ChaosBot : بدافزار جدید مبتنی بر Rust که از Discord برای کنترل سیستم‌ها استفاده می‌کند

تکنولوژی

ChaosBot : بدافزار جدید مبتنی بر Rust که از Discord برای کنترل سیستم‌ها استفاده می‌کند

: عباس رضایی; تکنولوژی; 22 مهر 1404; امتیاز:

( 0 امتیاز )

اخیرا بدافزار جدیدی با نام ChaosBot توجه محققان امنیتی را به خود جلب کرده است. این بدافزار که با زبان Rust توسعه یافته، از Discord پلتفرمی که در اصل برای ارتباط و همکاری آنلاین ساخته شده به‌عنوان کانال فرماندهی و کنترل (C2) استفاده می‌کند.

ChaosBot چیست؟

ChaosBot یکی از جدیدترین نمونه‌های بدافزارهای نسل جدید است که با ترکیب روش‌های کلاسیک مانند فیشینگ با فایل‌های LNK و تکنیک‌های مدرن مانند DLL Sideloading، موفق می‌شود سیستم قربانی را به‌طور کامل تحت کنترل درآورد.

عملکرد ChaosBot چگونه است؟

پس از نفوذ اولیه از طریق پیوست‌های مخرب یا بارگذاری DLL، ChaosBot می‌تواند مجموعه‌ای از عملیات را اجرا کند:

✔️ اجرای دستورات از راه دور از طریق PowerShell

✔️ جمع‌آوری اطلاعات سیستم و کاربر

✔️ گرفتن اسکرین‌شات از دسکتاپ

✔️ آپلود و دانلود فایل‌ها

✔️ ایجاد reverse proxy برای ارتباط دائمی با سرور C2

✔️ شناسایی محیط‌های مجازی و خودداری از اجرا در صورت شناسایی Sandbox

این ویژگی‌ها باعث می‌شود ChaosBot از دید بسیاری از راهکارهای امنیتی عبور کند و در شبکه باقی بماند بدون اینکه به‌راحتی شناسایی شود.

روش‌های توزیع و نفوذ

ChaosBot معمولاً از یکی از مسیرهای زیر برای ورود استفاده می‌کند:

فایل‌های LNK مخرب: لینک‌هایی که کاربر را فریب داده و بدافزار را در پس‌زمینه اجرا می‌کنند.
DLL sideloading : بارگذاری DLLهای جعلی از مسیرهای معتبر مانند مرورگرها (مثلاً msedge_elf.dll).
پیام‌های فیشینگ در Discord : ارسال لینک‌ها یا فایل‌های اجرایی آلوده در کانال‌ها یا دایرکت‌مسج‌ها.

نکته مهم این است که ChaosBot از پروتکل Discord API برای برقراری ارتباط فرمانی استفاده می‌کند و این باعث می‌شود ترافیک آن به‌صورت قانونی و بی‌ضرر به نظر برسد.

تحلیل فنی و تاکتیک‌های پنهان‌سازی

ChaosBot از چند تکنیک پیشرفته برای فرار از شناسایی استفاده می‌کند:

✔️ بررسی MAC Address برای تشخیص محیط مجازی

✔️ غیر‌فعال‌سازی Event Tracing for Windows (ETW) برای جلوگیری از تحلیل رفتاری

✔️ رمزگذاری ترافیک خروجی به Discord با توکن‌های جعلی

✔️ تغییر مسیر ارتباط از طریق reverse proxy داخلی

این موارد باعث شده ChaosBot در دسته‌ی بدافزارهای stealth-oriented یا پنهان‌کار قرار گیرد.

🔒 چک‌لیست فوری برای تیم‌های امنیتی

برای کاهش خطر نفوذ ChaosBot، اقدامات زیر را در ۴۸ ساعت آینده اجرا کنید:

اسکن کامل فایل‌های LNK و DLL : با استفاده از EDR یا AV دارای تحلیل رفتاری.
جستجوی فرآیندهای مشکوک در سیستم: به‌ویژه identity_helper.exe یا اجرای PowerShell ناشناس.
بررسی لاگ‌ها و ارتباطات شبکه: ارتباطات غیرمجاز به Discord یا دامنه‌های ناشناخته را شناسایی کنید.
فعال‌سازی MFA برای حساب‌های حیاتی: مخصوصاً ادمین‌ها، VPN و دسترسی‌های راه‌دور.
آزمایش بک‌آپ‌های آفلاین: از قابلیت بازیابی و عدم اتصال آنها به شبکه اطمینان حاصل کنید.

⚙️ راهنمای تنظیم EDR برای شناسایی ChaosBot

برای شناسایی دقیق‌تر ChaosBot در محیط‌های سازمانی، لازم است چندین لایه از تحلیل رفتاری و نظارتی در سامانه‌های EDR و SIEM فعال شوند. این بدافزار با استفاده از تکنیک‌هایی مانند PowerShell abuse و DLL sideloading در مسیرهای معتبر سیستم، تلاش می‌کند از دید راهکارهای امنیتی پنهان بماند. برای افزایش سطح کشف، توصیه می‌شود تنظیمات زیر را اعمال کنید:

🔹 در سطح EDR (Endpoint Detection & Response) :

✔️ فعال‌سازی Behavioral Detection برای شناسایی اجرای PowerShell از مسیرهای غیرمعمول یا موقت (Temporary paths) .

✔️ مانیتور DLL Load Events از مسیرهای مرورگرها، به‌ویژه:
AppData\Local\Microsoft\Edge یا AppData\Local\Google\Chrome

✔️ بررسی و هشداردهی بر هرگونه تغییر در Registry Keys مرتبط با AutoStart Entries (مانند Run و RunOnce)

🔹 در سطح SIEM (به‌ویژه Splunk):

می‌توانید از کوئری زیر برای شناسایی فعالیت‌های مشکوک مرتبط با ChaosBot استفاده کنید:



index=security sourcetype=Sysmon 

(

  (Image="*powershell.exe" AND CommandLine="*Discord*") 

  OR 

  (ImageLoaded="*msedge_elf.dll")

)

این کوئری به شناسایی اجرای PowerShell با پارامترهای غیرعادی (مانند ارجاع به Discord برای C2 Communication) و بارگذاری DLL مشکوک از مسیر مرورگر کمک می‌کند.

🔹 نکته تکمیلی:

برای جلوگیری از ETW Tampering (دستکاری Event Tracing for Windows)، اطمینان حاصل کنید که ETW Providers مرتبط با PowerShell، Image Load و Registry Events در حالت محافظت‌شده فعال باشند؛ چراکه ChaosBot ممکن است با غیرفعال‌سازی این قابلیت، ردپای خود را از لاگ‌ها پاک کند.

🧩 Indicators of Compromise (IOCs) – ChaosBot

Category	Indicator / Example	Description
File Path	`C:\Users\<user>\AppData\Local\Microsoft\Edge\msedge_elf.dll`	DLL جعلی که در مسیر مرورگر برای اجرای sideloading قرار می‌گیرد.
File Path	`C:\Users\<user>\AppData\Roaming\Discord\Update\discord_updater.exe`	فایل مخرب که با ظاهر یک آپدیت Discord اجرا می‌شود.
Registry Key	`HKCU\Software\Microsoft\Windows\CurrentVersion\Run\DiscordHelper`	کلید رجیستری برای اجرای خودکار ChaosBot پس از ری‌استارت.
Process Name	`powershell.exe -nop -w hidden -enc <Base64>`	اجرای PowerShell رمزگذاری‌شده برای دانلود و اجرای payload.
Network Indicator	`api.discordapp[.]com`	استفاده از سرورهای Discord برای فرماندهی (C2).
DLL Loaded	`msedge_elf.dll`	DLL جعلی بارگذاری‌شده از مسیر مرورگر به‌منظور پنهان‌سازی.
ETW Tampering	`PowerShell/Operational logs disabled`	غیرفعال‌سازی Event Tracing برای پنهان‌کردن فعالیت‌ها.
Persistence	`schtasks /create /tn "UpdateService" /tr "<path>" /sc onlogon`	ایجاد تسک زمان‌بندی‌شده برای حفظ ماندگاری در سیستم.

💡 نکته فنی:
ChaosBot از پلتفرم‌های مشروع مانند Discord API برای ارتباط C2 استفاده می‌کند. بنابراین، شناسایی آن صرفاً با تکیه بر دامنه یا IP ممکن نیست و نیاز به تحلیل رفتار (Behavioral Analysis) دارد.

جمع‌بندی

ChaosBot نشان می‌دهد که تهدیدگران سایبری در حال حرکت به‌سمت زبان‌های مدرن‌تر مانند Rust هستند تا بدافزارهایی سریع‌تر، سبک‌تر و سخت‌تر قابل‌ردیابی بسازند. استفاده از پلتفرم‌هایی مثل Discord به‌عنوان مرکز فرماندهی (C2) به آنها این امکان را می‌دهد که فعالیت خود را در ترافیک عادی شبکه پنهان کنند.

سازمان‌ها باید با تقویت EDR، آموزش کاربران، مانیتورینگ شبکه و استفاده از Threat Intelligence به‌روز در مقابل این نسل از بدافزارها آماده باشند.