WannaMine همچنان در حال گسترش است

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

WannaMine همچنان در حال گسترش است
تاریخ انتشار : شنبه ۳۱ شهريور ۱۳۹۷ ساعت ۱۵:۰۰

بدافزار بدون فایل مبتنی بر PowerShell به نام WannaMine پس از یک‌سال همچنان در حال گسترش است

 q946

حملات واناکرای که برای نخستین‌بار در ماه می ۲۰۱۷ اتفاق‌افتاد از اکسپلویت EternalBlue استفاده می‌کرد. اکسپلویت EternalBlue که از پروتکل اشتراک‌گذاری پرونده‌های شبکه سرور (SMB) در سیستم‌عامل ویندوز برای انتقال در شبکه‌ها بهره می‌برد، موجب نشت اطلاعات می‌شود. این اکسپلویت در بدافزارهای دیگری ازجمله NotPetya و Adylkuzz نیز مورد استفاده قرار گرفته‌است. از این اکسپلویت در یک کرم کاوشگر ارز دیجیتالی Monero به نام WannaMine (یک بدافزار بدون فایل مبتنی بر PowerShell) نیز استفاده شده‌است.

بدافزار WannaMine پس از یک‌سال همچنان در حال گسترش است. پژوهشگران امنیتی در Cybereason، اخیرا پژوهشی را در مورد حمله به یکی از مشتری‌های خود منتشر کرده‌اند که طبق آن این بدافزار تعداد زیادی از دامنه‌ها را پس از دسترسی از طریق سرور SMB، آلوده می‌کند. این بدافزار بدون‌فایل است و از اسکریپت‌های PowerShell گرفته شده از سرورهای راه دور استفاده می‌کند تا مولفه‌های خود را اجرا کند. بدافزار از دستوراتی برای دانلود یک فایل‌ حجیم حاوی متن‌های کد شده با Base64 در سرور آلوده استفاده می‌کند. فایل‌ به حدی حجیم است که ابزارهای ویرایش متن برای باز کردن این فایل‌ دچار مشکل می‌شود. درون این فایل، کدهای PowerShell دیگری ازجمله یک نسخه PowerShell ابزار سرقت اطلاعات احراز هویت Mimikatz وجود دارد. همچنین یک کامپایلر NET. نیز در آن وجود دارد.

بدافزار فعالیت‌های مختلفی را در سیستم قربانی انجام می‌دهد، ازجمله تشخیص نوع سیستم‌عامل (۳۲ یا ۶۴ بیتی بودن)، ایجاد تنظیماتی در جهت ماندگاری بدافزار، راه‌اندازی بدافزار بعد از روشن شدن سیستم آلوده، جلوگیری از رفتن به حالت Sleep در سیستم آلوده، تخلیه پورت‌های ۳۳۳۳، ۵۵۵۵ و ۷۷۷۷ برای اطمینان از عدم کاوش ارز دیجیتال در سیستم آلوده و درخواست اتصال به پورت ۱۴۴۴۴ برای انجام کارهای مربوط به کاوش ارز دیجیتال.

گفته می‌شود که WannaMine همچنان از برخی سرورهای مشابه که در ابتدا با آن ارتباط داشته‌است، استفاده می‌کند. برخی از این سرورهای فرمان و کنترل عبارت‌اند از:
•  ۱۱۸,۱۸۴.۴۸.۹۵ 
•  ۱۰۴,۱۴۸.۴۲.۱۵۳ 
•  ۱۰۷,۱۷۹.۶۷.۲۴ 
•  ۱۷۲,۲۴۷.۱۱۶.۸
•  ۱۷۲,۲۴۷.۱۶۶.۸۷
•  ۴۵,۱۹۹.۱۵۴.۱۴۱ 
مرجع : مرکز مدیریت راهبردی افتا