پشتیبانی 24/7 :

031-36691964 | 021-88203003

جستجو

انتقال بدافزار از طریق MSSQL توسط WhiteShadow

تیتر مطالب

پژوهشگران امنیتی یک دانلودکننده بدافزار را ثبت کرده‌اند که از دستورهای Microsoft SQL برای انتقال payloadهای مخرب استفاده می‌کند.

به نقل از پایگاه اینترنتی ZDNet، بدافزار دانلودکننده جدید با نام  WhiteShadow برای انتقال انواع بدافزارها به سیستم‌های آسیب‌پذیر استفاده می‌شود.
به گفته پژوهشگران، با توجه به استفاده این بدافزار در عملیات‌های توزیع تروجان‌های با دسترسی راه دور (RAT) مانند Crimson RAT، Agent Tesla، AZORult و از جمله ثبت‌کننده‌های صفحه کلید (keylogger)، بنظر می‌رسد که WhiteShadow یک سرویس انتقال بدافزار است.
توزیع WhiteShadow از طریق ایمیل‌های فیشینگ انجام شده است که در پیوست ایمیل‌ها و درون فایل‌های مخرب Word و Excel جاسازی شده است و توسط کدهای ماکرو Visual Basic به سیستم‌های آلوده منتقل می‌شود. در صورتی که قربانی کدهای ماکرو را فعال کند، بدافزار با فراخوانی و اجرای دستورهای SQL دریافتی از سرورهای Microsoft SQL تحت کنترل عوامل تهدید، شروع به کار می‌کند.
برای برقراری ارتباط با پایگاه‌داده بصورت دسترسی از راه دور و اجرای دستورها، WhiteShadow از SQLOLEDB استفاده می‌کند. بدافزار هدف به صورت رشته‌های رمز شده ASCII، در پایگاه‌داده ذخیره شده است. زمانی که دستور بارگیری بدافزار توسط WhiteShadow فراخوانی شود، payload مخرب به عنوان یک فایل فشرده PKZip منتقل می‌شود. نصب payload مخرب در سیستم قربانی براساس پیکربندی‌های ذخیره شده در فایل پیوست درون ایمیل انجام می‌شود.
یکی از بدافزارهایی که توسط WhiteShadow منتقل می‌شود Crimson است که دارای قابلیت‌های سرقت اطلاعات، دریافت اسکرین‌شات از صفحه نمایش، مشاهده لیست فرایندهای پردازشی و استخراج ایمیل از Outlook است. علاوه بر Crimson، گزارش شده است که بدافزارهای Nanocore، njRAT، AgentTesla و Formbook نیز توسط WhiteShadow منتقل شده‌اند.
باز نکردن ایمیل‌های مشکوک که از منابع نامعتبر دریافت می‌شوند و نظارت بر ترافیک خروجی پورت TCP ۱۴۳۳ یا مسدودسازی آن از راهکارهای جلوگیری از نفوذ این بدافزار است.

  • نشانه‌های آلودگی (IoC):

