بدافزار RisePro برای Initial Access از روشهای متعددی مانند لینکهای فیشینگ برای نفوذ به دستگاه قربانی استفاده میکند.
این بدافزار اغلب در انجمنهای زیرزمینی بهعنوان بخشی از ارائه بدافزار بهعنوان یک سرویس (MaaS) فروخته میشود. وقتی RisePro در یک سیستم Persistence ایجاد کرد، بررسی میکند که آیا اتصال به اینترنت دارد یا خیر و سپس با C2 سرور ارتباط برقرار میکند که میتواند طیف گستردهای از دستورات را توسط بدافزار اجرا کند. مانند بسیاری دیگر از بدافزارها RisePro نیز میتواند در سیستم قربانی عملیات Keylogger را انجام دهد که میتواند دادهها را سرقت و آنها را به زیرساخت عامل تهدید منتقل کند. این بدافزار سیستمعاملهای Windows را تحتتأثیر قرارداده است.
این نرمافزار به طور مرتب بهعنوان یک نسخه تروجان از نرمافزارهای قانونی رایج در سیستمعامل استفاده میکند که خود را بهعنوان نرمافزار قانونی معرفی میکند. بهعنوانمثال در مارس 2024، گونهای از RisePro در GitHub برای میزبانی باینریهای مخرب که به عنوان دانلود نرمافزار قانونی از جمله نسخههای «کرک شده» نرمافزارهای پولی و فایلهای به ظاهر قانونی مایکروسافت استفاده می شد.
RisePro از یک سازنده بدافزار برای تولید Payload خود استفاده میکند و انعطافپذیری و سفارشیسازی بالایی را به کسانی که از این Infostealer استفاده میکنند، میدهد. بهعنوان مثال، هنگامی که یک Payload در حال ساخت است، اپراتور میتواند نوع فایل اجرایی، نام ساخت و حتی IP سرویس خاصی را که میخواهد بدافزار برای ارتباط استفاده کند، مشخص کند.
پس از اجرا، RisePro در ابتدا یک کپی از خود را بهعنوان ابزاری برای Persistence روی دستگاه قربانی قرارمی دهد. به طور معمول، RisePro کپیهای خود را از طریق مسیرهای زیر قرارمی دهد:
%AppData%\Local\Temp و %ProgramData%\
اگر اپراتور بدافزار تنظیمات «Residency» را فعال کرده باشد، باینریهای RisePro کار(های) زمانبندیشدهای را برای اجرا به صورت ساعتی و هنگام ورود ایجاد میکنند. این امر از طریق schtasks.exe به دست میآید تا اطمینان حاصل شود که بدافزار Backdoor بر روی دستگاه قربانی دارد. نمونهای در زیر آمده است:
C:\Windows\SysWOW64\schtasks.exe
C2 دستور “Grabber Config“ خود را ارسال میکند که حاوی مجموعهای از دستورالعملها است که مشخص میکند اپراتور میخواهد چه مواردی را از دستگاه موردنظر خارج کند. اکثر گزینههای موجود در پیکربندی یک مقدار منطقی را برای فعال/غیرفعالکردن توانایی آن میپذیرد.
بدافزار RisePro ابتدا دادههای جمعآوریشده را Zip میکند، سپس از طریق ارتباطات TCP سفارشیسازی شده خود بهصورت Base64 ارسال میکند. محتویات این فایل بسته به تنظیمات پیکربندی آن و اطلاعات معتبر موجود در دستگاه قربانی متفاوت است.
راه هایی برای کاهش این خطر پذیری
- عدم کلیک بر روی لینکهای مشکوک و ناشناس
- نظارت بر پروسسهای اجرا شده
- نظارت بر ترافیک خروجی شبکه
روش های تشخیص این حمله
در صورت استفاده از سیستم شناسایی و پاسخ در نقاط پایانی هوپان (EDR) که یکی از اساسی ترین ماژول های راهکار گسترده شناسایی و پاسخ نخجیرپان (XDR) میباشد، تحلیل فعالیت های مرتبط و هشدارهای زیر مشاهده می گردد:
- جلوگیری از اجرای فایلهای مخرب
- جلوگیری از به سرقت رفتن اطلاعات سیستم و نرمافزارها توسط Infostealer
- جلوگیری از جمعآوری اطلاعات سیستم و ارتباط با سرور C&C
این تهدید از تکنیک های زیر که در جدول مایتر اتک موجود می باشد استفاده نموده است.
