طی چند روز اخیر باج افزار جدیدی شایع شده که زیرساختهای متروی کشور اوکراین و برخی از سازمانهای کشور روسیه را مورد حمله قرار داده است و به سرعت در حال گسترش در سایر نقاط جهان می باشد. ESET این باج افزار را با عنوان Win32/Diskcoder.D شناسایی و آن را نوع جدید از باج افزار شناخته شده ی Petya که در حملات سایبری ای در ژوئن 2017 مورد استفاده قرار گرفت، معرفی کرد. ESET Live Grid صدها رخداد Win32/Diskcoder.D را شناسایی کرده که علاوه بر اوکراین و روسیه گزارشاتی از آلودگی در بلغارستان، ترکیه و … نیز داشته است. در ادامه جزییات این باج افزار جدید را بررسی خواهیم کرد.
دانلود بدافزار از طریق حفره های امنیتی موجود در وبسایت های محبوب
یکی از روش های توزیع باج افزار Bad Rabbit از طریق دانلود درایور آن است. برخی از وبسایت های مشهور که در معرض خطر هستند، در قسمت HTML و یا فایل های .js آنها، کدهای جاوا اسکریپت مخربی تزریق می شود.
در قطعه کد زیر یک نوع آلودگی جالب توجه را می توانید مشاهده نمایید.
گزارشهای این کد مربوط به 185.149.120[.]3 است و بنظر می رسد که در همان لحظه پاسخی نمی دهد.
• مرورگر user-agent
• ارجاع دهنده ها
• کوکی از وبسایتهای بازدیده شده
• نام دامنه وبسایت بازدید شده
Logic سمت سرور می تواند تشخیص دهد که آیا بازدیدکننده از موارد موردنظرش است یا خیر و سپس محتوا را به وبسایت اضافه کند. در این مورد، پنجره ای باز شده که در حال دانلود یک به روز رسانی برای فلش پلیر می باشد.
زمانی که روی دکمه Install کلیک نمایید، دانلود یک فایل اجرایی از 1dnscontrol[.]com آغاز می شود. این فایل اجرایی install_flash_player.exe یک دارپر برای Win32/Diskcoder.D است.
در نهایت کامپیوتر قفل شده و پیغام باج را نمایش می دهد.
صفحه پرداخت
گسترش از طریق SMB
Win32/Diskcoder.D قادر به پخش از طریق SMB است. همینطور بر خلاف ادعای عموم، مانند باج افزار Not-Petya یا Win32/Diskcoder.C از آسیب پذیری های EthernalBlue بهره گیری نمی کند بلکه ابتدا شبکه ی داخلی را برای وجود SMBهای اشتراکی مانند نمونه های زیر، بررسی می کند.
• admin
• atsvc
• browser
• eventlog
• lsarpc
• netlogon
• ntsvcs
• spoolss
• samr
• srvsvc
• scerpc
• svcctl
• wkssvc
Mimikatz بر روی کامپیوتر آسیب دیده برای سوء برداشت از اعتبارات اجرا می شود. یک لیست کد شده از نام های کاربری و رمزهای عبور هم وجود دارد.
| Usernames | Passwords |
|---|---|
| Administrator | Administrator |
| Admin | administrator |
| Guest | Guest |
| User | guest |
| User1 | User |
| user-1 | user |
| Test | Admin |
| root | adminTest |
| buh | test |
| boss | root |
| ftp | 123 |
| rdp | 1234 |
| rdpuser | 12345 |
| rdpadmin | 123456 |
| manager | 1234567 |
| support | 12345678 |
| work | 123456789 |
| other user | 1234567890 |
| operator | Administrator123 |
| backup | administrator123 |
| asus | Guest123 |
| ftpuser | guest123 |
| ftpadmin | User123 |
| nas | user123 |
| nasuser | Admin123 |
| nasadmin | admin123Test123 |
| superuser | test123 |
| netguest | password |
| alex | 111111 |
| 55555 | |
| 77777 | |
| 777 | |
| qwe | |
| qwe123 | |
| qwe321 | |
| qwer | |
| qwert | |
| qwerty | |
| qwerty123 | |
| zxc | |
| zxc123 | |
| zxc321 | |
| zxcv | |
| uiop | |
| 123321 | |
| 321 | |
| love | |
| secret | |
| god |
هنگامی که اعتبارات کارآمد یافت می شوند، فایل infpub.dat درون دایکتوری ویندوز قرار گرفته و از طریق SCManager و rundll.exe اجرا می شود.
