Bad Rabbit : بازگشت باج افزار Not-Petya با ویژگی های جدید

 

bad rabbit not petya back 623x432

طی چند روز اخیر باج افزار جدیدی شایع شده که زیرساختهای متروی کشور اوکراین و برخی از سازمانهای کشور روسیه را مورد حمله قرار داده است و به سرعت در حال گسترش در سایر نقاط جهان می باشد. ESET  این باج افزار را با عنوان Win32/Diskcoder.D  شناسایی و آن را نوع جدید از باج افزار شناخته شده ی Petya که در حملات سایبری ای در ژوئن 2017 مورد استفاده قرار گرفت، معرفی کرد. ESET Live Grid صدها رخداد Win32/Diskcoder.D  را شناسایی کرده که علاوه بر اوکراین و روسیه گزارشاتی از آلودگی در بلغارستان، ترکیه و ... نیز داشته است. در ادامه جزییات این باج افزار جدید را بررسی خواهیم کرد.


دانلود بدافزار از طریق حفره های امنیتی موجود در وبسایت های محبوب


یکی از روش های توزیع باج افزار Bad Rabbit از طریق دانلود درایور آن است. برخی از وبسایت های مشهور که در معرض خطر هستند، در قسمت HTML و یا فایل های .js آنها، کدهای جاوا اسکریپت مخربی تزریق می شود.

injected 1024x785


در قطعه کد زیر یک نوع آلودگی جالب توجه را می توانید مشاهده نمایید.
2
گزارشهای این کد مربوط به 185.149.120[.]3 است و بنظر می رسد که در همان لحظه پاسخی نمی دهد.
•    مرورگر user-agent
•    ارجاع دهنده ها
•    کوکی از وبسایتهای بازدیده شده
•    نام دامنه وبسایت بازدید شده
Logic سمت سرور می تواند تشخیص دهد که آیا بازدیدکننده از موارد موردنظرش است یا خیر و سپس محتوا را به وبسایت اضافه کند. در این مورد، پنجره ای باز شده که در حال دانلود یک به روز رسانی برای فلش پلیر می باشد.
diskcoder 1024x687

زمانی که روی دکمه Install کلیک نمایید، دانلود یک فایل اجرایی از 1dnscontrol[.]com آغاز می شود. این فایل اجرایی install_flash_player.exe یک دارپر برای Win32/Diskcoder.D است.
در نهایت کامپیوتر قفل شده و پیغام باج را نمایش می دهد.


mbr cut
صفحه پرداخت
Screen Shot 2017 10 24 at 2.18.32 PM 1024x792
گسترش از طریق SMB


Win32/Diskcoder.D قادر به پخش از طریق SMB است. همینطور بر خلاف ادعای عموم، مانند باج افزار Not-Petya  یا Win32/Diskcoder.C از آسیب پذیری های EthernalBlue بهره گیری نمی کند بلکه ابتدا شبکه ی داخلی را برای وجود SMBهای اشتراکی مانند نمونه های زیر، بررسی می کند.
•    admin
•    atsvc
•    browser
•    eventlog
•    lsarpc
•    netlogon
•    ntsvcs
•    spoolss
•    samr
•    srvsvc
•    scerpc
•    svcctl
•    wkssvc
Mimikatz بر روی کامپیوتر آسیب دیده برای سوء برداشت از اعتبارات اجرا می شود. یک لیست کد شده از نام های کاربری و رمزهای عبور هم وجود دارد.

UsernamesPasswords
Administrator Administrator
Admin administrator
Guest Guest
User guest
User1 User
user-1 user
Test Admin
root adminTest
buh test
boss root
ftp 123
rdp 1234
rdpuser 12345
rdpadmin 123456
manager 1234567
support 12345678
work 123456789
other user 1234567890
operator Administrator123
backup administrator123
asus Guest123
ftpuser guest123
ftpadmin User123
nas user123
nasuser Admin123
nasadmin admin123Test123
superuser test123
netguest password
alex 111111
  55555
  77777
  777
  qwe
  qwe123
  qwe321
  qwer
  qwert
  qwerty
  qwerty123
  zxc
  zxc123
  zxc321
  zxcv
  uiop
  123321
  321
  love
  secret
  god


هنگامی که اعتبارات کارآمد یافت می شوند، فایل infpub.dat درون دایکتوری ویندوز قرار گرفته و از طریق SCManager و rundll.exe اجرا می شود.


رمزنگاری


Win32/Diskcoder.D ورژن اصلاح شده ی Win32/Diskcoder.C است. باگ های موجود در رمزنگاری فایل ها رفع شده است. در رمزنگاری از DiskCryptor استفاده می شود که یک نرم افزار Open source قانونی است و برای رمزنگاری کامل فایل بکار می رود.
کلیدها با استفاده از CryptGenRandom تولید می شوند و سپس با استفاده از یک کلید عمومی RSA 2048 کد می شوند.


توزیع


جالب توجه است، ESET Live Grid، نشان می دهد که اوکراین تنها 12.2 درصد از کل مواردی را که مشاهده کردیم شامل می شود، آمار به صورت زیر است :
روسیه 65درصد
اوکراین 12.2 درصد
بلغارستان 10.2 درصد
ترکیه 6.4 درصد
ژاپن 3.8 درصد
سایر 2.4درصد
این آمار به طور تقریبی با آمار توزیع وبسایت های آسیب دیده که شامل کد جاوا اسکریپت مخرب هستند، مطابقت دارد. اما چرا بنظر می رسد اوکراین بیش از سایرین آسیب دیده است؟
جالب است که به این نکته توجه کنیم که همه این شرکت های بزرگ همزمان آسیب دیده اند. ممکن است این گروه قبلا ردپایی در این شبکه ها داشته اند و  حمله از طریق حفره های امنیتی را در یک زمان شروع کرده اند. هیچ چیز نمی گوید که آنها بخاطر  به روزرسانی فلش پلیر آسیب دیده اند. ESET همچنان در حال بررسی این موضوع است و یافته های خود را منتشر خواهد کرد.


نمونه ها

SHA-1FilenameESET Detection nameDescription
79116fe99f2b421c52ef64097f0f39b815b20907 infpub.dat Win32/Diskcoder.D Diskcoder
afeee8b4acff87bc469a6f0364a81ae5d60a2add dispci.exe Win32/Diskcoder.D Lockscreen
413eba3973a15c1a6429d9f170f3e8287f98c21c   Win32/RiskWare.Mimikatz.X Mimikatz (32-bits)
16605a4a29a101208457c47ebfde788487be788d   Win64/Riskware.Mimikatz.X Mimikatz (64-bits)
de5c8d858e6e41da715dca1c019df0bfb92d32c0 install_flash_player.exe Win32/Diskcoder.D Dropper
4f61e154230a64902ae035434690bf2b96b4e018 page-main.js JS/Agent.NWC JavaScript on compromised sites


سرورهای C&C


وبسایت پرداخت : http://caforssztxqzf2nm[.]onion
URL  تزریق : http://185.149.120[.]3/scholargoogle/
URL توزیع : hxxp://1dnscontrol[.]com/flash_install.php

لیستی از وبسایت های آلوده :


•    hxxp://argumentiru[.]com
•    hxxp://www.fontanka[.]ru
•    hxxp://grupovo[.]bg
•    hxxp://www.sinematurk[.]com
•    hxxp://www.aica.co[.]jp
•    hxxp://spbvoditel[.]ru
•    hxxp://argumenti[.]ru
•    hxxp://www.mediaport[.]ua
•    hxxp://blog.fontanka[.]ru
•    hxxp://an-crimea[.]ru
•    hxxp://www.t.ks[.]ua
•        hxxp://www.otbrana[.]com
•    hxxp://calendar.fontanka[.]ru
•    hxxp://www.grupovo[.]bg
•    hxxp://www.pensionhotel[.]cz
•    hxxp://www.online812[.]ru
•    hxxp://www.imer[.]ro
•    hxxp://novayagazeta.spb[.]ru
•    hxxp://i24.com[.]ua
•    hxxp://bg.pensionhotel[.]com
•    hxxp://ankerch-crimea[.]ru
•    hxxp://most-dnepr[.]info   

hxxp://osvitaportal.com[.]ua

 

 

منبع : https://www.welivesecurity.com

 

افزودن دیدگاه جدید

نظر خودتان را ارسال کنید

کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفا وارد سایت شوید.

طراحی سایت طراحی سایت طراحی سایت طراحی سایت

کلیه حقوق این سایت محفوظ و متعلق به شرکت مهندسی تحقیق و توسعه ارتباط پانا می باشد.

گفتگوی آنلاین