پشتیبانی 24/7 :

031-36691964 | 021-88203003

جستجو

Bad Rabbit : بازگشت باج افزار Not-Petya با ویژگی های جدید

تیتر مطالب

طی چند روز اخیر باج افزار جدیدی شایع شده که زیرساختهای متروی کشور اوکراین و برخی از سازمانهای کشور روسیه را مورد حمله قرار داده است و به سرعت در حال گسترش در سایر نقاط جهان می باشد. ESET  این باج افزار را با عنوان Win32/Diskcoder.D  شناسایی و آن را نوع جدید از باج افزار شناخته شده ی Petya که در حملات سایبری ای در ژوئن 2017 مورد استفاده قرار گرفت، معرفی کرد. ESET Live Grid صدها رخداد Win32/Diskcoder.D  را شناسایی کرده که علاوه بر اوکراین و روسیه گزارشاتی از آلودگی در بلغارستان، ترکیه و … نیز داشته است. در ادامه جزییات این باج افزار جدید را بررسی خواهیم کرد.

دانلود بدافزار از طریق حفره های امنیتی موجود در وبسایت های محبوب

یکی از روش های توزیع باج افزار Bad Rabbit از طریق دانلود درایور آن است. برخی از وبسایت های مشهور که در معرض خطر هستند، در قسمت HTML و یا فایل های .js آنها، کدهای جاوا اسکریپت مخربی تزریق می شود.

injected 1024x785

در قطعه کد زیر یک نوع آلودگی جالب توجه را می توانید مشاهده نمایید.
2
گزارشهای این کد مربوط به 185.149.120[.]3 است و بنظر می رسد که در همان لحظه پاسخی نمی دهد.
•    مرورگر user-agent
•    ارجاع دهنده ها
•    کوکی از وبسایتهای بازدیده شده
•    نام دامنه وبسایت بازدید شده
Logic سمت سرور می تواند تشخیص دهد که آیا بازدیدکننده از موارد موردنظرش است یا خیر و سپس محتوا را به وبسایت اضافه کند. در این مورد، پنجره ای باز شده که در حال دانلود یک به روز رسانی برای فلش پلیر می باشد.
diskcoder 1024x687

زمانی که روی دکمه Install کلیک نمایید، دانلود یک فایل اجرایی از 1dnscontrol[.]com آغاز می شود. این فایل اجرایی install_flash_player.exe یک دارپر برای Win32/Diskcoder.D است.
در نهایت کامپیوتر قفل شده و پیغام باج را نمایش می دهد.

mbr cut
صفحه پرداخت
Screen Shot 2017 10 24 at 2.18.32 PM 1024x792
گسترش از طریق SMB

Win32/Diskcoder.D قادر به پخش از طریق SMB است. همینطور بر خلاف ادعای عموم، مانند باج افزار Not-Petya  یا Win32/Diskcoder.C از آسیب پذیری های EthernalBlue بهره گیری نمی کند بلکه ابتدا شبکه ی داخلی را برای وجود SMBهای اشتراکی مانند نمونه های زیر، بررسی می کند.
•    admin
•    atsvc
•    browser
•    eventlog
•    lsarpc
•    netlogon
•    ntsvcs
•    spoolss
•    samr
•    srvsvc
•    scerpc
•    svcctl
•    wkssvc
Mimikatz بر روی کامپیوتر آسیب دیده برای سوء برداشت از اعتبارات اجرا می شود. یک لیست کد شده از نام های کاربری و رمزهای عبور هم وجود دارد.

Usernames Passwords
Administrator Administrator
Admin administrator
Guest Guest
User guest
User1 User
user-1 user
Test Admin
root adminTest
buh test
boss root
ftp 123
rdp 1234
rdpuser 12345
rdpadmin 123456
manager 1234567
support 12345678
work 123456789
other user 1234567890
operator Administrator123
backup administrator123
asus Guest123
ftpuser guest123
ftpadmin User123
nas user123
nasuser Admin123
nasadmin admin123Test123
superuser test123
netguest password
alex 111111
55555
77777
777
qwe
qwe123
qwe321
qwer
qwert
qwerty
qwerty123
zxc
zxc123
zxc321
zxcv
uiop
123321
321
love
secret
god

هنگامی که اعتبارات کارآمد یافت می شوند، فایل infpub.dat درون دایکتوری ویندوز قرار گرفته و از طریق SCManager و rundll.exe اجرا می شود.

