شرکت ترلیکس (Trellix) در گزارشی جزئیات باجافزار جدیدی به نام Dark Power را منتشر کرده است.
باجافزار Dark Power به زبان برنامهنویسی Nim که زبان چندان متداولی نیست، نوشته شده است. زبان برنامهنویسی Nim، اکنون میان سازندگان بدافزار بیشتر از قبل رواج پیدا کرده زیرا استفاده از آن آسان است و دارای قابلیت بکارگیری در میان پلتفرمهای مختلف میباشد.
مقداردهی اولیه کلید رمزگذاری
باجافزار Dark Power پس از اجرا، یک رشته ASCII،ا64 کاراکتری با حروف کوچک را به صورت تصادفی ایجاد میکند. این رشته بعداً جهت مقداردهی اولیه الگوریتم رمزگذاری، مورد استفاده قرار میگیرد. یک نمونه از آن در شکل زیر نشان شده است. ایجاد این رشته به صورت تصادفی موجب میشود که در هر بار اجرا، کلید منحصربهفردی تولید شده و بنابراین در سیستم موردنظر نیز منحصربهفرد میباشد؛ از این رو مانع عرضه ابزار رمزگشایی عمومی میشود. در این مثال، یک Library به نام Nimcrypto برای انجام عملیات رمزنگاری و الگوریتم رمزنگاری AES CRT بکارگرفته شده است.
رمزگذاری رشته باینری
رشتههای درون باجافزار نیز رمزگذاری شدهاند تا احتمالاً ایجاد قواعد تشخیصی در راهکارها و محصولات امنیتی دشوارتر شود. این رشتهها در قالب base64 کدگذاری شدهاند. هنگامی که رشته رمزگذاری شده رمزگشایی شد، رشته با استفاده از یک کلید ثابت که دارای هش پیشفرض SHA-256 است، رمزگشایی میشود. بردار اولیه (Initialization Vector – به اختصار IV) نیز در این رشته باینری گنجانده شده اما در هر یک از فراخوانیهای رمزگشایی از یک IV متفاوت استفاده میشود.
فرامین نشان شده در تصویر بالا برای رمزگشایی رشته بکار گرفته میشود و خروجی آن darkpower. است. IV در rdx بارگذاری میشود و rax نیز برای ذخیره رشتهای که به روش base64 کدگذاری شده، بکار گرفته شده است. با فراخوانی تابع decrypt_AES_CTR، رشته داده شده رمزگشایی میشود.
توقف سرویسها
باجافزار Dark Power، سرویسهای خاصی نظیرveeam ،memtas ،sql ،mssql ،backup ،vss ،sophos ،svc$i و mepocs را در دستگاه قربانی مورد هدف قرار داده و آنها را متوقف میکند تا فایلهای مورد استفاده این پروسهها را مورد دستدرازی قرار داده و رمزگذاری نماید. علاوه بر این، Volume Shadow Copy Service (VSS) را همانند سایر باجافزارها متوقف میکند. VSS نسخ Shadow فایلها را نگه میدارد.
همچنین باجافزار Dark Power، ضمن متوقفسازی ضدبدافزارها، سایر سرویسهایی که نسخ پشتیبان را تهیه میکنند، مسدود مینماید. در نهایت هدف از متوقفسازی سرویسها، افزایش شانس پرداخت باج مطالبه شده توسط قربانی است.
چنانچه باجافزار با سرویس یا پروسههای موجود در فهرست پیشفرض، مواجه شود، پیام in killing (service name)ا[YES] را در کنسول چاپ میکند.
متوقفسازی پروسهها
باجافزار Dark Power، همانند متوقفسازی سرویسها، پروسههایی (مانند Office) که قادر به مسدودسازی فایلها هستند را نیز متوقف میکند.
Dark Power، با اجرای فرمان select * from win32_process در winmgmts: & {impersonationLevel=impersonate}!.\root\cimv2 که یک Windows Management Instrumentation – به اختصار WMI – است، به فهرستی از تمام پروسههای در حال اجرا دست مییابد. در صورت مواجه شدن با هر یک از پروسههای از پیش تعریف شده و پیشفرض، آنها را مسدود میکند. در این فهرست، مواردی نظیر taskmgr.exe ،steam.exe ،firefox.exe و همچنین پروسههای Microsoft Office مانند excel.exe ،winword.exe ،powerpnt.exe و visio.exe وجود دارند.
این باجافزار همچنین پروسههای خاص مرتبط با مدیریت پایگاهداده از جمله sql.exe ،oracle.exe و dbsnmp.exe را مورد هدف قرار میدهد تا از رمزگذاری تمامی پایگاههای داده اطمینان حاصل کند. با متوقفسازی و پایاندادن به این پروسهها، باجافزار اطمینان حاصل میکند که میتواند فرآیند رمزگذاری خود را تکمیل نماید. فهرست کامل اسامی این پروسهها در ادامه نمایش شده است.
مستثنیسازی فایلها و پوشهها از رمزگذاری
پس از که تمامی سرویسها و پروسههای مورد نظر متوقف شدند، باجافزار Dark Power با توجه به پسوند فایلها، شروع به مستثنیسازی فایلها و پوشهها مینماید. در زیر فهرستی از فایلها، پوشهها و پسوندهای مستثنیشده توسط باجافزار Dark Power، نمایش داده شده است:
پاکسازی لاگها
پس از خاتمه دادن به سرویسها، باجافزار به مدت 30 ثانیه متوقف شده و فرمان Windows C:\Windows\system32\cmd.exe /c cls اجرا میشود. در این نمونه، باجافزار از فرمانهای WMI نظیر Select * from Win32_NTEventLogFile و ()ClearEventLog(برای حذف کردن لاگهای سیستم استفاده میکند. حذف کردن لاگها، تاکتیک رایجی است که توسط باجافزارها برای مخفیسازی ردپای باجافزار و دشوارسازی تحلیل حمله مورد استفاده قرار میگیرد. پس از آن، فرآیند رمزگذاری آغاز و اطلاعیه باجگیری منتشر میشود.
اطلاعیه باجگیری
باجافزار Dark Power در هر یک از پوشهها، یک نسخه از اطلاعیه باجگیری را قرار میدهد. برخلاف اطلاعیههای باجگیری متداول، اطلاعیه باجگیری باجافزار Dark Power، یک فایل PDF است. این اطلاعیه باجگیری با نرمافزار Adobe Illustrator 26.0 ایجاد شده و آخرین بار 20 بهمن 1401 ویرایش شده است.
باجافزار Dark Power، در اطلاعیه باجگیری خود باجی به مبلغ 10 هزار دلار درخواست مینماید تا قربانی آن را به نشانی زیر واریز نماید:
XMR
85D16UodGevaWw6o9UuUu8j5uosk9fHmRZSUoDp6hTd2ceT9nvZ5hPedmoHYxedHzy6QW4KnxpNC7MwYFYYRCdt[redacted]
اطلاعیه باجگیری همچنین به سایتی در شبکه Tor اشاره میکند که در آن فهرست قربانیان این باجافزار نمایش داده شده است.
رمزگذاری دادهها
رمزگذاری سایر فایلهایی که مستثنی نشدهاند، با استفاده از AES (حالت CRT) انجام میشود.
دو نسخه از باجافزار Dark Power وجود دارد که هر کدام کلید رمزگذاری و قالب متفاوتی دارند:
- در نوع اول باجافزار Dark Power، مقدار SHA256 حاصل از کلید تصادفی به دو نیمه تقسیم میشود. نیمه اول به عنوان کلید AES مورد استفاده قرار میگیرد، در حالی که نیمه دوم به عنوان IV (به صورت غیرتکراری) استفاده میشود.
- در نوع دوم باجافزار Dark Power، مقدار SHA256 حاصل از کلید تصادفی به عنوان کلید رمزگذاری AES استفاده میشود و یک مقدار ثابت 128 بیتی، «i73 4B D9 D6 BA D5 12 A0 72 7F D6 4C 1E F4 96 87i» برای رمزگذاری غیریکسان و غیرتکراری بکار گرفته میشود.
پس از رمزگذاری کامل محتویات فایل، باجافزار فایلهای رمزگذاری شده را با پسوند dark_power. تغییر نام میدهد.
اخاذی دوگانه
باجافزار Dark Power از دسته باجافزارهایی است که به دو روش از قربانیان خود اخاذی میکنند هم بابت بازگرداندن فایلهای رمزگذاری شده و هم بابت انتشار دادههای سرقت شده در صورت عدم پرداخت باج. خود باجافزار هیچ فایلی را آپلود نمیکند، که منجر به این فرض میشود که سرقت دادهها به صورت دستی و قبل از استقرار باجافزار انجام میشود.
باجافزار Dark Power با نامهای زیر شناسایی میشود:
Bitdefender: Trojan.GenericKD.65499855, Gen:Variant.Tedy.285953
Trellix: Artemis!5E55339CE16C, Artemis!DF134A54AE5D
Sophos: Mal/Generic-S
Kaspersky: Trojan-Ransom.Win32.Crypren.ajat, Trojan-Ransom.Win32.Crypren.ajal
نشانههای آلودگی (IoC) و مشروح گزارش ترلیکس در لینک زیر قابل مطالعه میباشد:
https://www.trellix.com/en-us/about/newsroom/stories/research/shining-light-on-dark-power.html