URLها:
•    antinio.mssql.somee[.]com
•    BytesData.mssql.somee[.]com
•    fabancho.mssql.somee[.]com
•    hxxp[://]rebrand[.]ly/۸۱۳ed۵۳۸۱۶۹eeeethczfz۲۳۴۶۵۷۷۷۷۷۷۷۷۷۸۸kfvmdkf
•    hxxp[://]rebrand[.]ly/purchaseorder۵۴۳۲۶
•    jasoncarlosscot.dynu[.]net
•    www.allixanes[.]com/ez۳/
•    tslserv.duckdns[.]org
•    bargainhoundblog[.]com
•    globedigitalmedia[.]com
•    mundial۲۰۱۸.duckdns[.]org
•    halwachi۵۰.mymediapc[.]net
•    robinmmadi.servehumour[.]com
•    naddyto.warzonedns[.]com
•    www.scaker[.]com
IPها:
•    ۱۹۳,۱۱۱.۱۵۵[.]۱۳۷
•    ۵۱,۲۵۴.۲۲۸[.]۱۴۴
•    ۱۷۶,۱۰۷.۱۷۷[.]۵۴
•    ۱۳۹,۲۸.۳۶[.]۲۱۲
•    ۱۳۹,۲۸.۳۶[.]۲۱۲
•    ۴۵,۹۲.۱۵۶[.]۷۶
•    ۱۹۲,۳.۱۵۷[.]۱۰۴
•    ۱۷۶,۱۰۷.۱۷۷[.]۷۷
•    ۱۹۳,۲۲۸.۵۳[.]۰
•    ۱۸۵,۱۵۷.۷۹[.]۱۱۵
•    ۸۷,۲۴۷.۱۵۵[.]۱۱۱
•    ۱۸۵,۱۶۱.۲۰۹[.]۱۸۳
•    ۱۸۵,۱۶۱.۲۱۰[.]۱۱۱
هش‌ها:
•    ۲cf۲۱ddd۹d۳۶۹a۲c۸۸۲۳۸۶۰۶c۵f۸۴۶۶۱cf۰f۶۲۰۵۴e۵cc۴۴d۶۵۶۷۹۸۳۴b۱۶۶a۹۳۱
•    ed۸f۴a۷f۰۹e۴۲۸ceff۸ede۲۶۱۰۲bb۱۵۳b۴۷۷b۲۰۷۷۵a۰۱۸۳be۴ca۲۱۸۵۹۹۹d۲۰c۸
•    ۵۳۹۰۸۷ebb۱d۴۲c۸۱c۳be۴۸۷۰۵d۱۵۳d۷۵df۵۵۰c۰۴۷cf۱۰۵۶۷۲۱f۶۸۷۲۴b۷۸b۷۳b۷
•    dc۹۰b۱۲b۷۱c۴f۸c۰۸a۷۸۹a۵ec۸۶ef۹b۰۵۱۸۹d۴۹۹c۸۸۷f۵۵۸f۳۵eeb۵e۴۷۲۵۵۱a۰
•    fc۰۶۸dda۰efdaaa۰۰۳c۸۷bccd۱۸۸۰bc۸۹۵۳f۱۸c۲a۸f۱f۰۵۲۷a۹a۴۴e۶۳۷e۱fcce
•    a۷۱۰a۶۸۵bb۴fbace۰۸e۲۶e۳۲a۸bb۸a۵۸۶۶۵۹۷۳cd۸۰۲a۳df۲cb۲۸۵۸۱c۲۸۷۴۴۶e۵
•    ۹cd۶۲۷۴۸e۷be۵۳۶f۹bfb۴۶۴۹۳fc۹۷۰۴a۹۳e۴e۴bcb۳۸ef۱۹۳b۵d۶۶e۴a۸۷۵۷۵۶bc
•    ۹۵dbabe۵۱۲ba۴fc۴۵e۳۲۷۸۶e۸۷c۲۹۲fb۶۶۵e۱۸bc۰e۲fea۱cadb۴۳ba۱fe۹۳f۱۳b
•    a۶a۶b۸c۷cb۷۲dd۲۶۷۰b۶۱۷۱۵۷۶bc۲۰c۲f۲۸۱۹۸df۱۲۹۰۷b۴d۳ce۰۱۰dcd۹۷۳۵۸e۴
