انتشار بدافزار پیشرفته Lemon_Duck در سطح کشور

در هفته‌های اخیر گزارش‌های متعددی مبنی بر اجرای حملات موسوم به رمز ربایی بر ضد سازمان‌های ایرانی به شرکت مهندسی شبکه گستر واصل شده است. در جریان این حملات با بکارگیری بدافزار پیشرفته Lemon_Duck دستگاه به کنترل مهاجمان در آمده و از منابع آن به‌منظور استخراج ارز رمز بهره گرفته می‌شود. این حملات حرفه‌ای و کاملاً سازمان‌یافته بوده و گردانندگان آن به‌طور مستمر در حال تکامل تکنیک‌های مورد استفاده خود هستند.

در ارز رمزها (Cryptocurrency)، فرایندی با عنوان استخراج (Mining) وجود دارد که یکی از اصلی‌ترین وظایف آن تأیید اطلاعات تبادل شده در شبکه این واحدهای پولی است. فرایند استخراج مستلزم فراهم بودن توان پردازشی بسیار بالاست. در نتیجه شبکه ارز رمز نیز در قبال تلاشی که برای این پردازش‌ها انجام می‌شود به استخراج‌کنندگان پاداشی اختصاص می‌دهد. از همین رو، برخی افراد نیز با بکارگیری برنامه‌های استخراج‌کننده (Miner) تلاش می‌کنند تا در ازای استخراج ارز رمز، مشمول پاداش شبکه ارز رمز شوند. اما با توجه به نیاز به توان پردازش بالا، انجام استخراج می‌تواند یک سرمایه‌گذاری هزینه‌بر برای استخراج‌کننده باشد. به همین خاطر در حملات موسوم به رمز ربایی (Cryptojacking)، استخراج‌کننده بدخواه با آلوده کردن دستگاه‌ دیگران به بدافزارهای ویژه استخراج، از توان پردازشی آنها به نفع خود بهره‌گیری می‌کند. در حقیقت در رمز ربایی، این مهاجمان هستند که همه منافع حاصل از استخراج را بدون هر گونه سرمایه‌گذاری کسب می‌کنند؛ در حالی که دستگاه قربانی انجام‌دهنده امور اصلی بوده‌ است.

مهاجمان حملات اخیر از مجموعه‌ای از تکنیک‌های پیشرفته از جمله اجرای “بدون فایل” (Fileless) بدافزار و با سوءاستفاده از آسیب‌پذیری‌های امنیتی در کنار بهره‌گیری از ابزارهای کد باز (Open Source) به سرعت کد مخرب را در سطح شبکه توزیع می‌کنند.

Lemon_Duck از جمله بدافزارهایی است که نقشی بسیار کلیدی در اجرای موفق این حملات دارد. وجود متغیری با عنوان “Lemon_Duck$” در اسکریپت بدافزار که به زبان Python نوشته شده دلیل انتخاب این نام بوده است. روش اجرای‌ Lemon_Duck، “بدون فایل” بوده و معمولاً از طریق پروسه معتبر PowerShell به اجرا در می‌آید. در تکنیک موسوم به “بدون فایل”، هدف، ماندگار کردن کد مخرب بدافزار بدون ذخیره آن به‌صورت فایل بر روی دیسک سخت است. با توجه به اینکه نرم‌افزارهای ضدویروس سنتی صرفاً اقدام به بررسی فایل‌ها در زمان نوشته شدن بر روی دیسک سخت و خوانده شدن از روی آن می‌کنند این روش می‌تواند براحتی این سد دفاعی را در هم بشکند. ضمن اینکه با توجه به عدم وجود فایل مخرب بر روی دستگاه، تشخیص آلوده بودن آن حتی توسط مهندس تحلیلگر بدافزار نیز بسیار دشوار می‌شود.

