در تازهترین گزارشهای امنیت سایبری، کیت CTRL (CTRL Toolkit) بهعنوان یک ابزار پیشرفته دسترسی از راه دور (RAT) شناسایی شده است که از طریق فایلهای LNK مخرب توزیع میشود و برای هک و ربایش نشستهای RDP مورد استفاده قرار میگیرد. این کیتCTRL پیشرفته با اجرای پیلود چندمرحلهای، تونلسازی معکوس FRP و معماری مبتنی بر Named Pipe طراحی شده تا حداقل ردپای شبکهای بر جای بگذارد. نکته مهم این است که کیتCTRL با تمرکز بر امنیت عملیاتی (OPSEC)، الگوهای کلاسیک ارتباط با سرور فرماندهی و کنترل (C2) را از بین برده و تعاملات خود را به شکل کاملاً مخفی مدیریت میکند.
کیتCTRL چیست و چه قابلیتهایی دارد؟
کیتCTRL یک RAT مبتنی بر .NET است که برای اجرای حملات هدفمند و مخفیانه طراحی شده است. این کیت شامل چندین ماژول اجرایی است که قابلیتهای زیر را فراهم میکنند:
- بارگذاری پیلود رمزگذاریشده بهصورت چندمرحلهای
- فیشینگ اعتبارنامه از طریق رابط جعلی Windows Hello PIN
- ثبت کلیدهای فشردهشده (Keylogging) و ذخیره اطلاعات در فایلهای لوکال
- ربایش نشستهای RDP و کنترل از راه دور سیستم قربانی
- ایجاد تونل معکوس با FRP (Fast Reverse Proxy) برای دسترسی امن و مخفی به سیستم
این مجموعه قابلیتها نشان میدهد که کیت CTRL تنها یک بدافزار ساده نیست، بلکه یک ابزار عملیاتی کامل و پیشرفته برای کنترل و سرقت اطلاعات از سیستم قربانی است.
نحوه توزیع کیت CTRL از طریق فایل LNK مخرب
در این کمپین، کیت CTRL از طریق یک فایل میانبر ویندوز (LNK) مخرب توزیع میشود که با آیکون پوشه نمایش داده شده تا کاربر را فریب دهد.
نام فایل مخرب:
- Private Key #kfxm7p9q_yek.lnk
این تکنیک مهندسی اجتماعی باعث میشود کاربر تصور کند با یک پوشه حاوی کلید خصوصی مواجه است. با اجرای این فایل، کیت CTRL وارد یک زنجیره آلودگی چندمرحلهای میشود که به تدریج پیلودها را بارگذاری کرده و عملیات مخرب خود را آغاز میکند.
زنجیره حمله چندمرحلهای در کیت CTRL
مرحله 1: اجرای Dropper و PowerShell مخفی
پس از اجرای فایل LNK، کیت CTRL یک Dropper را اجرا میکند که:
- یک دستور PowerShell مخفی اجرا میکند.
- مکانیزمهای پایداری (persistence) موجود در Startup را حذف میکند.
- یک Blob رمزگذاریشده Base64 را رمزگشایی میکند.
- پیلود را مستقیماً در حافظه اجرا میکند (Fileless Execution).
مرحله 2: Stager و دریافت پیلود از سرور
در این مرحله، کیت CTRL اتصال TCP به آدرس زیر را بررسی میکند:
- hui228[.]ru:7000
در صورت برقرار بودن ارتباط، پیلودهای مرحله بعد دانلود میشوند.
مرحله 3: تثبیت دسترسی و آمادهسازی سیستم قربانی
در این فاز، کیت CTRL اقدامات زیر را انجام میدهد:
- تغییر قوانین Windows Firewall
- ایجاد پایداری از طریق تسکهای زمانبندی شده (Scheduled Tasks)
- ایجاد کاربران لوکال بکدور
- راهاندازی یک سرور exe روی پورت 5267
این سرور از طریق تونل FRP در اختیار مهاجم قرار میگیرد.
معماری ctrl.exe در کیت CTRL
یکی از پیلودهای کلیدی در کیت CTRL، فایل ctrl.exe است.
عملکرد:
- بهعنوان یک .NET loader عمل میکند.
- پیلود داخلی با نام CTRL Management Platform را اجرا میکند.