•    ۶۷d۰۳۴۷b۸db۰۵a۷۱۱۵d۸۹۵۰۷۳۹۴۷۶۰f۴۱۴۱۹e۵e۹۱ab۸۸be۵۰e۲۷eded۲۸ce۵۰۳e
•    ۷b۶۷۲eb۸۰۰۴۱a۰۴f۴۹۱۹۸b۱b۵۱bcf۰۱۹۸۳۲۱a۱bdc۱f۷c۵۶۴۳۴c۲۳۲۰edb۵۳fc۴۳
•    acf۹c۱dda۴a۲۰۷۶f۰d۵۰۳۴۵۰db۳۴۸ae۲۹۱۳۳۴۵ebd۱۳۴a۳۷۰۱baa۲ff۵ebaccd۶e
•    fe۸۸d۴۰c۵۶۲۷۴a۳۸ecd۳a۷۱۷۸ac۹۶۹۷۰dd۴۷۳c۷ef۳d۰f۵۴b۵c۸۸۱۹f۰b۱fa۴۱c۳
•    ۳۵e۸۱۲۵۸c۴۳۶۵fb۹۷ae۵۷f۳۹۸۹۱۶۴ed۴e۸b۸e۶۲۶۶۸af۹d۲۸۱a۵۷c۵e۷a۷۰c۲۸۸c
•    c۵۱۹۳ba۸۷۱۴۱۴۴۴۸c۷۸cb۵۱۶dfea۶۲۲f۲dbafa۶bacb۶۴e۹d۴۲c۱۷۶۹ebd۴ffea۳
•    b۲c۰b۱۵۳۵۵۱۸۳۲۱fbcde۲c۹d۸۰f۲۲۲e۹۴۷۷۰۵۳e۶ee۵۰۵f۲dd۳b۶۸۰۲۷۷f۸۰de۱d
•    ۹a۲۸۴b۱ca۸ac۷fee۱f۸۸۲۳d۲۴۵۷c۹۳۵۱۳۴ec۶۱۳۶۸ef۴۲c۸b۲cbdfb۳۳۸ad۶۱ad۷
•    ۲۹fe۲bdf۲۵d۱۷۳۹bb۹۲۰c۰۷۷۶b۱۸۲۶۶۶۱e۸a۴۵۹af۴۴d۱۰۵۱faf۰۸f۳۶۴۳d۸۴d۲۹
•    fcc۸۸۰۲b۴۹bfb۸۶d۰cffb۱cbc۴f۱b۲۸۳۸۸۷۰۱۵b۷da۲۲۶۳f۹۱۶۵a۲۸f۱b۰f۶۳f۴۷
•    c۹۶۶۸۳۰۰۹۲abeb۵ecb۶۷۴۷۱۲۲b۵c۵d۶۳dff۰۶۴۸۲۸b۸۴e۱۰a۶۸۲۷۷۰۷۶۳e۳۴۸۷۱۳
•    ۰df۰۱a۹e۸ad۰۹۷d۶c۲b۴۸۵۱۵۴۹۷f۱۲bfe۹aaa۲۹a۳b۱c۵۰۹a۰ae۱e۲a۱۲a۱۶۲f۰۴
•    a۷۸۳۲e۳۵fe۵۷۱abed۰a۷۰b۴۹c۰۴۳e۰fedb۷fba۲۸e۶c۲۱۲b۶bbaa۸fd۴۰۷۵c۵f۴۳
•    ۰e۵۴bf۹۳۸۰d۴۰d۳۴e۶a۳۰۲۹b۶e۲۳۵۷f۴af۱۷۳۸۹۶۸۶۴۶fdaa۰c۳۶۹a۶۷۰۰e۱۵۸f۴
•    ۱۷۷۴۲a۳ca۷۴۶f۷f۱۳aff۱۳۴۲۰۶۸b۲b۷۸df۴۱۳f۰c۹cd۶cdd۰۲d۶df۷۶۹۹۸۷۴a۱۳a
•    ab۹۶۲b۷b۹۳۲cb۳۴۷۸۷۷۰c۵۵a۶۵۶baa۶۵۷f۹c۵۸ea۲۴۰۹c۸۹b۶۸b۵a۷۷۲۸ea۷۲۱f۸
•    d۸۹۷۷۲cfd۶۳f۷d۵ce۷c۶۷۴۰c۶۷۰۹ece۴db۶۲۴c۸۵۹۸۹e۸d۵۰۸c۰۹f۱baeef۰a۵۵۶
•    ۶۴c۵d۳f۷۲۹d۹a۱ec۲۶d۵۶۸۶۰۰۲ccb۰۱۱۱ee۹ba۶a۶a۸e۷da۶ad۳۱۲۵۱f۵d۵dde۶a
•    ۷۶e۰۱۰۴aa۶c۳a۰cfc۲۵c۶f۸۴۴edbbeed۴e۹۳۴e۲ad۲۱a۵۶e۸۲۴۳f۶۰۴f۵۱۰cf۷۲۳
•    ۶a۲acd۶b۹۷ce۸۱۱ebf۳d۱۵۴c۴۷b۵۳cd۱۶c۵۰۰e۰۷۵c۳۲۱۸e۸۶۲۸bf۴۹f۸d۷cafe۵
•    ۹۶e۲۷۴f۱cb۵f۶۹۱۸e۶a۲۴b۷۱۴f۷cbf۲d۳d۰۰۷۶۸۰۰۵۰a۱۶ba۵۲۳۲c۶۷۵۸۲ad۰f۳b