| Persistence | Defense Evasion | Credential Access | Discovery | Collection | Command and Control | Exfiltration |
| Account Manipulation | Abuse Elevation Control Mechanism | Adversary-in-the-Middle | Account Discovery | Adversary-in-the-Middle | Application Layer Protocol | Automated Exfiltration |
| BITS Jobs | Access Token Manipulation | Brute Force | Application Window Discovery | Archive Collected Data | Communication Through Removable Media | Data Transfer Size Limits |
| Boot or Logon Autostart Execution | BITS Jobs | Credentials from Password Stores | Browser Information Discovery | Audio Capture | Content Injection | Exfiltration Over Alternative Protocol |
| Boot or Logon Initialization Scripts | Build Image on Host | Exploitation for Credential Access | Cloud Infrastructure Discovery | Automated Collection | Data Encoding | Exfiltration Over C2 Channel |
| Browser Extensions | Debugger Evasion | Forced Authentication | Cloud Service Dashboard | Browser Session Hijacking | Data Obfuscation | Exfiltration Over Other Network Medium |
| Compromise Host Software Binary | Deobfuscate/Decode Files or Information | Forge Web Credentials | Cloud Service Discovery | Clipboard Data | Dynamic Resolution | Exfiltration Over Physical Medium |
| Create Account | Deploy Container | Input Capture | Cloud Storage Object Discovery | Data from Cloud Storage | Encrypted Channel | Exfiltration Over Web Service |
| Create or Modify System Process | Direct Volume Access | Modify Authentication Process | Container and Resource Discovery | Data from Configuration Repository | Fallback Channels | Scheduled Transfer |
| Event Triggered Execution | Domain or Tenant Policy Modification | Multi-Factor Authentication Interception | Debugger Evasion | Data from Information Repositories | Hide Infrastructure | Transfer Data to Cloud Account |
| External Remote Services | Execution Guardrails | Multi-Factor Authentication Request Generation | Device Driver Discovery | Data from Local System | Ingress Tool Transfer | |
| Hijack Execution Flow | Exploitation for Defense Evasion | Network Sniffing | Domain Trust Discovery | Data from Network Shared Drive | Multi-Stage Channels | |
| Implant Internal Image | File and Directory Permissions Modification | OS Credential Dumping | File and Directory Discovery | Data from Removable Media | Non-Application Layer Protocol | |
| Modify Authentication Process | Hide Artifacts | Steal Application Access Token | Group Policy Discovery | Data Staged | Non-Standard Port | |
| Office Application Startup | Hijack Execution Flow | Steal or Forge Authentication Certificates | Log Enumeration | Email Collection | Protocol Tunneling | |
| Power Settings | Impair Defenses | Steal or Forge Kerberos Tickets | Network Service Discovery | Input Capture | Proxy | |
| Pre-OS Boot | Impersonation | Steal Web Session Cookie | Network Share Discovery | Screen Capture | Remote Access Software | |
| Scheduled Task/Job | Indicator Removal | Unsecured Credentials | Network Sniffing | Video Capture | Traffic Signaling | |
| Server Software Component | Indirect Command Execution | Password Policy Discovery | Web Service | |||
| Traffic Signaling | Masquerading | Peripheral Device Discovery | ||||
| Valid Accounts | Modify Authentication Process | Permission Groups Discovery | ||||
| Registry Run Keys/Startup | Modify Cloud Compute Infrastructure | Process Discovery | ||||
| Modify Registry | Query Registry | |||||
| Modify System Image | Remote System Discovery | |||||
| Network Boundary Bridging | Software Discovery | |||||
| Obfuscated Files or Information | System Information Discovery | |||||
| Plist File Modification | System Location Discovery | |||||
| Pre-OS Boot | System Network Configuration Discovery | |||||
| Process Injection | System Network Connections Discovery | |||||
| Reflective Code Loading | System Owner/User Discovery | |||||
| Rogue Domain Controller | System Service Discovery | |||||
| Rootkit | System Time Discovery | |||||
| Subvert Trust Controls | Virtualization/Sandbox Evasion | |||||
| System Binary Proxy Execution | Security Software Discovery | |||||
| System Script Proxy Execution | ||||||
| Template Injection | ||||||
| Traffic Signaling | ||||||
| Trusted Developer Utilities Proxy Execution | ||||||
| Unused/Unsupported Cloud Regions | ||||||
| Use Alternate Authentication Material | ||||||
| Valid Accounts | ||||||
| Virtualization/Sandbox Evasion | ||||||
| Weaken Encryption | ||||||
| XSL Script Processing | ||||||
| Software Packing | ||||||
| System Checks |