بدافزاری مبتنی بر پایتون از NSA Exploit برای انتشار ماینر مونرو (XMR) استفاده می‌کند

در سال 2016 گروهی به نام «Shadow Broker» تعدادی از ابزارهای هک و نقص روز صفر را به طور عمومی منتشر کرد. این گروه وابسته به واحد عملیات آژانس امنیت ملی (NSA) بودند. سپس در 14 آپریل 2017 آن‌ها اکسپلویتی شامل ETERNALBLUE و ETERNALROMANCE منتشر کردند که نسخه‌های ویندوز XP/Vista/8. 1/7/10 و ویندوز سرور 2003/2008/2012/2016 را مورد هدف قرار داده بود. این اکسپلویت‌ها از CVE-2017-0144 و CVE-2017-0145 استفاده می‌کردند که با انتشار بولتن امنیتی MS17-010 توسط مایکروسافت، این نقص برطرف شد.
اکسپلویت‌های ETERNALBLUE و ETERNALROMANCE اجرای کد از راه دور (RCE) هستند که از پروتکل اشتراک فایل SMBv1 استفاده می‌کنند. اشتراک فایل از طریق SMB به صورت معمول فقط در شبکه محلی انجام می‌شود اما بسیاری از سازمان‌ها SMBv1 را در معرض اینترنت قرار داده‌اند و در نتیجه حملاتی مشابه WannaCry و NotPetya از این اکسپلویت‌ها استفاده می‌کنند.
امروزه با درخواست‌های زیاد ارزهای دیجیتال، محققان دریافته‌اند که نویسندگان بدافزار از اکسپلویت ETERNALBLUE در بدافزار استخراج ارز دیجیتال مانند Adylkuzz، Smominru و WannaMine استفاده می‌کنند.
اخیراً آزمایشگاه FortiGuard یک بدافزار استخراج ارز دیجیتال مبتنی بر پایتون یافته است که از اکسپلویت ETERNALROMANCE استفاده می‌کند و PyRoMine نام دارد. در این مقاله تجزیه و تحلیل این بدافزار را برای شما فراهم کرده‌ام و نشان می‌دهم چطور این اکسپلویت در ماشین‌های ویندوزی آسیب‌پذیر پخش می‌شود.

PyRoMine
در اصل من از طریق نشانی hxxp: //212. 83. 190. 122/server/controller. zip، جایی که بدافزار در قالب یک فایل zip قابل دانلود است شروع کردم. این فایل شامل یک فایل اجرایی کامپایل شده توسط PyInstaller است. PyInstaller برنامه‌ای است که برنامه‌های نوشته شده به زبان پایتون را تبدیل به یک پکیج اجرایی مستقل تبدیل می‌کند که برای اجرا نیازی به نصب پایتون روی ماشین ندارند.
به منظور استخراج و تجزیه و تحلیل اسکریپت پایتون و پکیج‌هایی که استفاده می‌کند من از ابزار در PyInstaller به نام pyi-archive_viewer استفاده کردم و با کمک آن قادر بودم فایل اصلی که در این نمونه Controller نام دارد را استخراج کنم.


شکل 1:  pyi-archive_viewer فایل‌ها موجود در این پکیج را نمایش می‌دهد.

سپس فایل Controller را با دستور X کپی‌برداری کردم.

شکل 2: کپی‌برداری فایل مشخص شده با دستور X

فایل استخراج شده یک فایل. PYC است که حاصل کامپایل کد پایتون است. زمانی که یک اسکریپت پایتون (. PY) اجرا شود، پایتون قبل از اجرا اسکریپت را به کد بایتی کامپایل شده (. PYC) تبدیل می‌کند. برای دی‌کامپایل کردن کد، از ابزار uncompyle6 استفاده کردم. با این وجود اجرای uncompyle6 با فایل بدافزار به عنوان پارامتر خطای زیر را به دنبال داشت:
“ImportError: Unknown magic number 99 in controller. pyc”

 
شکل 3: خطای Unknown magic number

دلیل این خطا نبودن magic value در header فایل استخراج شده است. یک کد کامپایل شده پایتون 2. 7 با بایت 03 F3 0D 0A شروع می‌شود و در در ادامه یک تایم استمپ 4 بایتی دارد. من با افزودن این 8 بایت به اول فایل خطا را برطرف کردم. بعد از افزودن این 8 بایت توانستم فایل را به درستی دی‌کامپایل کنم.
 
شکل 4: فایل دی‌کامپایل شده

با توجه به اسکریپت، مشخص است که کد از اجرای ETERNALROMANCE، که در وبسایت پایگاه داده اکسپلویت پیدا می‌شود، کپی برداری شده و تغییرات مورد نیاز روی آن اعمال شده است. این بدافزار نشانی‌های IP محلی را به منظور یافتن زیرشبکه (‌ها) دریافت می‌کند سپس از طریق همه این IPها خود را در زیرشبکه‌ها تکرار می‌کند.
 
شکل 5: هدف قرار دادن آدرس‌های IP موجود در یک نام میزبان مشابه

در حالی که ETERNALROMANCE نیاز به احراز هویت دارد، اما حتی برای یک حساب کاربری میهمان اکسپلویت دسترسی‌های سیستمی را به مهاجم می‌دهد. در نمونه‌های تجزیه و تحلیل شده (شکل 5، بالا) تابع اکسپلویت با پارامتر از نوع "internal" فراخوانی می‌شود. در شکل 6، تابع اکسپلویت بررسی نمی‌کند که نوع "internal" یا نه، فقط بررسی می‌کند که از نوع "Anonymous" نباشد. اگر از نوع ناشناس یا Anonymous نباشد، تلاش می‌کند با نام کاربری Default و کلمه عبور P@ssw0rdf0rme به ماشین هدف وارد شود. اگر تلاش ناموفق بود، ورود ناشناس را امتحان می‌کند. از آنجا که internal ناشناس نیست، پس تلاش می‌کند با اعتبار گفته شده با نام کاربری و کلمه عبور خالی وارد شود.
 
شکل 6: ورود به ماشین هدف با نام کاربری و کلمه عبور

با وجود این که اعتبارهای مختلف قابل رؤیت هستند، اما به نظر می‌رسد در این نسخه استفاده نمی‌شوند، اگر چه ممکن است در آینده استفاده شود. همان طور که در شکل 6 (بالا) می‌بینید، نام متغیرهای user و password توسط تابع conn. login () فراخوانی نمی‌شوند.
 
شکل 7: سایر اعتبارها

همان طور که احتمالاً متوجه شده‌اید، شانس استفاده یک ماشین از نام کاربری Default و کلمه عبور P@ssw0rdf0rme بسیار اندک است، بنابراین چرا این اعتبار برای ورود غیرناشناس استفاده شده است؟ یکی از کامپوننت‌های این بدافزار یک حساب کاربری به نام Default با رمز عبور P@ssw0rdf0rme در سیستم ایجاد می‌کند که در ادامه این مقاله توضیح خواهم داد. من فکر می‌کنم هدف اصلی از افزودن این حساب کاربری برای آلوده‌سازی مجدد و حملات بعدی است. اگر چه آلوده کردن برای اولین بار حتی بدون حساب کاربری جدید Default و با استفاده از ورود ناشناس ممکن است.

سپس payload این اکسپلویت یک VBScript را از نشانی زیر دریافت و اجرا می‌کند:
hxxp: //212. 83. 190. 122/server/agent. vbs

شکل 8: VBScript از URL مخرب دریافت و اجرا می‌شود.

VBScript دانلود شده
فایل agent. vbs مسئول دانلود و شروع فایل ماینر و تنظیم سیستم است.

فایل vbs مخرب، اکانت Default را با رمز عبور P@ssw0rdf0rme می‌سازد و این حساب را در گروه‌های محلی Administrators، Remote Desktop Users و Users اضافه می‌کند. سپس RDP را فعال می‌کند و یک rule در فایروال ایجاد می‌کند که ترافیک RDP روی پورت 3389 مجاز باشد. همچنین سرویس به روزرسانی ویندوز را متوقف می‌کند و سرویس Remote Access Connection Manager را راه‌اندازی می‌کند. سپس Windows Remote Management Service را تنظیم می‌کند تا بتواند احراز هویت ساده را انجام دهد و اجازه دهد داده‌های encrypt نشده منتقل شوند. همچنین ماشین را برای حملات احتمالی بعدی باز می‌کند.

 شکل 9: تنظیم ماشین برای حملات بعدی

سپس فایل ماینر را دانلود می‌کند، xmrigMiner32. zip یا xmrigMiner64. zip بسته به معماری پردازنده از نشانی URL hxxp: //212. 83. 190. 122/server دانلود می‌شود.
 
شکل 10: دانلود فایل ماینر بسته به معماری پردازنده
 
شکل 11: آرشیو دانلود شده شامل چند فایل مختلف است

فایل shcm. exe شامل یک VBScript است که سرویس‌ها را متوقف، غیرفعال و حذف می‌کند و کابران شبکه و فایل‌ها را پاک می‌کند و پردازش‌ها متوقف می‌کند. همان طور که در شکل زیر مشاهده می‌شود:

شکل 12: shcm. exe سرویس‌ها را متوقف، غیرفعال و حذف می‌کند


شکل 13: shcm. exe کاربران شبکه را حذف می‌کند

 
شکل 14: shcm. exe فایل‌ها را حذف می‌کند

 
شکل 15: shcm. exe پردازش‌ها را متوقف می‌کند

فایل‌های rmsg. exe و svcm. exe هم شامل VBScriptهایی هستند که به عنوان نگهبان عمل می‌کنند تا مطمئن شوند همه فایل‌ها در حال اجرا هستند.
 
شکل 16: نگهبانان مطمئن می‌شوند همه فایل‌ها در حال اجرا هستند

فایل WinSvcMan. exe ماینر اصلی است که توسط svchost. exe به عنوان سرویس SmbAgentService شناخته می‌شود. فایل svchost. exe در حقیقت یک NSSM (Non-Sucking Service Manager) اجرایی است.
 
شکل 17: فایل ماینر به عنوان سرویس Non-Sucking Service Manager ثبت شده است

در حقیقت فایل ماینر XMRig است که یک ماینر CPU با عملکرد بالا Monero (XMR) است.
 
شکل 18: XMRig 2. 5. 2

همان طور که از این مقاله مشخص است، یکی از Address Poolهای استفاده شده در این بدافزار در حال حاضر 2. 4 Monero پرداخت شده است. همان طور که در شکل 19 دیده می‌شود در حال حاضر 650 دلار ارزش دارد. با این حال این فقط یک نمونه است و ما مطمئن نیستیم که تهدید کننده در مجموع چه مقدار سود کرده است.  
 
شکل 19: درآمد مربوط به آدرس Monero مورد استفاده توسط PyRoMine

مکانیسم شروع خودکار
این بدافزار نیز یک فایل BAT به نام help. bat ایجاد می‌کند که فایل shcm. exe را اجرا می‌کند. سپس یک وظیفه برنامه‌ریزی شده برای اجرای فایل BAT به نام ONSTART را ایجاد می‌کند. اجرای shcm. exe باعث اجرای همه فایل‌ها از جمله فایل ماینر می‌شود.
 
شکل 20: مکانیزم شروع خودکار

چرا مونرو؟
دو دلیل ممکن است وجود داشته باشد که چرا توسعه دهندگان بدافزار مونرو را از میان ارزهای دیجیتالی مانند بیت‌کوین انتخاب کرده‌اند.
اولاً الگوریتم استخراج مونرو برای رایانه‌های معمولی طراحی شده و نیازی به GPU ندارد، بنابراین اهداف بالقوه بیشتری دارد. دلیل دوم وعده مونرو برای تبادلات مالی ناشناس است.

نتیجه
PyRoMine اولین ماینر ارز دیجیتال نیست که از اکسپلویت‌های لو رفته NSA برای گسترش استفاده می‌کند. ماشین‌های ویندوزی که اصلاحیه را از مایکروسافت نصب نکرده‌اند کماکان در معرض خطر حملات مشابه هستند. این بدافزار یک تهدید واقعی است، زیرا نه تنها از ماشین برای استخراج ارز دیجیتال استفاده می‌کند بلکه دستگاه را برای حملات احتمالی آینده باز می‌کند، زیرا سرویس RDP فعال می‌شود و سرویس‌های امنیتی را غیرفعال می‌کند.
FortiguardLabs انتظار دارد این بدافزار همچنان به سوءاستفاده از اکسپلویت‌های NSA ادامه دهد تا توانایی خود را برای حمله به سیستم‌های آسیب‌پذیر را ارتقا دهد و سود بیشتری به دست آورد.

راه حل:
به کاربران توصیه می‌شود اصلاحیه منتشر شده توسط مایکروسافت برای CVE-2017-0144 و CVE-2017-0145 را نصب کنند.

 



CAPTCHA
دفعات مشاهده: 9342 بار   |   دفعات چاپ: 1128 بار   |   دفعات ارسال به دیگران: 0 بار   |   0 نظر