شرح کلی
نوع: اسکریپت
اسامی بدافزار:
Worm.Win32.Zero2.a
Expliot.Win32.Trickster
Trojan.Win32.RemoteExec
درجه تخریب: زیاد
میزان شیوع: متوسط
آسیبپذیری مورد استفاده: EternalBlue، حمله brute force، تکینیک pass-the-hash و آسیب پذیریهای مبتنی بر Remote File Execution
ماینر (Miner) چیست؟
ماینر به افراد و نرم افزارهایی که فرآیند ماینینگ را انجام میدهند یا به نوعی ارز دیجیتال را استخراج میکنند، گفته میشود. بیت کوین (Bitcoin) نوعی واحد ارز دیجیتال است. استخراج بیت کوین نوعی فرایند تایید اطلاعات است که در دو مرحله هش پیچیده SHA256 صورت میپذیرد. شبکه بیت کوین به استخراج کنندگان در ازای تلاشی که برای حل معادلات محاسباتی پیچیده میکنند، بیت کوین پاداش میدهد. بدافزار نویسان برای اینکه هزینه ای برای حل معادلات محاسباتی پیجیده نداشته باشند بدافزاری به این منظور مینویسند و سیستمهای قربانیان را به آن آلوده میکنند تا هم از این راه کسب درآمد کنند هم هزینه ای برای این محاسبات پیچیده پرداخت نکنند. حل این محاسبات cpu سیستم قربانی را درگیر میکند و این باعث کندی سیستم قربانی میشود.
بدافزار Zero2 چیست؟
بدافزار Zero2 از جمله بدافزارهای جدید در زمینه استخراج ارز دیجیتال میباشد که در حال حاضر در میان شبکه های کامپیوتری در حال گسترش است. این بدافزار جدید، از ابزار PowerShell که یک ابزار سیستمی استاندارد میباشد، برای اجرای کد مخرب خود و انتشار در شبکه داخلی استفاده میکند. هدف بدافزار استخراج بیتکوین و ارز دیجیتال از سیستم قربانی میباشد.
توضیحات فنی
این بدافزار برای اعمال آلودگی طی چندین مرحله به سرور آلوده متصل شده و با اجرای کد مخرب در حافظه سیستم قربانی باعث تخریب میشود. از پیچیدگی های این بدافزار میتوان به لایههای بی شمار مبهم سازی کدها و به نوعی بدون فایل (Fileless) بودن بدافزار اشاره کرد. زیرا بدفزار برای گذاشتن بقا در سیستم قربانی از فایل های xml در قالب Job استفاده میکند که وظیفه آنها تنها اتصال به سرور آلوده و دانلود کدهای مخرب میباشد. این بدافزار از طریق اکسپلویت EternalBlue، حمله brute force و تکینیک pass-the-hash انتشار میابد.
علائم آلودگی به بدافزار Zero2 :
- وجود فایلهای job با اسامی Rtsa، Bluetooths، Rass در مسیر Root%:\Windows\System32\Tasks% که محتوی لینک t[.]zer2[.]com و یا آدرسهای مشکوک باشند.
- وجود فایل job با نام تصادفی حاوی کد base64
- وجود نام کاربری با عنوان k8h3d در گروه Administrators
بدافزار در قالب چند لایه اجرا می شود ابتدا کد دستور job بدافزار یک کد base64 میباشد.
لایه اول اسکریپت از فایل Job اصلی بدافزار شروع میشود که سعی در دسترسی بهURL اصلی بدافزار دارد و با دستوری در PowerShell اسکریپتهای بعدی را دانلود و اجرا میکند.
بدافزار با ارتباط با سرور فرمان و کنترل (C&C) خود، اقدام به دانلود این اسکریپتها میکند.
وظیفه لایه بعد ساختن job دوم بدافزار با نام Rtsa میباشد. این job نیز به لینک t[.]zer2[.]com متصل شده و اقدام به دانلود اسکریپتهای بعدی میکند. انتشار بدافزار و سواستفاده از آسیب پذیریها در این لایه اتفاق میافتد.
بدافزار در لایه آخر خود ماژول mining را بر اساس اطلاعاتی که از سیستم بدست آورده دانلود میکند. این ماژول به پردازه powertshell تزریق شده و از طریق آن به اجرا در میآید.
لیست URLهای استفاده شده توسط بدافزار:
t[.]zer2[.]com/{uri} – سیستم جهت دانلود اسکریپتها و گزارش اطلاعات
down[.]ackng[.]com – دانلود اسکریپتهای مبتنی بر اکسپلویت
lpp[.]zer2[.]com:443 – استخراج بیتکوین
lpp[.]ackng[.]com:443 – استخراج بیتکوین
روش مقابله و پاکسازی سیستم
بخش جلوگیری از نفوذ آنتیویروس پادویش از وقوع حملات شبکهای توسط این بدافزار جلوگیری میکند. همچنین فایلهای job بدافزار را شناسایی میکند. ازاینرو جهت پیشگیری از آلودگی به این بدافزار پیشنهاد میشود با نصب پادویش از ورود بدافزار به سیستم خود جلوگیری کنید.