در جریان حملات اخیر، فهرستی از نشانی‌های IP به‌صورت تصادفی ایجاد شده و پس از مورد هدف قرار دادن آنها، قابل دسترس بودن درگاه‌های زیر بر روی آن دستگاه‌ها بررسی می‌شود:

  • 445/TCP (درگاه پیش‌فرض SMB)
  • 1433/TCP (درگاه پیش‌فرض MS-SQL)
  • 65529/TCP (درگاهی که توسط Lemon_Duck بر روی دستگاه‌های آلوده شده به این بدافزار باز می‌شود.)

در ایجاد نشانی‌های تصادفی از قالب‌های زیر الگوبرداری شده است:

‘192.168.0’, ‘192.168.1’, ‘192.168.2’, ‘192.168.3’, ‘192.168.4’, ‘192.168.5’, ‘192.168.6’, ‘192.168.7’, ‘192.168.8’, ‘192.168.9’, ‘192.168.10’, ‘192.168.18’, ‘192.168.31’, ‘192.168.199’, ‘192.168.254’, ‘192.168.67’, ‘10.0.0’, ‘10.0.1’, ‘10.0.2’, ‘10.1.1’, ‘10.90.90’, ‘10.1.10’, ‘10.10.1’

در صورت باز بودن درگاه 445، بدافزار از طریق PingCastle آسیب‌پذیر بودن دستگاه هدف به بهره‌جوی EternalBlue را مورد بررسی قرار می دهد. ماجرای EternalBlue به حدود 3 سال قبل و انتشار اسناد محرمانه‌ای باز می‌گردد که در جریان آن فایل‌های سرقت شده از یک گروه نفوذگر حرفه‌ای با نام Equation که وابستگی اثبات شده‌ای به “سازمان امنیت ملی” دولت آمریکا (NSA) دارد توسط گروه Shadow Brokers بر روی اینترنت به اشتراک گذاشته شدند. در بین این فایل‌ها، بهره‌جو‌هایی به چشم می‌خوردند که از یک ضعف امنیتی روز صفر در بخش سیستم عامل Windows که به EternalBlue موسوم شد سوءاستفاده می‌کردند. یک ماه پیش از درز این اطلاعات شرکت مایکروسافت اقدام به عرضه اصلاحیه‌ای با شناسه MS17-010 به‌منظور ترمیم آسیب‌پذیری مذکور نموده بود. باج‌افزار WannaCry از جمله بدافزارهایی بوده است که با بهره‌جویی از آسیب‌پذیری مذکور در مدتی کوتاه صدها هزار دستگاه را در سرتاسر جهان به خود آلوده کرد. با این حال تداوم بهره‌جویی مهاجمان از این آسیب‌پذیری به معنای عدم توجه بسیاری از کاربران و راهبران شبکه نسبت به لزوم نصب اصلاحیه‌های امنیتی است.

چنانچه درگاه 1433 بر روی دستگاه هدف باز باشد بدافزار اقدام به اجرای حملات موسوم به سعی‌وخطا (Brute-force) جهت رخنه به سرویس‌دهنده MS-SQL نصب شده بر روی دستگاه می‌کند. برای این منظور Lemon_Duck با بکارگیری رمزهای عبور زیر و همچنین مجموعه‌ای از درهم‌ساز (Hash)و NTLM تلاش می‌کند تا حساب کاربری sa در سرویس Microsoft SQL را هک کند. فهرست این رمزهای عبور به شرح زیر است:

“saadmin”, “123456”, “password”, “PASSWORD”, “123.com”, “admin@123”, “Aa123456”, “qwer12345”, “Huawei@123”, “123@abc”, “golden”, “123!@#qwe”, “1qaz@WSX”, “Ab123”, “1qaz!QAZ”, “Admin123”, “Administrator”, “Abc123”, “Admin@123”, “999999”, “Passw0rd”, “123qwe!@#”, “football”, “welcome”, “1”, “12”, “21”, “123”, “321”, “1234”, “12345”, “123123”, “123321”, “111111”, “654321”, “666666”, “121212”, “000000”, “222222”, “888888”, “1111”, “555555”, “1234567”, “12345678”, “123456789”, “987654321”, “admin”, “abc123”, “abcd1234”, “abcd@1234”, “abc@123”, “p@ssword”, “P@ssword”, “p@ssw0rd”, “P@ssw0rd”, “P@SSWORD”, “P@SSW0RD”, “P@w0rd”, “P@word”, “iloveyou”, “monkey”, “login”, “passw0rd”, “master”, “hello”,  “qazwsx”, “password1”, “qwerty”, “baseball”, “qwertyuiop”, “superman”, “1qaz2wsx”, “f—ckyou”, “123qwe”,  “zxcvbn”, “pass”, “aaaaaa”, “love”, “administrator”, “qwe1234A”, “qwe1234a”, “123123123”, “1234567890”, “88888888”, “111111111”, “112233”, “a123456”, “123456a”, “5201314”, “1q2w3e4r”, “qwe123”, “a123456789”, “123456789a”, “dragon”, “sunshine”, “princess”, “!@#$%^&*”, “charlie”, “aa123456”, “homelesspa”, “1q2w3e4r5t”, “sa”, “sasa”, “sa123”, “sql2005”, “sa2008”, “abc”, “abcdefg”, “sapassword”, “Aa12345678”, “ABCabc123”, “sqlpassword”, “sql2008”, “11223344”, “admin888”, “qwe1234”, “A123456”

به‌محض موفقیت در هک حساب کاربری مذکور، بدافزار با استفاده از پروسه sqlserver.exe فرامین مخرب را بر ضد ماشین‌های دیگر اجرا می‌کند.

‌همچنین Lemon_Duck با بهره‌جویی از آسیب‌پذیری CVE-2017-8464 فایل‌های میانبر (LNK) و DLL مخرب را بر روی حافظه‌های جداشدنی (Removable Storage) متصل به دستگاه آلوده و در درایوهای اشتراکی موسوم به Map کپی می‌کند. باز کردن درایو منجر به اجرای فایل DLL مخرب و آلوده شدن دستگاه می‌شود.

بر روی سیستم آلوده، Lemon_Duck سطح دسترسی کاربر جاری را مورد بررسی قرار داده و چنانچه کاربر دارای دسترسی Administrator باشد، بدافزار ماژول PowerDump و ابزار Mimikatz را برای رونوشت برداشتن از درهم‌سازهای NTLM، نام کاربری، رمز عبور و اطلاعات دامنه (Domain) اجرا می‌کند. در ادامه، Lemon_Duck با مجوز این اطلاعات اصالت‌سنجی فایل‌های مخرب را در کنار فایل Batch یا LNK مرتبط با آنها در پوشه %Startup% ماشین‌های قابل دسترس در بستر شبکه کپی کرده یا PowerShell را به‌صورت از راه دور با استفاده از WMI اجرا می‌کند.

بدافزار Lemon_Duck با پویش سرورهای قابل دسترس که درگاه پیش‌فرض Remote Desktop Protocol – به اختصار RDP – و(3389/TCP) بر روی آنها باز است می‌کوشد تا با نام کاربری administrator و امتحان کردن فهرستی از رمزهای عبوری که در کد بدافزار تزریق شده از طریق ابزار کد باز FreeRDP بر روی این پودمان به دستگاه مقصد وارد شود. در صورت موفقیت در ورود، فرمان مخرب بر روی دستگاه اجرا می شود.

همچنین در مواردی پس از آلوده شدن دستگاه، بدافزار یک حساب کاربری جدید با نام k8h3d و رمز عبور k8d3j9SjfS7 ایجاد می‌شود. در مواقعی نیز رمز عبور sa توسط Lemon_Duck به sEqgIBKy تغییر می‌کند.

چنانچه ماشین با هر یک از روش‌های مورد اشاره در بالا آلوده شد، بدافزار تنظیمات دیواره آتش را تغییر داده و درگاه 65529/TCP را بر روی آن باز می‌کند. Lemon_Duck از آن به عنوان علامتی از آلوده بودن دستگاه استفاده می‌کند.

شایان ذکر است که در صورت مسدود شدن برخی از اسکریپت‌ها و فایل‌ها، Lemon_Duck مشابه با بدافزارهای DNS Changer، نشانی‌های DNS و فایل Hosts دستگاه را مورد دست‌درازی قرار می‌دهد.

با استفاده از سازوکار فرامین زمانبندی‌شده (Scheduled Task) در Windows، نسخ جدید اسکریپت‌های مخرب بدافزار در بازه‌های زمانی حدوداً یک ساعته دریافت و اجرا می‌شوند. اسکریپت دانلود شده خود را با یک درهم سازی که در کد آن درج شده پیش از اجرا اعتبارسنجی می‌کند. در صورت موفق بودن، اسکریپت اقدام به دریافت کد مخرب دیگری که وظیفه آن استخراج ارز رمز مونرو بر روی دستگاه قربانی است می‌کند. عناوین این فرامین به شرح زیر است:

  • \Microsot\Windows\Bluetool
  • \Microsot\Windows\Bluetooths
  • Autocheck
  • Autostart
  • Escan
  • Ddriver

نام و مسیر نمونه‌هایی از فایل‌های مخرب ایجاد شده توسط Lemon_Duck در زیر فهرست شده است:

  • C:\windows\temp\tmp.vbs
  • C:\windows\temp\p.bat
  • C:\Windows\mkatz.ini
  • C:\Windows\Temp\mkatz.ini
  • C:\Windows\m.ps1
  • C:\Windows\Temp\m.ps1
  • C:\Windows\m2.ps1C:\Windows\Temp\m2.ps1
  • C:\Windows\Temp\svhhost.exe
  • C:\Windows\Temp\svvhost.exe
  • C:\Windows\Temp\svchost.exe
  • C:\Windows\Temp\ipc.txt
  • C:\Windows\Temp\hash.txt
  • C:\Windows\Temp\eb.txt
  • C:\Windows\system32\svhost.exe
  • C:\Windows\SysWOW64\svhost.exe
  • C:\Windows\system32\drivers\svhost.exe
  • C:\Windows\SysWOW64\drivers\svhost.exe

موارد زیر از جمله نکاتی است که با رعایت آنها می‌توان سازمان را از گزند این بدافزار مخرب ایمن نگاه داشت:

  • استفاده از رمزهای عبور پیچیده، هک نشده و غیرتکراری برای حساب‌های کاربری محلی (Local) و تحت دامنه (Domain)، به ویژه حساب‌های با سطح دسترسی Administrator
  • محدود کردن سطح دسترسی کاربران
  • مدیریت سخت‌گیرانه سطوح دسترسی اعمال شده بر روی پوشه‌های اشتراکی
  • پرهیز از قابل دسترس کردن سرویس‌های حساسی نظیر MS-SQL و Domain Controller در بستر اینترنت یا حداقل مقاوم سازی آنها
  • غیرفعال کردن پودمان RDP یا حداقل تغییر درگاه پیش‌فرض آن
  • بکارگیری محصولات موسوم به Device Control و مسدودسازی حافظه‌های جداشدنی
  • اطمینان از نصب بودن اصلاحیه‌های امنیتی بر روی تمامی دستگاه‌ها
  • ارتقای سیستم‌های عامل از رده خارج
  • استفاده از دیواره آتش در درگاه شبکه
  • بهره گیری از محصولات امنیتی پیشرفته و فعالسازی سیاست‌های مقابله با بدافزارهای بدون فایل – مشترکین محصولات مک‌آفی و بیت‌دیفندر در ایران می توانند برای دریافت سیاست‌های مربوطه با گروه پشتیبانی شرکت مهندسی شبکه گستر تماس حاصل کنند.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *