انتشار بدافزار پیشرفته Lemon_Duck در سطح کشور
در هفتههای اخیر گزارشهای متعددی مبنی بر اجرای حملات موسوم به رمز ربایی بر ضد سازمانهای ایرانی به شرکت مهندسی شبکه گستر واصل شده است. در جریان این حملات با بکارگیری بدافزار پیشرفته Lemon_Duck دستگاه به کنترل مهاجمان در آمده و از منابع آن بهمنظور استخراج ارز رمز بهره گرفته میشود. این حملات حرفهای و کاملاً سازمانیافته بوده و گردانندگان آن بهطور مستمر در حال تکامل تکنیکهای مورد استفاده خود هستند.
در ارز رمزها (Cryptocurrency)، فرایندی با عنوان استخراج (Mining) وجود دارد که یکی از اصلیترین وظایف آن تأیید اطلاعات تبادل شده در شبکه این واحدهای پولی است. فرایند استخراج مستلزم فراهم بودن توان پردازشی بسیار بالاست. در نتیجه شبکه ارز رمز نیز در قبال تلاشی که برای این پردازشها انجام میشود به استخراجکنندگان پاداشی اختصاص میدهد. از همین رو، برخی افراد نیز با بکارگیری برنامههای استخراجکننده (Miner) تلاش میکنند تا در ازای استخراج ارز رمز، مشمول پاداش شبکه ارز رمز شوند. اما با توجه به نیاز به توان پردازش بالا، انجام استخراج میتواند یک سرمایهگذاری هزینهبر برای استخراجکننده باشد. به همین خاطر در حملات موسوم به رمز ربایی (Cryptojacking)، استخراجکننده بدخواه با آلوده کردن دستگاه دیگران به بدافزارهای ویژه استخراج، از توان پردازشی آنها به نفع خود بهرهگیری میکند. در حقیقت در رمز ربایی، این مهاجمان هستند که همه منافع حاصل از استخراج را بدون هر گونه سرمایهگذاری کسب میکنند؛ در حالی که دستگاه قربانی انجامدهنده امور اصلی بوده است.
مهاجمان حملات اخیر از مجموعهای از تکنیکهای پیشرفته از جمله اجرای “بدون فایل” (Fileless) بدافزار و با سوءاستفاده از آسیبپذیریهای امنیتی در کنار بهرهگیری از ابزارهای کد باز (Open Source) به سرعت کد مخرب را در سطح شبکه توزیع میکنند.
Lemon_Duck از جمله بدافزارهایی است که نقشی بسیار کلیدی در اجرای موفق این حملات دارد. وجود متغیری با عنوان “Lemon_Duck$” در اسکریپت بدافزار که به زبان Python نوشته شده دلیل انتخاب این نام بوده است. روش اجرای Lemon_Duck، “بدون فایل” بوده و معمولاً از طریق پروسه معتبر PowerShell به اجرا در میآید. در تکنیک موسوم به “بدون فایل”، هدف، ماندگار کردن کد مخرب بدافزار بدون ذخیره آن بهصورت فایل بر روی دیسک سخت است. با توجه به اینکه نرمافزارهای ضدویروس سنتی صرفاً اقدام به بررسی فایلها در زمان نوشته شدن بر روی دیسک سخت و خوانده شدن از روی آن میکنند این روش میتواند براحتی این سد دفاعی را در هم بشکند. ضمن اینکه با توجه به عدم وجود فایل مخرب بر روی دستگاه، تشخیص آلوده بودن آن حتی توسط مهندس تحلیلگر بدافزار نیز بسیار دشوار میشود.
در جریان حملات اخیر، فهرستی از نشانیهای IP بهصورت تصادفی ایجاد شده و پس از مورد هدف قرار دادن آنها، قابل دسترس بودن درگاههای زیر بر روی آن دستگاهها بررسی میشود:
- 445/TCP (درگاه پیشفرض SMB)
- 1433/TCP (درگاه پیشفرض MS-SQL)
- 65529/TCP (درگاهی که توسط Lemon_Duck بر روی دستگاههای آلوده شده به این بدافزار باز میشود.)
