Python Info Stealer

در این پست به بررسی بد افزار Python Info Stealer می پردازیم. این بدافزار با استفاده از پلتفرم های معتبر اقدام به نشر و تکثیر کرده است. از جمله سرویس ها و پلتفرم های مورد سو استفاده این بدافزار گیت هاب و گیت لب هستند و همچنین این بدافزار برای استخراج اطلاعات از سیسیتم قربانی از ربات و سرویس API تلگرام و سرویس های مشابه استفاده کرده است.

از جمله رفتار های کلیدی مشاهده شده از این بدافزار شامل :

سو استفاده از سایت های معروف و شناخته شده :

خیلی از عاملان تهدید از Repository ها و پیام رسان های عومی برای استفاده به عنوان بخشی از ساختار C2 بدافزار خود استفاده می کنند. در اینجا از شهرت پلتفرم و اعتمادی که کاربران آن پلتفرم از آن داشته اند سواستفاده شده است. و به عنوان نمونه شناسایی انواع استفاده های مخرب و خطرناک از Repository های تحت وب مانند گیت هاب و گیت لب می تواند بسیار سخت و زمان گیر باشد و در عین حال برای کاربران کاملا آماده و قابل استفاده است. به همین دلیل عاملان تهدید بیشتری از این سرویس ها برای رفتار مخرب سواستفاده می کنند.

استفاده از سه روش مختلف

عامل تهدید سه توزیع مختلف از Python Info Stealer را ایجاده و بهره برداری کرده است. مهم ترین تفاوت بین توزیع های مختلف آن در این است که دو توزیع اول اسکریپت های پایتون معمولی هستند ولی سومین نمونه از آن یک فایل قابل اجرا است که توسط PyInstaller به exe تبدیل شده است.

استفاده از پلتفرم های شناخته شده برای ارسال اطلاعات جمع آوری شده

همانطور که قبلا اشاره شد ، بدافزار بعد از جمع آوری اطلاعات از سیستم قربانی ، آن را به پلتفرم هایی مانند Discord , Github و Telegram ارسال کرده است. و این رفتار از جمله سو استفاده از پیام رسان ها مانند Telegram Bots API و Discord بین عاملان تهدید در حال رشد است و فقط به این دلیل که در دسترس هستند و استفاده از آن ها راحت است.

عامل تهدید برای آلوده کردن سیستم قربانیان ابتدا از طریق ارسال پیام شخصی به قربانی در پلتفرم فیسبوک اقدام می کند. در این پیام، مهاجم قربانی را وسوسه می کند تا یک فایل آرشیو شده مانند RAR یا ZIP را دانلود کند. زنجیره آلوده سازی سیستم (Infectio Chain) از این فایل آرشیو به دو فایل دانلودر منتهی می شود که در نهایت توزیع مناسب Infostealer را دانلود و به سیستم قربانی ارسال می کند.

در قدم اول یک فایل BAT وجود دارد که دانلودر اول را شامل می شود و با استفاده از Curl یک فایل ZIP را دانلود می کند و سپس با اجرای دستور پاورشل یک اسکریپت CMD به نام (vn.cmd) را از فایل ZIP استخراج می کند و در ادامه این اسکریپت اقدام به دانلود فایل اصلی Python Info Stealer و اجرای آن اقدام می کند.

راه هایی برای کاهش این خطر پذیری

عدم دریافت فایل از افراد و فرستنده های ناشناس
عدم اجرای برنامه های ناشناس
استفاده از نرم افزار های امنیتی مانند آنتی ویروس

روش های تشخیص این حمله

در صورت استفاده از سیستم شناسایی و پاسخ در نقاط پایانی هوپان (EDR) که یکی از اساسی ترین ماژول های راهکار گسترده شناسایی و پاسخ نخجیرپان (XDR) می‌باشد، تحلیل فعالیت های مرتبط و هشدارهای زیر مشاهده می گردد:

جلوگیری از اجرای اسکریپت دانلودر
جلوگیری از رفتار مشکوک توسط اسکریپت ها
جلوگیری از جمع آوری اطلاعات مرورگر توسط بدافزار

این تهدید از تکنیک های زیر که در جدول مایتر اتک موجود می باشد استفاده نموده است.

شرکت مهندسی امن ارتباط سینداد کلیه IOA و IOC های مرتبط با تشخیص این حمله را به سامانه های خود افزوده است.

