شرح کلی
نوع: ماینر (Miner)
اسامی بدافزار:
Miner.Win32.slytherin.n
درجه تخریب: متوسط
میزان شیوع: متوسط
آسیبپذیری مورد استفاده: CVE-2019-0803 ،CVE-2017-0213
ماینر (Miner) چیست؟
به افراد و نرم افزارهایی که فرآیند ماینینگ را انجام میدهند یا به نوعی ارز دیجیتال را استخراج میکنند، ماینر گفته میشود. بیت کوین (Bitcoin) نوعی واحد ارز دیجیتال است. استخراج بیت کوین نوعی فرایند تأیید اطلاعات است که در دو مرحله هش پیچیده SHA256 صورت میپذیرد. شبکهی بیت کوین به استخراجکنندگان در ازای تلاشی که برای حل معادلات محاسباتی پیچیده میکنند، بیت کوین پاداش میدهد. بدافزارنویسان برای اینکه هزینهای برای حل معادلات محاسباتی پیجیده نداشته باشند، بدافزاری به این منظور مینویسند و سیستمهای قربانیان را به آن آلوده میکنند تا هم از این راه کسب درآمد کنند و هم هزینهای برای این محاسبات پیچیده پرداخت نکنند. حل این محاسبات، CPU سیستم قربانی را درگیر میکند و باعث کندی سیستم میشود.
بدافزار Slytherin چیست؟
این بدافزار که با هدف استخراج ارز دیجیتال وارد سیستم میشود، با استفاده از آسیبپذیریهای مختلف و همچنین دانلود فایلهای مخرب، سیستم و شبکه قربانی را آلوده میکند.
توضیحات فنی
بدافزار Slytherin از جمله بدافزارهای Miner و از دسته Trojanها میباشد.
علائم آلودگی
بالا بودن پردازهی WUDFhosts.exe یا 360se.exe که جهت انجام عملیات Mining استفاده میشود.
-
اگر کاربر در خط فرمان دستور Netsh ipsec static show all را اجرا کند، فیلترهایی با نامهای Filter1 و FilteraAtion1 در بین سیاستهای ارتباطی خود خواهد دید. نام Policyهای ایجاد شده در نمونههای مختلف بدافزار میتواند متفاوت باشد.
-
بالا بودن پردازهی ms19_.exe جهت حمله با استفاده از آسیبپذیری CVE-2019-0803
-
بالا بودن پردازهی Scan.exe، این پردازه به عنوان TCP Scanner استفاده میشود.
-
وجود فایلهای job با نامهایی که با رشتهی NET Framework NGEN v4.2 شروع میشوند و در مسیر %Windir%\System32\Tasks قرار میگیرند.
شرح عملکرد
-
این فایل با اتصال به لینک http://sql.4i7i.com فایل مخرب TQ.exe را دانلود میکند که از آسیبپذیری CVE-2017-0213 استفاده میکند. این آسیبپذیری با داشتن دسترسی سطح سیستم میتواند عملیات مخرب موردنظر بدافزار را اعمال کند:
TQ.exe فایل ms19_.exe را ایجاد و اجرا میکند که این فایل از آسیبپذیری CVE-2019-0803 استفاده میکند. این آسیبپذیری به برنامههای خارج از سیستم دسترسی میدهد تا از طریق command، دیتا را ببینند، تغییر دهند یا پاک کنند.
-
ایجاد سرویس KuGouMusic در سیستم
-
ایجاد فایل ju.exe در سیستم
این فایل با اتصال به لینک hxxp://4i7i.com فایل مخربی با نام جعلی svchost.exe را دانلود میکند که عملکرد آن به صورت زیر است:
فایلی با نام Erzxuk.dll ایجاد میکند (نام فایل در نمونههای مختلف بدافزار میتواند تصادفی انتخاب شود) و رجیستری زیر را جهت بازگرداندن مقادیر این مسیر رجیستری به مقادیر رایج در صورت آلوده شدن توسط دیگر بدافزارها، ست میکند :
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Svchost\netsvcs: AeLookupSvc, CertPropSvc, SCPolicySvc, lanmanserver, gpsvc, AudioSrv, FastUserSwitchingCompatibility, Ias, Irmon, Nla, Ntmssvc, NWCWorkstation, Nwsapagent, Rasauto, Rasman, Remoteaccess, SENS, Sharedaccess, SRService, Tapisrv, Wmi, WmdmPmSp, TermService, wuauserv, BITS, ShellHWDetection, LogonHours, PCAudit, helpsvc, uploadmgr, iphlpsvc, msiscsi, schedule, SessionEnv, winmgmt, AppMgmt, DevicePickerUserSvc_0x0
-
فایل Erzxuk.dll وجود آنتی ویروسها را در سیستم بررسی و سرویس آنها را در صورت وجود پاک میکند و با ست کردن مقدار ۱ در رجیستری زیر، دسترسی ریموت دسکتاب را برای کاربران شبکه باز میکند:
HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\UserAuthentication
روش مقابله و پاکسازی سیستم
آنتی ویروس پادویش این بدافزار را شناسایی و از سیستم حذف میکند. بخش جلوگیری از نفوذ (IPS) آنتی ویروس پادویش نیز آلودگیهای احتمالی ناشی از آسیبپذیریهای ویندوز را شناسایی و از ورود آنها به سیستم قربانی جلوگیری میکند .