رمزنگاری
Win32/Diskcoder.D ورژن اصلاح شده ی Win32/Diskcoder.C است. باگ های موجود در رمزنگاری فایل ها رفع شده است. در رمزنگاری از DiskCryptor استفاده می شود که یک نرم افزار Open source قانونی است و برای رمزنگاری کامل فایل بکار می رود.
کلیدها با استفاده از CryptGenRandom تولید می شوند و سپس با استفاده از یک کلید عمومی RSA 2048 کد می شوند.
توزیع
جالب توجه است، ESET Live Grid، نشان می دهد که اوکراین تنها 12.2 درصد از کل مواردی را که مشاهده کردیم شامل می شود، آمار به صورت زیر است :
روسیه 65درصد
اوکراین 12.2 درصد
بلغارستان 10.2 درصد
ترکیه 6.4 درصد
ژاپن 3.8 درصد
سایر 2.4درصد
این آمار به طور تقریبی با آمار توزیع وبسایت های آسیب دیده که شامل کد جاوا اسکریپت مخرب هستند، مطابقت دارد. اما چرا بنظر می رسد اوکراین بیش از سایرین آسیب دیده است؟
جالب است که به این نکته توجه کنیم که همه این شرکت های بزرگ همزمان آسیب دیده اند. ممکن است این گروه قبلا ردپایی در این شبکه ها داشته اند و حمله از طریق حفره های امنیتی را در یک زمان شروع کرده اند. هیچ چیز نمی گوید که آنها بخاطر به روزرسانی فلش پلیر آسیب دیده اند. ESET همچنان در حال بررسی این موضوع است و یافته های خود را منتشر خواهد کرد.
نمونه ها
| SHA-1 | Filename | ESET Detection name | Description |
|---|---|---|---|
79116fe99f2b421c52ef64097f0f39b815b20907 |
infpub.dat | Win32/Diskcoder.D | Diskcoder |
afeee8b4acff87bc469a6f0364a81ae5d60a2add |
dispci.exe | Win32/Diskcoder.D | Lockscreen |
413eba3973a15c1a6429d9f170f3e8287f98c21c |
Win32/RiskWare.Mimikatz.X | Mimikatz (32-bits) | |
16605a4a29a101208457c47ebfde788487be788d |
Win64/Riskware.Mimikatz.X | Mimikatz (64-bits) | |
de5c8d858e6e41da715dca1c019df0bfb92d32c0 |
install_flash_player.exe | Win32/Diskcoder.D | Dropper |
4f61e154230a64902ae035434690bf2b96b4e018 |
page-main.js | JS/Agent.NWC | JavaScript on compromised sites |
سرورهای C&C
وبسایت پرداخت : http://caforssztxqzf2nm[.]onion
URL تزریق : http://185.149.120[.]3/scholargoogle/
URL توزیع : hxxp://1dnscontrol[.]com/flash_install.php
لیستی از وبسایت های آلوده :
• hxxp://argumentiru[.]com
• hxxp://www.fontanka[.]ru
• hxxp://grupovo[.]bg
• hxxp://www.sinematurk[.]com
• hxxp://www.aica.co[.]jp
• hxxp://spbvoditel[.]ru
• hxxp://argumenti[.]ru
• hxxp://www.mediaport[.]ua
• hxxp://blog.fontanka[.]ru
• hxxp://an-crimea[.]ru
• hxxp://www.t.ks[.]ua
• hxxp://www.otbrana[.]com
• hxxp://calendar.fontanka[.]ru
• hxxp://www.grupovo[.]bg
• hxxp://www.pensionhotel[.]cz
• hxxp://www.online812[.]ru
• hxxp://www.imer[.]ro
• hxxp://novayagazeta.spb[.]ru
• hxxp://i24.com[.]ua
• hxxp://bg.pensionhotel[.]com
• hxxp://ankerch-crimea[.]ru
• hxxp://most-dnepr[.]info
hxxp://osvitaportal.com[.]ua