در ایجاد نشانیهای تصادفی از قالبهای زیر الگوبرداری شده است:
‘192.168.0’, ‘192.168.1’, ‘192.168.2’, ‘192.168.3’, ‘192.168.4’, ‘192.168.5’, ‘192.168.6’, ‘192.168.7’, ‘192.168.8’, ‘192.168.9’, ‘192.168.10’, ‘192.168.18’, ‘192.168.31’, ‘192.168.199’, ‘192.168.254’, ‘192.168.67’, ‘10.0.0’, ‘10.0.1’, ‘10.0.2’, ‘10.1.1’, ‘10.90.90’, ‘10.1.10’, ‘10.10.1’
در صورت باز بودن درگاه 445، بدافزار از طریق PingCastle آسیبپذیر بودن دستگاه هدف به بهرهجوی EternalBlue را مورد بررسی قرار می دهد. ماجرای EternalBlue به حدود 3 سال قبل و انتشار اسناد محرمانهای باز میگردد که در جریان آن فایلهای سرقت شده از یک گروه نفوذگر حرفهای با نام Equation که وابستگی اثبات شدهای به “سازمان امنیت ملی” دولت آمریکا (NSA) دارد توسط گروه Shadow Brokers بر روی اینترنت به اشتراک گذاشته شدند. در بین این فایلها، بهرهجوهایی به چشم میخوردند که از یک ضعف امنیتی روز صفر در بخش سیستم عامل Windows که به EternalBlue موسوم شد سوءاستفاده میکردند. یک ماه پیش از درز این اطلاعات شرکت مایکروسافت اقدام به عرضه اصلاحیهای با شناسه MS17-010 بهمنظور ترمیم آسیبپذیری مذکور نموده بود. باجافزار WannaCry از جمله بدافزارهایی بوده است که با بهرهجویی از آسیبپذیری مذکور در مدتی کوتاه صدها هزار دستگاه را در سرتاسر جهان به خود آلوده کرد. با این حال تداوم بهرهجویی مهاجمان از این آسیبپذیری به معنای عدم توجه بسیاری از کاربران و راهبران شبکه نسبت به لزوم نصب اصلاحیههای امنیتی است.
چنانچه درگاه 1433 بر روی دستگاه هدف باز باشد بدافزار اقدام به اجرای حملات موسوم به سعیوخطا (Brute-force) جهت رخنه به سرویسدهنده MS-SQL نصب شده بر روی دستگاه میکند. برای این منظور Lemon_Duck با بکارگیری رمزهای عبور زیر و همچنین مجموعهای از درهمساز (Hash)و NTLM تلاش میکند تا حساب کاربری sa در سرویس Microsoft SQL را هک کند. فهرست این رمزهای عبور به شرح زیر است:
“saadmin”, “123456”, “password”, “PASSWORD”, “123.com”, “admin@123”, “Aa123456”, “qwer12345”, “Huawei@123”, “123@abc”, “golden”, “123!@#qwe”, “1qaz@WSX”, “Ab123”, “1qaz!QAZ”, “Admin123”, “Administrator”, “Abc123”, “Admin@123”, “999999”, “Passw0rd”, “123qwe!@#”, “football”, “welcome”, “1”, “12”, “21”, “123”, “321”, “1234”, “12345”, “123123”, “123321”, “111111”, “654321”, “666666”, “121212”, “000000”, “222222”, “888888”, “1111”, “555555”, “1234567”, “12345678”, “123456789”, “987654321”, “admin”, “abc123”, “abcd1234”, “abcd@1234”, “abc@123”, “p@ssword”, “P@ssword”, “p@ssw0rd”, “P@ssw0rd”, “P@SSWORD”, “P@SSW0RD”, “P@w0rd”, “P@word”, “iloveyou”, “monkey”, “login”, “passw0rd”, “master”, “hello”, “qazwsx”, “password1”, “qwerty”, “baseball”, “qwertyuiop”, “superman”, “1qaz2wsx”, “f—ckyou”, “123qwe”, “zxcvbn”, “pass”, “aaaaaa”, “love”, “administrator”, “qwe1234A”, “qwe1234a”, “123123123”, “1234567890”, “88888888”, “111111111”, “112233”, “a123456”, “123456a”, “5201314”, “1q2w3e4r”, “qwe123”, “a123456789”, “123456789a”, “dragon”, “sunshine”, “princess”, “!@#$%^&*”, “charlie”, “aa123456”, “homelesspa”, “1q2w3e4r5t”, “sa”, “sasa”, “sa123”, “sql2005”, “sa2008”, “abc”, “abcdefg”, “sapassword”, “Aa12345678”, “ABCabc123”, “sqlpassword”, “sql2008”, “11223344”, “admin888”, “qwe1234”, “A123456”
بهمحض موفقیت در هک حساب کاربری مذکور، بدافزار با استفاده از پروسه sqlserver.exe فرامین مخرب را بر ضد ماشینهای دیگر اجرا میکند.
همچنین Lemon_Duck با بهرهجویی از آسیبپذیری CVE-2017-8464 فایلهای میانبر (LNK) و DLL مخرب را بر روی حافظههای جداشدنی (Removable Storage) متصل به دستگاه آلوده و در درایوهای اشتراکی موسوم به Map کپی میکند. باز کردن درایو منجر به اجرای فایل DLL مخرب و آلوده شدن دستگاه میشود.
بر روی سیستم آلوده، Lemon_Duck سطح دسترسی کاربر جاری را مورد بررسی قرار داده و چنانچه کاربر دارای دسترسی Administrator باشد، بدافزار ماژول PowerDump و ابزار Mimikatz را برای رونوشت برداشتن از درهمسازهای NTLM، نام کاربری، رمز عبور و اطلاعات دامنه (Domain) اجرا میکند. در ادامه، Lemon_Duck با مجوز این اطلاعات اصالتسنجی فایلهای مخرب را در کنار فایل Batch یا LNK مرتبط با آنها در پوشه %Startup% ماشینهای قابل دسترس در بستر شبکه کپی کرده یا PowerShell را بهصورت از راه دور با استفاده از WMI اجرا میکند.
