LZ77 فشرده و با نسخه اصلاح‌شده آر سی ۴ رمزگذاری می‌شوند. یک کلید ۱۲۸ بیتیِ ثابت برای رمزگشایی محتوای توکار استفاده می‌شود. برای رمزگشایی ترافیک شبکه، بدافزار از رشته شناسایی منحصربه‌فرد بات به‌عنوان کلید استفاده می‌کند. یک حالت دوم از طرح رمزگذاری/فشرده‌سازی، بُردار آغاز^[ت] را به رمز RC4 اصلاح‌شده اضافه می‌کند تا در دراپر و بخشی که روت‌کیت را از حالت فشرده خارج می‌کند، امنیت بیشتری فراهم کند، اما در بخش داخلی روت‌کیت یا ماژول‌های فضای کاربر به‌کار نمی‌رود. مهم‌ترین تغییر در پیاده‌سازی RC4 در بلک‌انرژی ۲ در الگوریتم زمان‌بندی کلید^[ث] آن است.^[۷]

قابلیت‌ها

قابلیت اجرای فایل‌های محلی
قابلیت دانلود و اجرای فایل‌های راه دور
به‌روزرسانی خود و افزونه‌هایش از طریق سرورهای فرمان و کنترل
اجرای دستورها die یا destroy

بلک‌انرژی ۳

BE3 که جدیدترین نسخه کامل بلک‌انرژی است، در سال ۲۰۱۴ پدیدار شد. تغییرات این نسخه، کد بدافزار را ساده‌تر کرده است: نصب‌کننده این نسخه، دی‌اِل‌اِل^[ج] اصلی را مستقیماً در پوشه "Local Application Data" ذخیره می‌کند.^[۸]

این نسخه از بدافزار در هک شبکه برق اوکراین نقش داشت.^[۹]

افزایه‌ها^[۳]

fs.dll — عملیات مربوط به سامانه فایل‌بندی
si.dll — اطلاعات سیستمی، «بلک‌انرژی لایت»^[چ]
jn.dll — آلوده‌کننده به‌شکل انگلی^[ح]
ki.dll — کی‌لاگر
ps.dll — سرقت گذرواژه
ss.dll — گرفتن اسکرین‌شات
vs.dll — شناسایی شبکه، اجرای راه دور
tv.dll — تیم‌ویوئر
rd.dll — نوعی «ریموت دسکتاپ» ابتدایی
up.dll — به‌روزرسانی بدافزار
dc.dll — فهرست کردن حساب‌های ویندوز
bs.dll — پرس‌وجوی سخت‌افزار سیستم، بایوس و اطلاعات ویندوز
dstr.dll — تخریب سیستم
scan.dll — اسکن شبکه

یادداشت‌ها

↑ Distributed Denial of Service (DDoS)
↑ plug-in
↑ dropper
↑ initialization vector
↑ key-scheduling
↑ dynamic-link library (DLL)
↑ BlackEnergy Lite
↑ Parasitic infector

منابع

↑ ^۱٫۰ ^۱٫۱ Nazario, Jose (October 2007). "BlackEnergy DDoS Bot Analysis" (PDF). Arbor Networks. Archived from the original (PDF) on 21 February 2020. Retrieved 17 April 2019.
↑ Greenberg, Andy (2019). Sandworm: a new era of cyberwar and the hunt for the Kremlin's most dangerous hackers. New York: Doubleday. ISBN 978-0-385-54440-5.
↑ ^۳٫۰ ^۳٫۱ "Updated BlackEnergy Trojan Grows More Powerful - McAfee Blogs". 14 January 2016.
↑ "Details on August BlackEnergy PowerPoint Campaigns". 4 October 2014.
↑ "BlackEnergy APT Malware - RSA Link". community.rsa.com. 23 March 2016.
↑ ^۶٫۰ ^۶٫۱ Khan, Rafiullah; Maynard, Peter; McLaughlin, Kieran; Laverty, David M.; Sezer, Sakir (1 October 2016). Threat Analysis of BlackEnergy Malware for Synchrophasor based Real-time Control and Monitoring in Smart Grid (PDF). Proceedings of the 4th International Symposium for ICS & SCADA Cyber Security Research 2016 (به انگلیسی). doi:10.14236/ewic/ICS2016.7. Archived from the original (PDF) on 20 October 2016. Retrieved 5 November 2022.
↑ ^۷٫۰ ^۷٫۱ ^۷٫۲ Joe Stewart (3 March 2010). "BlackEnergy Version 2 Threat Analysis". www.secureworks.com.
↑ "ThreatSTOP Report: BlackEnergy" (PDF). threatstop.com (به انگلیسی). 7 March 2016. Archived (PDF) from the original on 28 May 2022. Retrieved 5 November 2022.
↑ Cherepanov A. , Lipovsky R. (7 October 2016). "BlackEnergy – what we really know about the notorious cyber attacks" (PDF).

[1] Distributed Denial of Service (DDoS)

[4] ug-in

[9] ropper

[11] tialization vector

[12] y-scheduling

[13] ynamic-link library (DLL)

[16] BlackEnergy Lite

[17] Parasitic infector

[BE1_2007-2] ۱٫۰ ^۱٫۱ Nazario, Jose (October 2007). "BlackEnergy DDoS Bot Analysis" (PDF). Arbor Networks. Archived from the original (PDF) on 21 February 2020. Retrieved 17 April 2019.

[3] Greenberg, Andy (2019). Sandworm: a new era of cyberwar and the hunt for the Kremlin's most dangerous hackers. New York: Doubleday. ISBN 978-0-385-54440-5.

[mcafee.com-5] ۳٫۰ ^۳٫۱ "Updated BlackEnergy Trojan Grows More Powerful - McAfee Blogs". 14 January 2016.

[welivesecurity.com-6] "Details on August BlackEnergy PowerPoint Campaigns". 4 October 2014.

[rsa.com-7] "BlackEnergy APT Malware - RSA Link". community.rsa.com. 23 March 2016.

[bcs.org-8] ۶٫۰ ^۶٫۱ Khan, Rafiullah; Maynard, Peter; McLaughlin, Kieran; Laverty, David M.; Sezer, Sakir (1 October 2016). Threat Analysis of BlackEnergy Malware for Synchrophasor based Real-time Control and Monitoring in Smart Grid (PDF). Proceedings of the 4th International Symposium for ICS & SCADA Cyber Security Research 2016 (به انگلیسی). doi:10.14236/ewic/ICS2016.7. Archived from the original (PDF) on 20 October 2016. Retrieved 5 November 2022.

[secureworks.com-10] ۷٫۰ ^۷٫۱ ^۷٫۲ Joe Stewart (3 March 2010). "BlackEnergy Version 2 Threat Analysis". www.secureworks.com.

[14] "ThreatSTOP Report: BlackEnergy" (PDF). threatstop.com (به انگلیسی). 7 March 2016. Archived (PDF) from the original on 28 May 2022. Retrieved 5 November 2022.

[15] Cherepanov A. , Lipovsky R. (7 October 2016). "BlackEnergy – what we really know about the notorious cyber attacks" (PDF).

[الف]

[۱]

[۲]

[ب]

[۳]

[۴]

[۵]

[۶]

[پ]

[۷]

[ت]

[ث]

[ج]

[۸]

[۹]

[چ]

[ح]