Initial Access	Execution	Persistence	Defense Evasion	Credential Access	Exfiltration	Command and control
Drive-by Compromise	AppleScript	.bash_profile and .bashrc	Access Token Manipulation	Account Manipulation	Automated Exfiltration	Application layer protocol
Exploit Public-Facing Application	CMSTP	Accessibility Features	Binary Padding	Bash History	Data Compressed	Web protocols
External Remote Services	Command and scripting interpreter	Account Manipulation	BITS Jobs	Brute Force	Data Encrypted
Hardware Additions	Command-Line Interface	AppCert DLLs	Bypass User Account Control	Credential Dumping	Data Transfer Size Limits
Replication Through Removable Media	Compiled HTML File	AppInit DLLs	Clear Command History	Credentials from Web Browsers	Exfiltration Over Alternative Protocol
Phishing	Component Object Model and Distributed COM	Application Shimming	CMSTP	Credentials in Files	Exfiltration over WebService
Spearphishing Attachment	Control Panel Items	Authentication Package	Code Signing	Credentials in Registry	Exfiltration Over Command and Control Channel
Spearphishing Link	Dynamic Data Exchange	BITS Jobs	Compile After Delivery	Exploitation for Credential Access	Exfiltration Over Other Network Medium
Spearphishing via Service	Execution through API	Boot or Logon AutoStart execution	Compiled HTML File	Forced Authentication	Exfiltration Over Physical Medium
Supply Chain Compromise	Execution through Module Load	Bootkit	Component Firmware	Hooking	Scheduled Transfer
Trusted Relationship	Exploitation for Client Execution	Browser Extensions	Component Object Model Hijacking	Input Capture
Valid Accounts	Graphical User Interface	Change Default File Association	Connection Proxy	Input Prompt
	InstallUtil	Component Firmware	Control Panel Items	Kerberoasting
	Launchctl	Component Object Model Hijacking	DCShadow	Keychain
	Local Job Scheduling	Create Account	Deobfuscate/Decode Files or Information	LLMNR/NBT-NS Poisoning and Relay
	LSASS Driver	DLL Search Order Hijacking	Disabling Security Tools	Network Sniffing
	Mshta	Dylib Hijacking	DLL Search Order Hijacking	Password Filter DLL
	PowerShell	Emond	DLL Side-Loading	Private Keys
	Regsvcs/Regasm	External Remote Services	Execution Guardrails	Securityd Memory
	Regsvr32	File System Permissions Weakness	Exploitation for Defense Evasion	Steal Web Session Cookie
	Rundll32	Hidden Files and Directories	Extra Window Memory Injection	Two-Factor Authentication Interception
	Scheduled Task	Hooking	File and Directory Permissions Modification
	Scripting	Hypervisor	File Deletion
	Service Execution	Image File Execution Options Injection	File System Logical Offsets
	Signed Binary Proxy Execution	Kernel Modules and Extensions	Gatekeeper Bypass
	Signed Script Proxy Execution	Launch Agent	Group Policy Modification
	Source	Launch Daemon	Hidden Files and Directories
	Space after Filename	Launchctl	Hidden Users
	Third-party Software	LC_LOAD_DYLIB Addition	Hidden Window
	Trap	Local Job Scheduling	HISTCONTROL
	Trusted Developer Utilities	Login Item	Image File Execution Options Injection
	User Execution	Logon Scripts	impair defenses
	Windows Management Instrumentation	LSASS Driver	Indicator Blocking
	Windows Remote Management	Modify Existing Service	Indicator Removal from Tools
	XSL Script Processing	Netsh Helper DLL	Indicator removal
		New Service	Indirect Command Execution
		Office Application Startup	Install Root Certificate
		Path Interception	InstallUtil
		Plist Modification	Launchctl
		Port Knocking	LC_MAIN Hijacking
		Port Monitors	Masquerading
		PowerShell Profile	Modify Registry
		Rc.common	Mshta
		Re-opened Applications	Network Share Connection Removal
		Redundant Access	NTFS File Attributes
		Registry Run Keys / Startup Folder	Obfuscated Files or Information
		Scheduled Task	Parent PID Spoofing
		Screensaver	Plist Modification
		Security Support Provider	Port Knocking
		Server Software Component	Process Doppelgänging
		Service Registry Permissions Weakness	Process Hollowing
		Setuid and Setgid	Process Injection
		Shortcut Modification	Redundant Access
		SIP and Trust Provider Hijacking	Regsvcs/Regasm
		Startup Items	Regsvr32
		System Firmware	Rootkit
		Systemd Service	Rundll32
		Time Providers	Scripting
		Trap	Signed Binary Proxy Execution
		Valid Accounts	Signed Script Proxy Execution
		Web Shell	SIP and Trust Provider Hijacking
		Windows Management Instrumentation Event Subscription	Software Packing
		Winlogon Helper DLL	Space after Filename
			Template Injection
			Timestomp
			Trusted Developer Utilities
			Valid Accounts
			Virtualization/Sandbox Evasion
			Web Service
			XSL Script Processing