- قابلیت اجرا در دو حالت عملیاتی Server Mode و Client Mode را دارد.
ارتباط داخلی با Named Pipe در کیت CTRL
در کیت CTRL، ارتباط بین ماژولها از طریق Windows Named Pipe انجام میشود.
مزایای این طراحی عبارتاند از:
- تمام دستورات C2 داخل سیستم قربانی باقی میمانند و در شبکه منتقل نمیشوند.
- تنها ترافیک قابل مشاهده در شبکه، نشست RDP است.
- این معماری باعث حداقل ردپای شبکهای و افزایش پنهانکاری کیت CTRL میشود.
قابلیت Keylogging در کیت CTRL
کیت CTRL میتواند یک Keylogger را بهعنوان سرویس پسزمینه اجرا کند:
- نصب Keyboard Hook
- ثبت تمام کلیدهای فشردهشده
- ذخیره در مسیر C:\Temp\keylog.txt
- استخراج دادهها از طریق نشست RDP
سرقت PIN ویندوز با فیشینگ Windows Hello
ماژول credential harvesting در کیتCTRL بهصورت یک اپلیکیشن Windows Presentation Foundation (WPF) پیادهسازی شده که دقیقاً ظاهر Windows Hello را شبیهسازی میکند.
ویژگیهای مهم:
- تقلید کامل صفحه ورود PIN
- جلوگیری از خروج کاربر (Alt+Tab / Alt+F4 / F4)
- اعتبارسنجی PIN واقعی با UI Automation و متد SendKeys()
عملکرد مهم:
- پیام خطا نمایش داده میشود.
- کاربر دوباره مجبور به وارد کردن PIN میشود.
حتی در صورت صحیح بودن PIN نیز پنجره بسته نمیشود تا اطلاعات کاربر ثبت شود.
PIN سرقتشده با برچسب زیر ذخیره میشود:
- [STEALUSER PIN CAPTURED]
ارسال اعلانهای جعلی برای فیشینگ
کیتCTRL میتواند Toast Notification (اعلان فوری ویندوز) جعلی ارسال کند و خود را بهعنوان مرورگرهای معتبر جا بزند:
- Chrome
- Edge
- Opera
- Brave
- Vivaldi
- Yandex
این قابلیت برای سرقت اعتبارنامه یا تحویل پیلودهای جدید استفاده میشود.
پیلودهای تکمیلی در کیت CTRL
در کنار ctrl.exe دو پیلود دیگر نیز در این حمله مشاهده شدهاند:
FRPWrapper.exe
- DLL نوشتهشده با Go
- بارگذاری در حافظه
- ایجاد تونل FRP برای RDP و TCP Shell
RDPWrapper.exe
- حذف محدودیت نشستهای همزمان RDP
- امکان اتصال چندین کاربر
تمرکز کیت CTRL بر امنیت عملیاتی مهاجم
یکی از نکات مهم در طراحی کیتCTRL تمرکز بر امنیت عملیاتی (OPSEC) است. بررسیها نشان میدهد:
- هیچیک از باینریها دارای آدرس C2 هاردکد شده نیستند.
- تمام استخراج دادهها از طریق تونل FRP و نشست RDP انجام میشود.
- مهاجم مستقیماً وارد دسکتاپ قربانی شده و دادهها را میخواند.
این معماری باعث میشود آثار فارنزیک شبکهای بسیار کمتری نسبت به بدافزارهای معمولی باقی بماند.
کیت CTRL و روند جدید تهدیدات سایبری
کیتCTRL نشاندهنده یک تغییر مهم در توسعه بدافزارها است:
- حرکت به سمت ابزارهای تکاپراتوری
- تمرکز بر OPSEC بهجای قابلیت زیاد
- استفاده از تونلهای FRP
- حذف الگوهای قابل شناسایی شبکه
این روند، شناسایی تهدیدات را برای تیمهای امنیتی بسیار پیچیدهتر میکند.
جمعبندی
کیت CTRL یک ابزار پیشرفته برای هک RDP است که با استفاده از فایلهای LNK مخرب و تونل FRP، حملات بسیار هدفمند و مخفی اجرا میکند. معماری مبتنی بر Named Pipe و حذف کامل الگوهای C2، این ابزار را به یکی از پیچیدهترین تهدیدات حال حاضر تبدیل کرده است.