رمزنگاری

Win32/Diskcoder.D ورژن اصلاح شده ی Win32/Diskcoder.C است. باگ های موجود در رمزنگاری فایل ها رفع شده است. در رمزنگاری از DiskCryptor استفاده می شود که یک نرم افزار Open source قانونی است و برای رمزنگاری کامل فایل بکار می رود.
کلیدها با استفاده از CryptGenRandom تولید می شوند و سپس با استفاده از یک کلید عمومی RSA 2048 کد می شوند.

توزیع

جالب توجه است، ESET Live Grid، نشان می دهد که اوکراین تنها 12.2 درصد از کل مواردی را که مشاهده کردیم شامل می شود، آمار به صورت زیر است :
روسیه 65درصد
اوکراین 12.2 درصد
بلغارستان 10.2 درصد
ترکیه 6.4 درصد
ژاپن 3.8 درصد
سایر 2.4درصد
این آمار به طور تقریبی با آمار توزیع وبسایت های آسیب دیده که شامل کد جاوا اسکریپت مخرب هستند، مطابقت دارد. اما چرا بنظر می رسد اوکراین بیش از سایرین آسیب دیده است؟
جالب است که به این نکته توجه کنیم که همه این شرکت های بزرگ همزمان آسیب دیده اند. ممکن است این گروه قبلا ردپایی در این شبکه ها داشته اند و  حمله از طریق حفره های امنیتی را در یک زمان شروع کرده اند. هیچ چیز نمی گوید که آنها بخاطر  به روزرسانی فلش پلیر آسیب دیده اند. ESET همچنان در حال بررسی این موضوع است و یافته های خود را منتشر خواهد کرد.

نمونه ها
SHA-1 Filename ESET Detection name Description
79116fe99f2b421c52ef64097f0f39b815b20907 infpub.dat Win32/Diskcoder.D Diskcoder
afeee8b4acff87bc469a6f0364a81ae5d60a2add dispci.exe Win32/Diskcoder.D Lockscreen
413eba3973a15c1a6429d9f170f3e8287f98c21c Win32/RiskWare.Mimikatz.X Mimikatz (32-bits)
16605a4a29a101208457c47ebfde788487be788d Win64/Riskware.Mimikatz.X Mimikatz (64-bits)
de5c8d858e6e41da715dca1c019df0bfb92d32c0 install_flash_player.exe Win32/Diskcoder.D Dropper
4f61e154230a64902ae035434690bf2b96b4e018 page-main.js JS/Agent.NWC JavaScript on compromised sites
سرورهای C&C

وبسایت پرداخت : http://caforssztxqzf2nm[.]onion
URL  تزریق : http://185.149.120[.]3/scholargoogle/
URL توزیع : hxxp://1dnscontrol[.]com/flash_install.php

لیستی از وبسایت های آلوده :

•    hxxp://argumentiru[.]com
•    hxxp://www.fontanka[.]ru
•    hxxp://grupovo[.]bg
•    hxxp://www.sinematurk[.]com
•    hxxp://www.aica.co[.]jp
•    hxxp://spbvoditel[.]ru
•    hxxp://argumenti[.]ru
•    hxxp://www.mediaport[.]ua
•    hxxp://blog.fontanka[.]ru
•    hxxp://an-crimea[.]ru
•    hxxp://www.t.ks[.]ua
•        hxxp://www.otbrana[.]com
•    hxxp://calendar.fontanka[.]ru
•    hxxp://www.grupovo[.]bg
•    hxxp://www.pensionhotel[.]cz
•    hxxp://www.online812[.]ru
•    hxxp://www.imer[.]ro
•    hxxp://novayagazeta.spb[.]ru
•    hxxp://i24.com[.]ua
•    hxxp://bg.pensionhotel[.]com
•    hxxp://ankerch-crimea[.]ru
•    hxxp://most-dnepr[.]info

hxxp://osvitaportal.com[.]ua

 

 

منبع : https://www.welivesecurity.com