Worm.Win32.Zero2.a

شرح کلی

نوع: اسکریپت

اسامی بدافزار:
Worm.Win32.Zero2
Expliot.Win32.Trickster
Trojan.Win32.RemoteExec

درجه تخریب: زیاد
میزان شیوع: زیاد
آسیب‌پذیری مورد استفاده: EternalBlue) CVE-2017-0146 / MS17-010)، حمله brute force، تکینیک pass-the-hash، CVE-2010-2568، CVE -2017-8464 و آسیب پذیریهای مبتنی بر Remote File Execution

ماینر (Miner) چیست؟

ماینر به افراد و نرم افزارهایی که فرآیند ماینینگ را انجام می‌دهند یا به نوعی ارز دیجیتال را استخراج می‌کنند، گفته می‌شود. بیت کوین (Bitcoin) نوعی واحد ارز دیجیتال است. استخراج بیت کوین نوعی فرایند تایید اطلاعات است که در دو مرحله هش پیچیده SHA256 صورت می‌پذیرد. شبکه بیت کوین به استخراج کنندگان در ازای تلاشی که برای حل معادلات محاسباتی پیچیده می‌کنند، بیت کوین پاداش می‌دهد. بدافزار نویسان برای اینکه هزینه ای برای حل معادلات محاسباتی پیجیده نداشته باشند بدافزاری به این منظور می‌نویسند و سیستم‌های قربانیان را به آن آلوده می‌کنند تا هم از این راه کسب درآمد کنند هم هزینه ای برای این محاسبات پیچیده پرداخت نکنند. حل این محاسبات cpu سیستم قربانی را درگیر می‌کند و این باعث کندی سیستم قربانی می‌شود.

بدافزار Zero2 چیست؟

بدافزار Zero2 از جمله بدافزارهای جدید در زمینه استخراج ارز دیجیتال می‌باشد که در حال حاضر در میان شبکه‌های کامپیوتری در حال گسترش است. این بدافزار جدید، از ابزار PowerShell، که یک ابزار سیستمی استاندارد می‌باشد، و یک سری از آسیب‌پذیری‌های رایج، برای اجرای کد مخرب خود و انتشار در شبکه داخلی استفاده می‌کند. هدف بدافزار استخراج بیتکوین و ارز دیجیتال از سیستم قربانی می‌باشد.

توضیحات فنی

این بدافزار برای اعمال آلودگی طی چندین مرحله به سرور آلوده متصل شده و با اجرای کد مخرب در حافظه سیستم قربانی باعث تخریب می‌شود. از پیچیدگی های این بدافزار می‌توان به لایه‌های بی شمار مبهم سازی کدها و به نوعی بدون فایل (Fileless) بودن بدافزار اشاره کرد. زیرا بدفزار برای گذاشتن بقا در سیستم قربانی از فایل های xml در قالب Job استفاده می‌کند که وظیفه آنها تنها اتصال به سرور آلوده و دانلود کدهای مخرب می‌باشد. این بدافزار از طریق آسیب‌پذیری EternalBlue، حمله brute force، تکنیک pass-the-hash و اجرای کد مخرب از راه دور بر روی سرورهای SQL انتشار می یابد.

علائم آلودگی به بدافزار Zero2 

• ایجاد فایلهایی با نام تصادفی در مسیر %windir% و ساخته شدن سرویس به ازای آنها( آنتی ویروس پادویش این سرویسها را با نام Trojan.Win32.RemoteExec شناسایی می کند.)
• وجود فایلهای job با اسامی Rtsa، Bluetooths، Rass و یا نام‌های تصادفی در مسیر windir%\System32\Tasks% که حاوی کدهای base64 مخرب، لینک t[.]zer2[.]com و یا آدرسهای مشکوک دیگر باشند.
• وجود نام کاربری با عنوان k8h3d و یا اسامی مشکوک دیگر در گروه Administrators
• وجود فایل‌هایی با نام wfree.exe ،knil.exe،if.bin و m6.bin در مسیر Temp ویندوز
• بالا بودن تعداد زیادی پردازه Powershell.exe با کامند مشکوک
• آلوده شدن درایوهای Removable و Share به صورت ایجاد دو فایل با نام‌های blue3.bin و blue6.bin و تعداد زیادی فایل lnk که به این دو فایل اشاره می‌کنند و همچنین یک فایل دیگر با نام Readme.js و یک پوشه با نام UTFsync
• وجود فایلی با نام run.bat و یا وجود فایل lnk مشکوک در مسیر startup
• وجود WMIInstanceهایی با نام‌های تصادفی در سیستم قربانی جهت اتصال بدافزار به سرور خود

شرح عملکرد بدافزار

فایل مخرب انتشاردهنده‌ این بدافزار فایلی از نوع PS1 به نام if.bin می‌باشد که پس از چند مرحله دیکد، کدهای آن مشخص می‌شود و جزئیات آن به شرح زیر است:
1. آلوده کردن درایوهای Removable و Share به شکل زیر:

• ایجاد پوشه UTFsync به صورت Hidden در درایو موردنظر
• ایجاد فایل readme.js در این درایو
• ایجاد دو فایل blue3.bin و blue6.bin و فایل‌های lnk مرتبط با آن‌ها در درایو موردنظر
فایل‌های lnk ایجادشده از آسیب‌پذیری CVE-2010-2568 و CVE -2017-8464 برای اجرای خودکار فایل اجرایی مخربی که به آن اشاره می‌کنند استفاده کرده‌اند. این آسیب‌پذیری به این صورت عمل می‌کند که به محض کپی شدن این فایل‌ها target آن‌ها اجرا می‌شود. تصویر زیر یک نمونه درایو آلوده‌شده به بدافزار Zero2 را نمایش می‌دهد:

