21 خرداد 1401، مرکز مدیریت راهبردی افتا با انتشار اطلاعیهای از شناسایی یک بدافزار جدید با نام Dilemma در زیرساختهای کشور خبر داد [1]. در این مطلب، نگاهی گذرا به پیشینه و عملکرد این بدافزار مخرب انداختهایم.
پیشینه
Dilemma بدافزاری با عملکرد Wiper است. این نوع بدافزارها با رونویسی بخش MBR و در برخی موارد فایلها عملاً موجب از کار افتادن دستگاه و معدوم شدن اطلاعات ذخیره شده بر روی آن میشوند.
هر چند نمونههایی از باجافزارها نیز بجای رمزگذاری فایلها، اقدام به رمزنگاری بخش MBR میکنند اما در بسیاری از موارد آن چه مهاجمان انجام میدهند نه رمزنگاری که معدومسازی کامل MBR است. برای مثال، درسال 1395 بدافزار NotPetya توانست تعداد زیادی دستگاه را در کشورهای مختلف از جمله اوکراین دچار اختلال کند. اگر چه پیام نمایش داده شده بر روی دستگاههای آلوده به NotPetya تداعیکننده حملهای باجافزاری بود اما بررسیهای بیشتر نشان داد که این بدافزار فاقد هر گونه سازوکار برای بازگرداندن اطلاعات بوده و هدف آن صرفاً از کاراندازی دستگاههای سازمانهای قربانی بوده است [2].
گردانندگان این حملات، قربانیان خود را بهصورت کاملاً هدفمند انتخاب میکنند. فرایند نفوذ و آلودهسازی نیز معمولاً محدود به چند ساعت و حتی چند روز نبوده و در مواردی هفتهها زمان برده است [3]. هدف، شناسایی دقیق سرورهای حاوی اطلاعات حساس و در نتیجه وارد آوردن حداکثر خسارت و البته جلب بیشترین توجه است.
گزارشهای منتشر شده از سوی نهادها و شرکت امنیتی در خصوص حملات چند سال اخیر نشان میدهد که گسترش دامنه نفوذ و توزیع بدافزار در سطح شبکه در بسیاری موارد مشابه بوده است [1][4][5][6]. برای مثال در اکثر موارد فایلهای Batch و فرامین Scheduled Task علیرغم سادگی ماهیت آنها نقشی کلیدی در حمله داشتهاند.
همچنین مهاجمان این گونه حملات تلاش میکنند تا با اعمال تغییرات مکرر بر روی فایلهای مخرب خود احتمال شناسایی آنها توسط محصولات امنیتی را به حداقل برسانند.
نسخه اخیر
بدافزار با عملکرد Wiper که در اطلاعیه اخیر مرکز مدیریت راهبردی افتا به آن اشاره شده فایلی با نام dilemma.exe و مشخصات زیر است:
File Description: Dilemma
File Version: 1.0.0.0
Internal Name: dilemma.exe
Original Filename: dilemma.exe
Copyright: Copyright 2020
Product Name: Dilemma de modify
Product Version: 1.0.0.0
SHA-1: 2ce90ab46c620f84dfb36a3e97ae8f27122b142a
در برخی حملات پیشین، مهاجمان از نام msdskint.exe برای پروسه این بدافزار استفاده کرده بودند [5].
Dilemma علاوه بر معدومسازی بخش MBR اقدام به رونویسی فایلها نیز میکند.
این بدافزار در یکی از سه حالت زیر قابل اجرا است:
- default – در این حالت هر فایل به بخشهای 1024 بایتی تقسیم شده و بدافزار 200 بایت از هر کدام از این بخشها را رونویسی میکند؛
- light-wipe – تنها به تعداد تعیینشده در پارامتر مربوطه بخشهای فایل را مورد دستدرازی قرار میدهد؛
- full_purge – کل محتوای فایل را رونویسی میکند.