•    ۲ea۷۸۷dfd۶۵b۰۴۸۸b۷۶b۰a۰a۶۹ff۲a۶۳۲bb۳bea۳۷۳۵ad۰۰۷۳۳۶b۸dd۱۴۷۳f۵۷۶۸
•    a۹۸۹۸d۶d۹۰۵۴f۳۰۱d۰da۹۳۷۳b۸cc۳۸۶۴۱d۱۱c۸۴۰۹a۱۰۳۷۱۱۲۹۷۰aa۴۷۱۲۲۵۶۱ff
•    ۵ff۵۸۱۷e۳۲۵c۷۸a۱a۷۰۶۰۳۵۸۱۱bfb۹۷۶۴۲۱۲۲۲c۲۰۸a۷fce۶۹۴a۲۵bb۶۰۹a۹a۲fb
•    ۰c۱۶۲۳۶۶۲a۷ad۲۲۲ed۷۵۳b۹ffc۰d۸۵۹۱۲e۳a۰۷۵c۳۴۸b۷۵۲b۶۷۱a۰b۱c۷۵۵fd۱e۷
•    ۴c۴۸۷ba۸dfded۵d۰۵۰d۰۱ab۶۵۶ef۳۹۱۶c۵۲۶۹۵۵۱e۵۱ed۶۰f۹cfa۵۹۹۵f۵۵e۳۲۶۴
•    d۲۱۵۸cfd۱bb۹۱۱۶a۰۴dcb۹۱۹fa۳۵۴۰۲d۶۴b۹e۹b۳۹a۹c۶cd۵۷۴۶۰ca۱۱۳cde۴۸۸e
•    ۰۹۴۳a۹۶۸cc۹e۰۰f۸۳c۰bb۴۴۶۸۵c۶۷۸۹۰c۵۹ad۷۷۸۵db۷fc۱۲e۹a۰de۸df۳۰۹cbfa
•    a۴۰۹۸۷۶۳۹b۴۶۴c۲d۷۸۶۴faa۰cc۸۴da۷f۹۹۶feecc۷a۷f۰۲۲۵a۴۷۴e۲۸۲d۲d۸۱c۳۷
•    ۵۴۲c۶ed۸e۷۷۹۸۷ca۰۱۱۵۲۷۸۴a۳۸ab۴d۲۸۸a۹۵۹d۷e۲۱۴۴۹۸۹ae۷f۱eb۸۹۸۶۶d۶۵b
•    a۸e۰c۶۳۸۷dd۷۷۵۰۰a۰۵۹۳c۰c۲۶ba۳b۱e۷۲b۹bce۲۰۰c۲۳۲d۷dcc۱f۲e۷۵a۴۴۹۵۱۲
•    ۹۸d۵fc۴۹a۵۱۵۳cd۸۰۳۵ca۰e۸۳cf۴۶a۸۱dd۵۷۳c۱۷۵۸۸۴۸۲۱۴۷۳aa۴d۰۷f۷۱۹۰۳۱f
•    fea۷۳a۶۴bcb۲aeab۱۰۴dd۳d۷۸b۸۳c۸۵۹c۴۳۱۹be۰۸a۸da۴edf۷۷cc۶۳۱bbdd۶۲۳
•    ۰۷aa۸۹۷c۱۴۶f۹۴۴۳۸۷۶۹۳۰f۱b۶۹۸۰۷ec۷۰۳۴a۷۳a۹۳dec۰dc۳۶۱۵۷f۱۷dedd۳۰۶۹
•    f۶ffbd۸۷۶۲b۸۹۳aa۹d۷۹۰۷۹۱۷ee۰b۱۱۴۵۷fbdbf۳۷f۴aacdf۸d۱d۴a۴f۷f۳badca
•    a۲b۵۱۶۸fb۴b۶a۱۸d۶۶۵۷۱c۶debc۵۴f۹f۴۶۲f۵b۰۵a۸۲۳۱۳۱۲۳feecc۹۶dab۰e۵۹۵
•    bde۲۶۹bf۶۹۵۸۲۳۱۲c۱ec۷۶۰۹۰۹۹۱e۷۳۶۹e۱۱dbee۴۷a۱۵۳af۵۳e۴۹۵۲۸c۸bd۱b۲۷
•    bd۷abfaa۰d۳b۱d۳۱۵c۲۵۶۵c۸۳c۱۰۰۳c۲۲۹c۷۰۰۱۷۶c۸۹۴۷۵۲df۱۱e۶ecae۷ad۷e۶
•    ۴۷۳۸c۲۸۴۹f۲c۸۱dec۷۱۴۲۷adaed۴۸۹a۸۴۲۹۹۵۶۳da۳۱b۶۲ce۵۴۸۹b۸۴c۹۵۴۲۶ada
•    ee۰f۳eb۸a۴d۷c۸۷a۴c۳۳a۱f۸b۰۸e۷۸bb۹۵fa۷ee۴۱ddf۰b۰۷d۹b۶eabe۸۷a۳۳b۲e
•    ۴b۵۵۴۳۶۷f۸۰۶۹f۶۴۲۰۱۴۱۸cddcec۸۲d۷۸۵۷dcc۲۵۷۳be۷f۰fb۳۸۷c۱b۴۸۰۲۰۴۰b۶

 

 

منبع :

http://www.afta.gov.ir

https://www.zdnet.com