نماد سایت اتاق خبر شبکه گستر

نگاهی به باج‌افزار Dark Power

شرکت ترلیکس (Trellix) در گزارشی جزئیات باج‌افزار جدیدی به نام Dark Power را منتشر کرده است.

باج‌افزار Dark Power به زبان برنامه‌نویسی Nim که زبان چندان متداولی نیست، نوشته شده است. زبان برنامه‌نویسی Nim، اکنون میان سازندگان بدافزار بیشتر از قبل رواج پیدا کرده زیرا استفاده از آن آسان است و دارای قابلیت بکارگیری در میان پلتفرم‌های مختلف می‌باشد.

مقداردهی اولیه کلید رمزگذاری

باج‌افزار Dark Power پس از اجرا، یک رشته ASCII،ا64 کاراکتری با حروف کوچک را به صورت تصادفی ایجاد می‌کند. این رشته بعداً جهت مقداردهی اولیه الگوریتم رمزگذاری، مورد استفاده قرار می‌گیرد. یک نمونه از آن در شکل زیر نشان شده است. ایجاد این رشته به صورت تصادفی‌ موجب می‌شود که در هر بار اجرا، کلید منحصربه‌فردی تولید شده و بنابراین در سیستم موردنظر نیز منحصربه‌فرد می‌باشد؛ از این رو مانع عرضه ابزار رمزگشایی عمومی می‌شود. در این مثال، یک Library به نام Nimcrypto برای انجام عملیات رمزنگاری و الگوریتم رمزنگاری AES CRT بکارگرفته شده است.

رمزگذاری رشته باینری

رشته‌های درون باج‌افزار نیز رمزگذاری شده‌اند تا احتمالاً ایجاد قواعد تشخیصی در راهکارها و محصولات امنیتی دشوارتر شود. این رشته‌ها در قالب base64 کدگذاری شده‌اند. هنگامی که رشته رمزگذاری شده رمزگشایی شد، رشته با استفاده از یک کلید ثابت که دارای هش پیش‌فرض SHA-256 است، رمزگشایی می‌شود. بردار اولیه (Initialization Vector – به اختصار IV) نیز در این رشته باینری گنجانده شده اما در هر یک از فراخوانی‌های رمزگشایی از یک IV متفاوت استفاده می‌شود.

فرامین نشان شده در تصویر بالا برای رمزگشایی رشته بکار گرفته می‌شود و خروجی آن darkpower. است. IV در rdx بارگذاری می‌شود و rax نیز برای ذخیره رشته‌ای که به روش base64 کدگذاری شده، بکار گرفته شده است. با فراخوانی تابع decrypt_AES_CTR، رشته داده شده رمزگشایی می‌شود.

توقف سرویس‌ها 

باج‌افزار Dark Power، سرویس‌های خاصی نظیرveeam ،memtas ،sql ،mssql ،backup ،vss ،sophos ،svc$i و mepocs را در دستگاه قربانی مورد هدف قرار داده و آنها را متوقف می‌کند تا فایل‌های مورد استفاده این پروسه‌ها را مورد دست‌درازی قرار داده و رمزگذاری نماید. علاوه بر این، Volume Shadow Copy Service (VSS) را همانند سایر باج‌افزارها متوقف می‌کند. VSS نسخ Shadow فایل‌ها را نگه می‌دارد.

همچنین باج‌افزار Dark Power، ضمن متوقف‌سازی ضدبدافزارها، سایر سرویس‌هایی که نسخ پشتیبان‌ را تهیه می‌کنند، مسدود می‌نماید. در نهایت هدف از متوقف‌سازی سرویس‌ها، افزایش شانس پرداخت باج مطالبه شده توسط قربانی است.

چنانچه باج‌افزار با سرویس یا پروسه‌های موجود در فهرست پیش‌فرض، مواجه شود، پیام in killing (service name)ا[YES] را در کنسول چاپ می‌کند.

متوقف‌سازی پروسه‌ها

باج‌افزار Dark Power، همانند متوقف‌سازی سرویس‌ها، پروسه‌هایی (مانند Office) که قادر به مسدودسازی فایل‌ها هستند را نیز متوقف می‌کند.

Dark Power، با اجرای فرمان select * from win32_process در  winmgmts: & {impersonationLevel=impersonate}!.\root\cimv2 که یک Windows Management Instrumentation – به اختصار WMI – است، به فهرستی از تمام پروسه‌های در حال اجرا دست می‌یابد. در صورت مواجه شدن با هر یک از پروسه‌های از پیش تعریف شده و پیش‌فرض، آنها را مسدود می‌کند. در این فهرست، مواردی نظیر taskmgr.exe ،steam.exe ،firefox.exe و همچنین پروسه‌های Microsoft Office مانند excel.exe ،winword.exe ،powerpnt.exe و visio.exe وجود دارند.