پروسه Dilemma از طریق پارامترهای زیر قابل فراخوانی است:
پارامتر | شرح |
mbr | فعالسازی فلگ معدومکننده MBR |
fork-bomb | اجرای دو Instance دیگر از Wiper |
sessions | متوقف کردن Session سایر کاربران بر روی دستگاه |
delete-users | حذف نام کاربری افراد مورد نظر از طریق فرمان net user |
break-users | رونویسی کردن گذرواژه نامهای کاربری مورد نظر |
logs | حذف سوابق Windows Event Log |
passwords | در حال حاضر فاقد عملکرد |
shadows | معدومسازی رونوشتهای موسوم به Shadow Copies |
start-iis | اجرای سرویس IIS از طریق پروسه iisreset |
stop-iis | متوقف کردن سرویس IIS از طریق پروسه iisreset |
config | استخراج تنظیمات از فایل معرفی شده |
light-wipe | معدوم کردن بخشی از فایل به میزان تعیین شده به همراه مؤلفه |
wipe-exclude | پوشههای معرفی شده به همراه این مؤلفه از گزند Wiper در امان خواهند بود |
delete | پس از رونویسی، فایل از روی دستگاه حذف خواهد شد |
processes | پروسههای تعیین شده را توسط فرمان taskkill حذف خواهد کرد |
wipe-stage-2 | فایلها را با روش پیشفرض رونویسی کرده و سپس حذف میکند |
purge | کل فایل – و نه فقط بخشی از آن – را رونویسی میکند |
wipe-only | فایلهای تعیین شده را رونویسی میکند |
wipe-all | تمامی فایلها را رونویسی میکند |
برای مثال، در جریان یکی از این حملات مهاجمان از طریق پارامترهای زیر اقدام به مستثنیسازی مسیرهای مرتبط با ضدویروس سیمانتک کرده بودند تا دستدرازی به فایلهای آن موجب حساسیت این محصول امنیتی نشود:
“-wipe-exclude”, “C:\\\\Program Files\\\\Symantec*”
“-wipe-exclude”, “C:\\\\Program Files (x86)\\\\Symantec*”
نکته قابل توجه این که مهاجمان پیش از معدومسازی MBR و فایلها از طریق بدافزارهای دیگر اقدام به سرقت اطلاعات میکنند.
مقابله
همان طور که اشاره شد که گردانندگان این حملات هدفمند با صرف زمان و منابع قابلتوجه سعی در به حداکثر رساندن خسارات به سازمان قربانی را دارند. رعایت موارد زیر میتواند شانس موفقیت این تبهکاران سایبری را به حداقل برساند:
- بکارگیری محصولات امنیت نقاط پایانی قدرتمند و بهروز
- محدودسازی سطوح دسترسی
- بهرهگیری از دیواره آتش با قواعد سختگیرانه
- اطمینان از نصب کامل اصلاحیههای امنیتی
- اعمال سیاستهای سختگیرانه در خصوص گذرواژه تمامی نامهای کاربری
- رصد و بررسی هر گونه رخداد مشکوک یا غیرعادی به خصوص بر روی سرورها
- آموزش کاربران در نحوه برخورد با تهدیدات سایبری مبتنی بر مهندسی اجتماعی
توضیح این که نسخهای از بدافزار Dilemma که در این گزارش به آن پرداخته شد با نامهای زیر قابل شناسایی میباشد:
Bitdefender: IL:Trojan.MSILZilla.15370
McAfee: RDN/Wiper
Sophos: Mal/Generic-S
لازم به ذکر است علیرغم درخواست تبادل بیشتر اطلاعات در این زمینه از مراکز امنیتی کشور، فقط بر اساس اطلاعات جمعآوری شده شرکت مهندسی شبکه گستر، این خبر در این زمان، تنظیم شده است. در صورت دریافت اطلاعات بیشتر این خبر بهروز خواهد شد.
منابع:
[1] https://www.afta.gov.ir/fa-IR/Portal/4927/news/view/14608/2129
[2] https://securelist.com/expetrpetyanotpetya-is-a-wiper-not-ransomware/78902/
[3] https://www.afta.gov.ir/fa-IR/Portal/1/news/view/14594/1889/
[5] https://research.checkpoint.com/2022/evilplayout-attack-against-irans-state-broadcaster/
[6] https://research.checkpoint.com/2021/indra-hackers-behind-recent-attacks-on-iran/