2. استفاده از تکنیک BruteForce برای آلوده‌کردن سیستم‌های دیگر شبکه
3. استفاده از تکنیک Pass-The-Hash جهت به دست آوردن رمز عبور Userهای سیستم قربانی
4. به‌دست‌آوردن لیست تمام IPهای موجود در شبکه‌
5. فعال کردن پورت 65529 در سیستم‌های هدف برای نشانه گذاری – از باز بودن این پورت به عنوان نشانه ای برای آلوده بودن سیستم هدف استفاده می کند.
6. قرار دادن فایلی با نام Run.bat یا یک فایل lnk در مسیر Startup سیستم تمام Userها و Domainها، در صورت باز بودن پورت 445 هر یک از IPهای به دست آمده
7. ایجاد schedule taskای با نام‌ Rtsa در سیستم مقصد، در صورت آسیب‌‌پذیر بودن هر IP در برابر آسیب‌پذیری EternalBlue. این job نیز به لینک t[.]zer2[.]com و یا لینک های مخرب دیگر بدافزار متصل شده و اقدام به دانلود اسکریپت‌های بعدی می‌کند.
8. بررسی آسیب‌پذیر بودن یا نبودن سیستم‌های شبکه هدف در برابر آسیب‌پذیری SMB3 و ارسال اطلاعات آن سیستم در صورت آسیب‌پذیر بودن به سرور خود
9. بررسی باز بودن پورت 1433 جهت اطمینان از نصب بودن SQL Server بر روی سیستم هدف و در ادامه انجام اقدامات زیر:

• فعال کردن xp_cmdshell در SQL Server سیستم هدف جهت اجرای کوئری از راه دور بر روی آن (این قابلیت به دلیل این که توسط هکرها و بدافزارها برای اجرای Command Lineهای مخرب استفاده می‌شد، از نسخه SQL Server 2005 به بعد به طور پیش‌فرض غیرفعال است.)
• ساخت Stored Procedureای با نام ExecCommand
• ساخت فایل مخربی با نام evilclr در پوشه Assemblies

کوئری زیر محتوای فایل ایجاد شده در پوشه Assemblies را نمایش می‌دهد:

SELECT asm.[name] AS [Assembly], afl.[name] AS [PathOrAltName], afl.[content] FROM sys.assembly_files afl INNER JOIN sys.assemblies asm ON asm.[assembly_id] = afl.[assembly_id] ORDER BY asm.[name];

10. بررسی پورت 3389 برای به دست آوردن لیست IPهایی که RemoteDesktop در آن‌ها فعال است و تلاش برای برقراری ارتباط RemoteDesktop با استفاده از ابزار wfree.exe و پسوردهای به دست آمده از عملیات brute force که در صورت موفق بودن این تلاش، بدافزار Password آن سیستم را برای Server خود ارسال میکند.

 

لیست URLهای استفاده شده توسط بدافزار

 

t[.]zer2[.]com/{uri} –  جهت دانلود اسکریپت‌ها و گزارش اطلاعات سیستم

down[.]ackng[.]com – دانلود اسکریپت‌های مبتنی بر اکسپلویت

lpp[.]zer2[.]com:443 – استخراج بیتکوین

lpp[.]ackng[.]com:443 – استخراج بیتکوین

روش مقابله و پاک‌سازی سیستم

آنتی ویروس پادویش این بدافزار را شناسایی کرده و از سیستم حذف می‌کند. همچنین اعمال برخی سیاست‎ها می‌تواند از بروز چنین حملاتی به طور حداکثری جلوگیری کند. مهمترین اقدامات عملی امنیتی که باید در هر شبکه‌ای انجام شود، به شرح زیر هستند:

۱. جهت پیشگیری از آلودگی‌های احتمالی توسط بدافزارهایی که از آسیب‌پذیری EternalBlue استفاده می‌کنند، پیشنهاد می‌شود از وصله امنیتی ارائه شده توسط مایکروسافت ms17-010 استفاده کنید. همچنین، جهت دریافت اطلاعات بیشتر در مورد این آسیب‌پذیری، به مقاله روش مقابله با اکسپلویت EternalBlue با شناسه CVE-2017-0146 / MS17-010 در پایگاه دانش پشتیبانی امن‌پرداز مراجعه نمایید. بخش جلوگیری از نفوذ (IPS) آنتی ویروس پادویش این گونه آسیب‌پذیری‌ها را شناسایی کرده و از ورود آنها به سیستم قربانی جلوگیری می‌کند.

۲. به‌روز بودن آنتی‌ویروس و بررسی گزارش‌های بخش جلوگیری از نفوذ به طور مرتب.

۳. از دیگر راه‌های نفوذ این بدافزار به شبکه سازمان‌ها می‌توان به سوء استفاده از رعایت نشدن سیاست‌های امنیتی لازم در مورد سرورهای SQL Server اشاره کرد. بنابراین، جهت پیشگیری از اجرای هر گونه دستور مخرب از راه دور توصیه می‌شود اقدامات زیر را جدی بگیرید:

• بررسی نام‌های کاربری پایگاه داده و سطح دسترسی‌ها
• غیرفعالسازی حساب‌های پیش فرض و بدون استفاده
• تغییر پسوردها به صورت دوره‌ای
• بازبینی دوره‌ای jobهای SQL Server
• محدود نمودن دسترسی سیستم‌ها به سرور پایگاه‌داده SQL Server

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>