این باج‌افزار همچنین پروسه‌های خاص مرتبط با مدیریت پایگاه‌داده از جمله sql.exe ،oracle.exe و dbsnmp.exe را مورد هدف قرار می‌دهد تا از رمزگذاری تمامی پایگاه‌های داده اطمینان حاصل کند. با متوقف‌سازی و پایان‌دادن به این پروسه‌ها، باج‌افزار اطمینان حاصل می‌کند که می‌تواند فرآیند رمزگذاری خود را تکمیل نماید. فهرست کامل اسامی این پروسه‌ها در ادامه نمایش شده است.

مستثنی‌سازی فایل‌ها و پوشه‌ها از رمزگذاری

پس از که تمامی سرویس‌ها و پروسه‌های مورد نظر متوقف شدند، باج‌افزار Dark Power با توجه به پسوند فایل‌ها، شروع به مستثنی‌سازی فایل‌ها و پوشه‌ها می‌نماید. در زیر فهرستی از فایل‌ها، پوشه‌ها و پسوندهای مستثنی‌شده توسط باج‌افزار Dark Power، نمایش داده شده است:

پاکسازی لاگ‌ها

پس از خاتمه دادن به سرویس‌ها، باج‌افزار به مدت 30 ثانیه متوقف شده و فرمان Windows C:\Windows\system32\cmd.exe /c cls اجرا می‌شود. در این نمونه، باج‌افزار از فرمان‌های WMI نظیر Select * from Win32_NTEventLogFile و ()ClearEventLog(برای حذف کردن لاگ‌های سیستم استفاده می‌کند. حذف کردن لاگ‌ها، تاکتیک رایجی است که توسط باج‌افزارها برای مخفی‌سازی ردپای باج‌افزار و دشوارسازی تحلیل حمله مورد استفاده قرار می‌گیرد. پس از آن، فرآیند رمزگذاری آغاز و اطلاعیه باج‌گیری منتشر می‌شود.

اطلاعیه باج‌گیری

باج‌افزار Dark Power در هر یک از پوشه‌‌ها، یک نسخه از اطلاعیه باج‌گیری را قرار می‌دهد. برخلاف اطلاعیه‌های باج‌گیری متداول، اطلاعیه باج‌گیری باج‌افزار Dark Power، یک فایل PDF است. این اطلاعیه باج‌گیری با نرم‌افزار Adobe Illustrator 26.0 ایجاد شده و آخرین بار 20 بهمن 1401 ویرایش شده است.

باج‌افزار Dark Power، در اطلاعیه باج‌گیری خود باجی به مبلغ 10 هزار دلار درخواست می‌نماید تا قربانی آن را به نشانی زیر واریز نماید:

XMR
85D16UodGevaWw6o9UuUu8j5uosk9fHmRZSUoDp6hTd2ceT9nvZ5hPedmoHYxedHzy6QW4KnxpNC7MwYFYYRCdt[redacted]

اطلاعیه باج‌گیری همچنین به ‌سایتی در شبکه Tor اشاره می‌کند که در آن فهرست قربانیان این باج‌افزار نمایش داده شده است.

رمزگذاری داده‌ها

رمزگذاری سایر فایل‌هایی که مستثنی نشده‌اند، با استفاده از AES (حالت CRT) انجام می‌شود.

دو نسخه از باج‌افزار Dark Power وجود دارد که هر کدام کلید رمزگذاری و قالب متفاوتی دارند:

پس از رمزگذاری کامل محتویات فایل، باج‌افزار فایل‌های رمزگذاری شده را با پسوند dark_power. تغییر نام می‌دهد.

 اخاذی دوگانه

باج‌افزار Dark Power از دسته باج‌افزارهایی است که به دو روش از قربانیان خود اخاذی می‌کنند هم بابت بازگرداندن فایل‌های رمزگذاری شده و هم بابت انتشار داده‌های سرقت شده در صورت عدم پرداخت باج. خود باج‌افزار هیچ فایلی را آپلود نمی‌کند، که منجر به این فرض می‌شود که سرقت داده‌ها به صورت دستی و قبل از استقرار باج‌افزار انجام می‌شود.

باج‌افزار Dark Power با نام‌های زیر شناسایی می‌شود:

Bitdefender: Trojan.GenericKD.65499855, Gen:Variant.Tedy.285953

Trellix: Artemis!5E55339CE16C, Artemis!DF134A54AE5D

Sophos: Mal/Generic-S

Kaspersky: Trojan-Ransom.Win32.Crypren.ajat, Trojan-Ransom.Win32.Crypren.ajal

 

نشانه‌های آلودگی (IoC) و مشروح گزارش ترلیکس در لینک زیر قابل مطالعه می‌باشد:

https://www.trellix.com/en-us/about/newsroom/stories/research/shining-light-on-dark-power.html

خروج از نسخه موبایل