نگاهی به بدافزار مخرب Dilemma

21 خرداد 1401، مرکز مدیریت راهبردی افتا با انتشار اطلاعیه‌ای از شناسایی یک بدافزار جدید با نام Dilemma در زیرساخت‌های کشور خبر داد [1]. در این مطلب، نگاهی گذرا به پیشینه و عملکرد این بدافزار مخرب انداخته‌ایم.

پیشینه

Dilemma بدافزاری با عملکرد Wiper است. این نوع بدافزارها با رونویسی بخش MBR و در برخی موارد فایل‌ها عملاً موجب از کار افتادن دستگاه و معدوم شدن اطلاعات ذخیره شده بر روی آن می‌شوند.

 

هر چند نمونه‌هایی از باج‌افزارها نیز بجای رمزگذاری فایل‌ها، اقدام به رمزنگاری بخش MBR می‌کنند اما در بسیاری از موارد آن چه مهاجمان انجام می‌دهند نه رمزنگاری که معدوم‌سازی کامل MBR است. برای مثال، درسال 1395 بدافزار NotPetya توانست تعداد زیادی دستگاه را در کشورهای مختلف از جمله اوکراین دچار اختلال کند. اگر چه پیام نمایش داده شده بر روی دستگاه‌های آلوده به NotPetya تداعی‌کننده حمله‌ای باج‌افزاری بود اما بررسی‌های بیشتر نشان داد که این بدافزار فاقد هر گونه سازوکار برای بازگرداندن اطلاعات بوده و هدف آن صرفاً از کاراندازی دستگاه‌های سازمان‌های قربانی بوده است [2].

 

گردانندگان این حملات، قربانیان خود را به‌صورت کاملاً هدفمند انتخاب می‌کنند. فرایند نفوذ و آلوده‌سازی نیز معمولاً محدود به چند ساعت و حتی چند روز نبوده و در مواردی هفته‌ها زمان برده است [3]. هدف، شناسایی دقیق سرورهای حاوی اطلاعات حساس و در نتیجه وارد آوردن حداکثر خسارت و البته جلب بیشترین توجه است.

 

گزارش‌های منتشر شده از سوی نهادها و شرکت امنیتی در خصوص حملات چند سال اخیر نشان می‌دهد که گسترش دامنه نفوذ و توزیع بدافزار در سطح شبکه در بسیاری موارد مشابه بوده است [1][4][5][6]. برای مثال در اکثر موارد فایل‌های Batch و فرامین Scheduled Task علیرغم سادگی ماهیت آنها نقشی کلیدی در حمله داشته‌اند.

 

همچنین مهاجمان این گونه حملات تلاش می‌کنند تا با اعمال تغییرات مکرر بر روی فایل‌های مخرب خود احتمال شناسایی آنها توسط محصولات امنیتی را به حداقل برسانند.

نسخه اخیر

بدافزار با عملکرد Wiper که در اطلاعیه اخیر مرکز مدیریت راهبردی افتا به آن اشاره شده فایلی با نام dilemma.exe و مشخصات زیر است:

File Description: Dilemma
File Version: 1.0.0.0
Internal Name: dilemma.exe
Original Filename: dilemma.exe
Copyright: Copyright 2020
Product Name: Dilemma de modify
Product Version: 1.0.0.0
SHA-1: 2ce90ab46c620f84dfb36a3e97ae8f27122b142a

در برخی حملات پیشین، مهاجمان از نام msdskint.exe برای پروسه این بدافزار استفاده کرده بودند [5].

Dilemma علاوه بر معدوم‌سازی بخش MBR اقدام به رونویسی فایل‌ها نیز می‌کند.

این بدافزار در یکی از سه حالت زیر قابل اجرا است:

 

  • default – در این حالت هر فایل به بخش‌های 1024 بایتی تقسیم شده و بدافزار 200 بایت از هر کدام از این بخش‌ها را رونویسی می‌کند؛
  • light-wipe – تنها به تعداد تعیین‌شده در پارامتر مربوطه بخش‌های فایل را مورد دست‌درازی قرار می‌دهد؛
  • full_purge – کل محتوای فایل را رونویسی می‌کند.

