محققان امنیت سایبری از کشف یک بکدور (Backdoor) پیشرفته و پنهانکارانه به نام MystRodX خبر دادهاند که قابلیتهای گستردهای برای جمعآوری دادههای حساس از سیستمهای آلوده دارد.
طبق گزارش QiAnXin XLab که هفته گذشته منتشر شد:
«MystRodX یک بکدور معمولی نیست. این بدافزار که با زبان ++C نوشته شده، از ویژگیهایی مانند مدیریت فایل، Port Forwarding، Reverse Shell و مدیریت سوکتها (Socket Management) پشتیبانی میکند. اما چیزی که آن را متمایز میکند، سطح بالای پنهانکاری و انعطافپذیری آن است.»
ارتباط MystRodX با گروههای جاسوسی سایبری چینی
MystRodX که به آن ChronosRAT هم گفته میشود، نخستینبار توسط تیم تحقیقاتی Palo Alto Networks Unit 42 شناسایی شد. این تیم اعلام کرد که MystRodX بخشی از یک کمپین تهدیدی با نام CL-STA-0969 است که شباهتهای زیادی با گروه جاسوسی سایبری چینی معروف به Liminal Panda دارد.
رمز موفقیت MystRodX در پنهانکاری
این بدافزار از چندین لایه رمزنگاری (Encryption) برای مخفیسازی کد منبع و Payloadها استفاده میکند. پیکربندی ماژولار آن نیز اجازه میدهد که بر اساس نیاز، عملکردهای مختلفی فعال شوند؛ مانند انتخاب بین پروتکلهای TCP یا HTTP برای ارتباطات شبکهای یا استفاده از رمزنگاری ساده یا پیشرفته (مثل AES) برای ایمنسازی ترافیک.
کنترل از راه دور با استفاده از DNS و ICMP
یکی از قابلیتهای منحصربهفرد MystRodX، “Wake-Up Mode” است. در این حالت، بدافزار در حالت غیرفعال باقی میماند و تنها با دریافت پکتهای خاص DNS یا ICMP فعال میشود.
طبق گفتهی محققان:
«پس از بررسی مقدار Magic Value، MystRodX با سرور فرمان و کنترل (C2) ارتباط برقرار میکند و منتظر دریافت دستورات بعدی میماند.»
در مقایسه با بکدورهای شناختهشدهای مانند SYNful Knock که از هدرهای TCP برای مخفیسازی فرمانها استفاده میکنند، MystRodX روش سادهتری اما مؤثرتری دارد: دستور فعالسازی را مستقیماً در payload پکتهای ICMP یا دامنههای DNS Query جاسازی میکند.
نحوه نفوذ MystRodX به سیستم
MystRodX از طریق یک Dropper به سیستم قربانی تحویل داده میشود. این Dropper ابتدا بررسی میکند که آیا برنامه در حال اجرا تحت Debug یا در ماشین مجازی (VM) قرار دارد یا نه. در صورت عبور از این مرحله، Payload اصلی رمزگشایی میشود که شامل سه بخش است:
daytime: لانچری که وظیفه اجرای ماژول بعدی را دارد.chargen: ماژول اصلی بکدور یعنی MystRodX.busybox: ابزار جانبی برای اجرای دستورات یونیکسی.
ساختار اجرایی و تنظیمات پنهانی
پس از اجرا، MystRodX دائماً وضعیت فرآیند daytime را مانیتور میکند. در صورت عدم وجود آن، فوراً آن را راهاندازی میکند. پیکربندی این بدافزار که با الگوریتم AES رمزگذاری شده، شامل اطلاعاتی مانند آدرس سرور C2، نوع بکدور (Passive یا Active)، و پورتهای اصلی و پشتیبان ارتباطی است.
به گفتهی محققان XLab:
«اگر مقدار Backdoor Type برابر 1 باشد، MystRodX در حالت Passive Mode قرار میگیرد و منتظر دستور فعالسازی میماند. در غیر اینصورت، به حالت Active Mode میرود و بلافاصله با سرور C2 ارتباط برقرار میکند تا دستورات را اجرا کند.»
جمعبندی
MystRodX یکی از پیچیدهترین بکدورهای شناساییشده در سالهای اخیر است که با ترکیبی از رمزنگاری پیشرفته، کنترل از راه دور پنهان، و ساختار ماژولار، تهدیدی جدی برای امنیت سایبری به حساب میآید. استفاده از تکنیکهای Trigger مبتنی بر DNS و ICMP این بدافزار را به ابزاری مرموز و در عین حال قدرتمند برای عملیاتهای جاسوسی تبدیل کرده است.
🔍 پیشنهاد امنیتی:
سازمانها باید نسبت به تحلیل ترافیک شبکه، بهویژه بررسی پکتهای ICMP و DNS Queryهای مشکوک، حساسیت ویژهای داشته باشند و از راهکارهای تشخیص تهدید مبتنی بر رفتار (Behavior-based Detection) استفاده کنند.
