شرح کلی
نوع: کرم (worm)
اسامی بدافزار:
Worm.Win32.Eqtonex.a
درجه تخریب: زیاد
میزان شیوع: متوسط
آسیبپذیری مورد استفاده: EternalBlue) CVE-2017-0146 / MS17-010)
کرم (worm) چیست؟
کرمهای کامپیوتری همچون Eqtonex نوعی از بدافزار محسوب میشوند که توان تکثیر کردن خود را بهصورت خودکار دارند. کرمها برای بقا، روشهایی را تنظیم میکنند تا در هر بار راهاندازی سیستم، آلودگی تداوم داشته باشد. ویژگی بارز کرمها در نحوه انتشار آنهاست که عموماً از طریق درایوهای قابلحمل و دایرکتوریهای share شده در شبکه هست.
بدافزار Eqtonex چیست؟
بدافزار Eqtonex از نمونه بدافزارهایی است که برای انتشار خود از آسیبپذیریهای مبتنی بر EternalBlue و DoublePulsar استفاده میکنند. هدف نهایی این بدافزار استخراج ارز دیجیتال است. در حال حاضر بدافزارهایی که از چنین شیوه آلودگی استفاده میکنند رو به افزایش هستند. این بدافزار از نوع ماینر بوده و هدف آن استفاده از پردازنده سیستم قربانی برای استخراج ارز دیجیتالی بیت کوین است.
توضیحات فنی
علائم آلودگی
- وجود یک پردازه با نام تصادفی در سیستم که مقدار زیادی از cpu را به خود اختصاص داده است و باعث کندی سیستم شده است.
- وجود فایلی به نام boy.exe در مسیر %WindowsDirectory%
- در مسیر ویندوز، یک پوشه با نام تصادفی که طول آن 5 حرف است، وجود دارد که داخل آن تعدادی dll و یک فایل به نام svchost.exe وجود داشته که بدافزار از آن برای آلوده کردن دیگر سیستمهای موجود در شبکه استفاده میکند (این همان فایل EternalBlue است).
- اگر کاربر در خط فرمان دستور Netsh ipsec static show all را اجرا کند، یک فیلتر با نام ipsec_ply در بین سیاستهای ارتباطی خود خواهد دید.
شرح عملکرد
بدافزار بلافاصله پس از اجرا یک نسخه کپی از خودش را در مسیر ویندوز قرار داده و پس از آن یک پوشه با نام تصادفی در مسیر ویندوز ایجاد کرده، یک کپی دیگر از خود را در آن قرار داده و آنرا اجرا میکند و سپس یک فایل با نام end.bat را نیز در مسیر ویندوز قرار داده و خود را حذف کرده و ادامهی فعالیتها را به آن نسخه از خود که در پوشه تصادفی در مسیر ویندوز قرار داده بود، واگذار میکند.
به طور خلاصه، فعالیت این batch فایل این است که یک فیلتر با نام ipsec_ply ایجاد کرده و پورتهای 445 و 139 سیستم آلوده را که برای انتقال فایل مورد استفاده قرار میگیرند می بندد و فقط کسانی که خودش بخواهد توانایی برقراری ارتباط با این سیستم را دارند. با بررسی های صورت گرفته بر روی فایل ، این فیلترها در سیستم عامل XP اعمال نمیشوند.
پس از اینکه فیلترهای مورد نظر بر روی سیستم قربانی اعمال گردید، فایل end.bat را از سیستم حذف کرده و اقدام به قرار دادن dll های مورد نیاز اکسپلویت Eternalblue و بکدور Doublepulsar در فایل تصادفی که در مسیر ویندوز ایجاد کرده بود، میکند. همچنین با قرار دادن خود در مسیرهای رجیستری زیر:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\run
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\shell
بقای خود را در سیستم قربانی تضمین کرده تا با هربار اجرای سیستم، فایل بدافزار نیز اجرا شود.
در نهایت یک فایل دیگر نیز با نام تصادفی در همان پوشه تصادفی ذکر شده در بالا قرار میدهد که با استفاده از توان پردازشی سیستم قربانی، اقدام به استخراج ارز دیجیتال کرده و باعث کندی سیستم قربانی میشود.
روال کار فایل s.bat:
روال کار به این صورت است که این فایل با استفاده از فایل EternalBlue (Svchost.exe) اقدام به پیدا کردن IP های فعال در شبکه و بررسی اینکه آیا آسیب پذیر هستند یا خیر میکند و نتیجهی بدست آمده را در یک فایل به نام result.txt که آن نیز در همین پوشه است قرار میدهد.
روش مقابله و پاکسازی سیستم
آنتی ویروس پادویش این بدافزار را شناسایی کرده و از سیستم حذف میکند. جهت پیشگیری از آلودگی های احتمالی توسط بدافزارهایی که از آسیبپذیری EternalBlue استفاده میکنند، پیشنهاد میشود از وصله امنیتی ارائه شده توسط مایکروسافت ms17-010 استفاده کنید. بخش جلوگیری از نفوذ (IPS) آنتی ویروس پادویش این گونه آسیبپذیریها را شناسایی کرده و از ورود آن به سیستم قربانی جلوگیری می کند .