 

پروسه Dilemma از طریق پارامترهای زیر قابل فراخوانی است:

پارامتر

شرح

mbr

فعالسازی فلگ معدوم‌کننده MBR

fork-bomb

اجرای دو Instance دیگر از Wiper

sessions

متوقف کردن Session سایر کاربران بر روی دستگاه

delete-users

حذف نام کاربری افراد مورد نظر از طریق فرمان net user

break-users

رونویسی کردن گذرواژه نام‌های کاربری مورد نظر

logs

حذف سوابق Windows Event Log

passwords

در حال حاضر فاقد عملکرد

shadows

معدوم‌سازی رونوشت‌های موسوم به Shadow Copies

start-iis

اجرای سرویس IIS از طریق پروسه iisreset

stop-iis

متوقف کردن سرویس IIS از طریق پروسه iisreset

config

استخراج تنظیمات از فایل معرفی شده

light-wipe

معدوم کردن بخشی از فایل به میزان تعیین شده به همراه مؤلفه

wipe-exclude

پوشه‌های معرفی شده به همراه این مؤلفه از گزند Wiper در امان خواهند بود

delete

پس از رونویسی، فایل از روی دستگاه حذف خواهد شد

processes

پروسه‌های تعیین شده را توسط فرمان taskkill حذف خواهد کرد

wipe-stage-2

فایل‌ها را با روش پیش‌فرض رونویسی کرده و سپس حذف می‌کند

purge

کل فایل – و نه فقط بخشی از آن – را رونویسی می‌کند

wipe-only

فایل‌های تعیین شده را رونویسی می‌کند

wipe-all

تمامی فایل‌ها را رونویسی می‌کند

 

برای مثال، در جریان یکی از این حملات مهاجمان از طریق پارامترهای زیر اقدام به مستثنی‌سازی مسیرهای مرتبط با ضدویروس سیمانتک کرده بودند تا دست‌درازی به فایل‌های آن موجب حساسیت این محصول امنیتی نشود:

“-wipe-exclude”, “C:\\\\Program Files\\\\Symantec*”
“-wipe-exclude”, “C:\\\\Program Files (x86)\\\\Symantec*”

 

نکته قابل توجه این که مهاجمان پیش از معدوم‌سازی MBR و فایل‌ها از طریق بدافزارهای دیگر اقدام به سرقت اطلاعات می‌کنند.

 

مقابله

 

همان طور که اشاره شد که گردانندگان این حملات هدفمند با صرف زمان و منابع قابل‌توجه سعی در به حداکثر رساندن خسارات به سازمان قربانی را دارند. رعایت موارد زیر می‌تواند شانس موفقیت این تبهکاران سایبری را به حداقل برساند:

 

  • بکارگیری محصولات امنیت نقاط پایانی قدرتمند و به‌روز
  • محدودسازی سطوح دسترسی
  • بهره‌گیری از دیواره آتش با قواعد سخت‌گیرانه
  • اطمینان از نصب کامل اصلاحیه‌های امنیتی
  • اعمال سیاست‌های سخت‌گیرانه در خصوص گذرواژه تمامی نام‌های کاربری
  • رصد و بررسی هر گونه رخداد مشکوک یا غیرعادی به خصوص بر روی سرورها
  • آموزش کاربران در نحوه برخورد با تهدیدات سایبری مبتنی بر مهندسی اجتماعی

 

توضیح این که نسخه‌ای از بدافزار Dilemma که در این گزارش به آن پرداخته شد با نام‌های زیر قابل شناسایی می‌باشد:

Bitdefender: IL:Trojan.MSILZilla.15370
McAfee: RDN/Wiper
Sophos: Mal/Generic-S

لازم به ذکر است علیرغم درخواست تبادل بیشتر اطلاعات در این زمینه از مراکز امنیتی کشور، فقط بر اساس اطلاعات جمع‌آوری شده شرکت مهندسی شبکه گستر، این خبر در این زمان، تنظیم شده است. در صورت دریافت اطلاعات بیشتر این خبر به‌روز خواهد شد.

 

منابع:

[1] https://www.afta.gov.ir/fa-IR/Portal/4927/news/view/14608/2129

[2] https://securelist.com/expetrpetyanotpetya-is-a-wiper-not-ransomware/78902/

[3] https://www.afta.gov.ir/fa-IR/Portal/1/news/view/14594/1889/

[4] https://www.sentinelone.com/labs/meteorexpress-mysterious-wiper-paralyzes-iranian-trains-with-epic-troll/

[5] https://research.checkpoint.com/2022/evilplayout-attack-against-irans-state-broadcaster/

[6] https://research.checkpoint.com/2021/indra-hackers-behind-recent-attacks-on-iran/

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *