Miner.Win32.Slytherin

شرح کلی

نوع: ماینر (Miner)
اسامی بدافزار:
Miner.Win32.slytherin.n
درجه تخریب: متوسط
میزان شیوع: متوسط
آسیب‌پذیری مورد استفاده: CVE-2019-0803 ،CVE-2017-0213

ماینر (Miner) چیست؟

ماینر به افراد و نرم افزارهایی که فرآیند ماینینگ را انجام می‌دهند یا به نوعی ارز دیجیتال را استخراج می‌کنند، گفته می‌شود. بیت کوین (Bitcoin) نوعی واحد ارز دیجیتال است. استخراج بیت کوین نوعی فرایند تأیید اطلاعات است که در دو مرحله هش پیچیده SHA256 صورت می‌پذیرد. شبکه‌ی بیت کوین به استخراج‌کنندگان در ازای تلاشی که برای حل معادلات محاسباتی پیچیده می‌کنند، بیت کوین پاداش می‌دهد. بدافزارنویسان برای اینکه هزینه‌ای برای حل معادلات محاسباتی پیجیده نداشته‌باشند، بدافزاری به این منظور می‌نویسند و سیستم‌های قربانیان را به آن آلوده می‌کنند تا هم از این راه کسب درآمد کنند و هم هزینه‌ای برای این محاسبات پیچیده پرداخت نکنند. حل این محاسبات، cpu سیستم قربانی را درگیر می‌کند و باعث کندی سیستم قربانی می‌شود.

بدافزار Slytherin چیست؟

این بدافزار که با هدف استخراج ارز دیجیتال وارد سیستم می‌شود، با استفاده از آسیب‌پذیری‌های مختلف و همچنین دانلود فایل‌های مخرب، سیستم و شبکه قربانی را آلوده می‌کند.

توضیحات فنی

بدافزار Slytherin از جمله بدافزارهای Miner و از دسته Trojanها می‌باشد.

علائم آلودگی به بدافزار Slytherin:

  • بالا بودن پردازه‌ی WUDFhosts.exe یا 360se.exe که جهت انجام عملیات Mining استفاده می‌شود.

  • اگر کاربر در خط فرمان دستور Netsh ipsec static show all را اجرا کند، فیلترهایی با نام‌های Filter1 و FilteraAtion1 در بین سیاست‌های ارتباطی خود خواهد دید. نام Policyهای ایجاد شده در نمونه‌های مختلف بدافزار می‌تواند متفاوت باشد.

  • بالا بودن پردازه‌ی ms19_.exe جهت حمله با استفاده از آسیب‌پذیری CVE-2019-0803

  • بالا بودن پردازه‌ی Scan.exe، این پردازه به عنوان TCP Scanner استفاده می‌شود.

  • وجود فایل‌های job با نام‌هایی که با رشته‌ی NET Framework NGEN v4.2 شروع می‌شوند و در مسیر %Windir%\System32\Tasks قرار می‌گیرند.

شرح عملکرد:

  • این فایل با اتصال به لینک http://sql.4i7i.com فایل مخرب TQ.exe را دانلود می‌کند که از آسیب‌پذیری CVE-2017-0213 استفاده می‌کند. این آسیب‌پذیری با داشتن دسترسی سطح سیستم می‌تواند عملیات مخرب موردنظر بدافزار را اعمال کند:

TQ.exe فایل ms19_.exe را ایجاد و اجرا می‌کند که این فایل از آسیب‌پذیری CVE-2019-0803 استفاده می‌کند. این آسیب‌پذیری به برنامه‌های خارج از سیستم دسترسی می‌دهد تا از طریق  command، دیتا را ببینند، تغییر دهند یا پاک کنند.

  • ایجاد سرویس KuGouMusic در سیستم

  • ایجاد فایل ju.exe در سیستم

این فایل با اتصال به لینک hxxp://4i7i.com فایل مخربی با نام جعلی svchost.exe را دانلود می‌کند که عملکرد آن به صورت زیر است:

فایلی با نام Erzxuk.dll ایجاد می‌کند (نام فایل در نمونه‌های مختلف بدافزار می‌تواند تصادفی انتخاب شود) و رجیستری زیر را جهت بازگرداندن مقادیر این مسیر رجیستری به مقادیر رایج در صورت آلوده شدن توسط دیگر بدافزارها، ست می‌کند :

HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Svchost\netsvcs: AeLookupSvc, CertPropSvc, SCPolicySvc, lanmanserver, gpsvc, AudioSrv, FastUserSwitchingCompatibility, Ias, Irmon, Nla, Ntmssvc, NWCWorkstation, Nwsapagent, Rasauto, Rasman, Remoteaccess, SENS, Sharedaccess, SRService, Tapisrv, Wmi, WmdmPmSp, TermService, wuauserv, BITS, ShellHWDetection, LogonHours, PCAudit, helpsvc, uploadmgr, iphlpsvc, msiscsi, schedule, SessionEnv, winmgmt, AppMgmt, DevicePickerUserSvc_0x0

  • فایل‌ Erzxuk.dll وجود آنتی ویروس‌ها را در سیستم بررسی و سرویس آنها را در صورت وجود پاک می‌کند و با ست کردن مقدار ۱ در رجیستری زیر، دسترسی ریموت دسکتاب را برای کاربران شبکه باز می‌کند:

HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\UserAuthentication

روش مقابله و پاکسازی سیستم

آنتی ویروس پادویش این بدافزار را شناسایی و از سیستم حذف می‌کند. بخش جلوگیری از نفوذ (IPS) آنتی ویروس پادویش نیز آلودگی‌های احتمالی ناشی از آسیب‌پذیری‌های ویندوز را شناسایی و از ورود آنها به سیستم قربانی جلوگیری می‌کند .