بدافزار Lemon_Duck با پویش سرورهای قابل دسترس که درگاه پیشفرض Remote Desktop Protocol – به اختصار RDP – و(3389/TCP) بر روی آنها باز است میکوشد تا با نام کاربری administrator و امتحان کردن فهرستی از رمزهای عبوری که در کد بدافزار تزریق شده از طریق ابزار کد باز FreeRDP بر روی این پودمان به دستگاه مقصد وارد شود. در صورت موفقیت در ورود، فرمان مخرب بر روی دستگاه اجرا می شود.
همچنین در مواردی پس از آلوده شدن دستگاه، بدافزار یک حساب کاربری جدید با نام k8h3d و رمز عبور k8d3j9SjfS7 ایجاد میشود. در مواقعی نیز رمز عبور sa توسط Lemon_Duck به sEqgIBKy تغییر میکند.
چنانچه ماشین با هر یک از روشهای مورد اشاره در بالا آلوده شد، بدافزار تنظیمات دیواره آتش را تغییر داده و درگاه 65529/TCP را بر روی آن باز میکند. Lemon_Duck از آن به عنوان علامتی از آلوده بودن دستگاه استفاده میکند.
شایان ذکر است که در صورت مسدود شدن برخی از اسکریپتها و فایلها، Lemon_Duck مشابه با بدافزارهای DNS Changer، نشانیهای DNS و فایل Hosts دستگاه را مورد دستدرازی قرار میدهد.
با استفاده از سازوکار فرامین زمانبندیشده (Scheduled Task) در Windows، نسخ جدید اسکریپتهای مخرب بدافزار در بازههای زمانی حدوداً یک ساعته دریافت و اجرا میشوند. اسکریپت دانلود شده خود را با یک درهم سازی که در کد آن درج شده پیش از اجرا اعتبارسنجی میکند. در صورت موفق بودن، اسکریپت اقدام به دریافت کد مخرب دیگری که وظیفه آن استخراج ارز رمز مونرو بر روی دستگاه قربانی است میکند. عناوین این فرامین به شرح زیر است:
- \Microsot\Windows\Bluetool
- \Microsot\Windows\Bluetooths
- Autocheck
- Autostart
- Escan
- Ddriver
نام و مسیر نمونههایی از فایلهای مخرب ایجاد شده توسط Lemon_Duck در زیر فهرست شده است:
- C:\windows\temp\tmp.vbs
- C:\windows\temp\p.bat
- C:\Windows\mkatz.ini
- C:\Windows\Temp\mkatz.ini
- C:\Windows\m.ps1
- C:\Windows\Temp\m.ps1
- C:\Windows\m2.ps1C:\Windows\Temp\m2.ps1
- C:\Windows\Temp\svhhost.exe
- C:\Windows\Temp\svvhost.exe
- C:\Windows\Temp\svchost.exe
- C:\Windows\Temp\ipc.txt
- C:\Windows\Temp\hash.txt
- C:\Windows\Temp\eb.txt
- C:\Windows\system32\svhost.exe
- C:\Windows\SysWOW64\svhost.exe
- C:\Windows\system32\drivers\svhost.exe
- C:\Windows\SysWOW64\drivers\svhost.exe
موارد زیر از جمله نکاتی است که با رعایت آنها میتوان سازمان را از گزند این بدافزار مخرب ایمن نگاه داشت:
- استفاده از رمزهای عبور پیچیده، هک نشده و غیرتکراری برای حسابهای کاربری محلی (Local) و تحت دامنه (Domain)، به ویژه حسابهای با سطح دسترسی Administrator
- محدود کردن سطح دسترسی کاربران
- مدیریت سختگیرانه سطوح دسترسی اعمال شده بر روی پوشههای اشتراکی
- پرهیز از قابل دسترس کردن سرویسهای حساسی نظیر MS-SQL و Domain Controller در بستر اینترنت یا حداقل مقاوم سازی آنها
- غیرفعال کردن پودمان RDP یا حداقل تغییر درگاه پیشفرض آن
- بکارگیری محصولات موسوم به Device Control و مسدودسازی حافظههای جداشدنی
- اطمینان از نصب بودن اصلاحیههای امنیتی بر روی تمامی دستگاهها
- ارتقای سیستمهای عامل از رده خارج
- استفاده از دیواره آتش در درگاه شبکه
- بهره گیری از محصولات امنیتی پیشرفته و فعالسازی سیاستهای مقابله با بدافزارهای بدون فایل – مشترکین محصولات مکآفی و بیتدیفندر در ایران می توانند برای دریافت سیاستهای مربوطه با گروه پشتیبانی شرکت مهندسی شبکه گستر تماس حاصل کنند.