Exploit.Win32.Zero2.a

شرح کلی

نوع: اسکریپت
اسامی بدافزار:
Exploit.Win32.Zero2.a
درجه تخریب: زیاد
میزان شیوع: متوسط
آسیب‌پذیری مورد استفاده:  EternalBlue، حمله brute force و تکینیک pass-the-hash

ماینر (Miner) چیست؟

ماینر به افراد و نرم افزارهایی که فرآیند ماینینگ را انجام می‌دهند یا به نوعی ارز دیجیتال را استخراج می‌کنند، گفته می‌شود. بیت کوین (Bitcoin) نوعی واحد ارز دیجیتال است. استخراج بیت کوین نوعی فرایند تایید اطلاعات است که در دو مرحله هش پیچیده SHA256 صورت می‌پذیرد. شبکه بیت کوین به استخراج کنندگان در ازای تلاشی که برای حل معادلات محاسباتی پیچیده می‌کنند، بیت کوین پاداش می‌دهد. بدافزار نویسان برای اینکه هزینه ای برای حل معادلات محاسباتی پیجیده نداشته باشند بدافزاری به این منظور می‌نویسند و سیستم‌های قربانیان را به آن آلوده می‌کنند تا هم از این راه کسب درآمد کنند هم هزینه ای برای این محاسبات پیچیده پرداخت نکنند. حل این محاسبات cpu سیستم قربانی را درگیر می‌کند و این باعث کندی سیستم قربانی می‌شود.

بدافزار Zero2 چیست؟

بدافزار Zero2 از جمله بدافزارهای جدید در زمینه استخراج ارز دیجیتال می‌باشد که در حال حاضر در میان شبکه های کامپیوتری در حال گسترش است. این بدافزار جدید، از ابزار PowerShell که یک ابزار سیستمی استاندارد می‌باشد، برای اجرای کد مخرب خود و انتشار در شبکه داخلی استفاده می‌کند. هدف بدافزار استخراج بیتکوین و ارز دیجیتال از سیستم قربانی می‌باشد.

توضیحات فنی

این بدافزار برای اعمال آلودگی طی چندین مرحله  به سرور آلوده متصل شده و با اجرای کد مخرب در حافظه سیستم قربانی باعث تخریب می‌شود. از پیچیدگی های این بدافزار می‌توان به لایه‌های بی شمار  مبهم سازی کدها و به نوعی بدون فایل (Fileless) بودن بدافزار اشاره کرد. زیرا بدفزار برای گذاشتن بقا در سیستم قربانی از فایل های xml در قالب Job استفاده می‌کند که وظیفه آنها تنها اتصال به سرور آلوده و دانلود کدهای مخرب می‌باشد. این بدافزار از طریق اکسپلویت EternalBlue، حمله brute force و تکینیک pass-the-hash انتشار میابد.

علائم آلودگی به بدافزار Zero2 :

  1. وجود فایل job با نام Rtsa در مسیر Root%:\Windows\System32\Tasks% که محتوی لینک t[.]zer2[.]com باشند.
  2. وجود فایل job با نام تصادفی حاوی کد base64

 

بدافزار در قالب چند لایه اجرا می شود ابتدا کد دستور job بدافزار یک کد base64 می‌باشد.

لایه اول اسکریپت از فایل Job اصلی بدافزار شروع می‌شود که سعی در دسترسی بهURL اصلی بدافزار دارد و با دستوری در PowerShell اسکریپت‌های بعدی را دانلود و اجرا می‌کند.

بدافزار با ارتباط با سرور فرمان و کنترل (C&C) خود، اقدام به دانلود این اسکریپت‌ها می‌کند.

وظیفه لایه بعد ساختن job دوم بدافزار با نام Rtsa می‌باشد. این job  نیز به لینک t[.]zer2[.]com متصل شده و اقدام به دانلود اسکریپت‌های بعدی می‌کند. انتشار بدافزار و سواستفاده از آسیب پذیری‌ها در این لایه اتفاق می‌افتد.

بدافزار در لایه آخر خود ماژول mining را بر اساس اطلاعاتی که از سیستم بدست آورده دانلود می‌کند. این ماژول به پردازه powertshell تزریق شده و از طریق آن به اجرا در می‌آید.

لیست URLهای استفاده شده توسط بدافزار:

 

t[.]zer2[.]com/{uri} – سیستم جهت دانلود اسکریپت‌ها و گزارش اطلاعات

down[.]ackng[.]com – دانلود اسکریپت‌های مبتنی بر اکسپلویت

lpp[.]zer2[.]com:443 – استخراج بیتکوین

lpp[.]ackng[.]com:443 – استخراج بیتکوین

روش مقابله و پاک‌سازی سیستم

بخش جلوگیری از نفوذ آنتی‌ویروس پادویش از وقوع حملات شبکه‌ای توسط این بدافزار جلوگیری می‌کند. همچنین فایل‌های job بدافزار را شناسایی می‌کند. ازاین‌رو جهت پیشگیری از آلودگی به این بدافزار پیشنهاد می‌شود با نصب پادویش از ورود بدافزار به سیستم خود جلوگیری کنید.