کمپین‌ها

حمله Shamoon 2
۱۳ آبان ۱۳۹۶

حمله Shamoon 2

حمله Shamoon2 در سال ۲۰۱۶ عربستان سعودی را مورد هدف قرار داد. این بدافزار، دیسک سخت قربانی را پاک می‌کرد، سپس از credential های مجاز برای انتشار در شبکه استفاده می‌کرد. ابزارهایی که در این حمله مورد استفاده قرار گرفتند بسیار شبیه به ابزارهای حمله Shamoon در سال ۲۰۱۲ بودند، در نتیجه Shamoon2 نام گرفتند. در ژانویه ۲۰۱۷، کمپین Shamoon2 سازمان‌های دولتی و شرکت‌های خصوصی خاورمیانه را مورد حمله قرار داد. در مجموع ۱۵ حادثه در ژانویه ۲۰۱۷، از حملات این کمپین گزارش شد. کدهای کمپین جدید شباهت بسیار زیادی به نسخه Shamoon اصلی داشت . تغییراتی که در این نسخه وجود داشت استفاده از credentialهای قربانیان برای پخش و گسترش پاک‌کننده‌ها در سازمان مورد هدف بود.

         

کدهای Shamoon2

Shamoon2 حمله‌ای هدفمند

مهاجمین یک سری اطلات را قبل از حمله جمع‌آوری می‌نمایند. مانند: رایانامه قربانیان و سایر اطلاعاتی که در ساختن هرزنامه‌ای که واقعی و جالب به نظر برسد به مهاجمین کمک می‌کند. سپس دامنه‌ها و درهای پشتی را به ثبت می‌رسانند و آماده می‌شوند برای حمله. بعد از اتمام این مراحل و با استفاده از اطلاعات جمع‌آوری شده مهاجمان اقدام به حملات spear phishing می‌کنند.

هرزنامه‌ای که برای قربانی ارسال می‌شود با استفاده از اطلاعاتی که قبلا از او جمع‌آوری شده، مهندسی شده است. کاربران آموزش ندیده با توجه به محتوی رایانامه مشتاق به دریافت پیوست این رایانامه می‌شوند. 

تقریبا در تمامی گزارشات امنیتی آرمان داده پویان به لزوم آموزش کاربران اشاره شده است. کمپین Shamoon2 هم برای انتشار خود بسیار وابسته به خطای انسانی و نیروهای آموزش ندیده است. کاربران بایستی با مفهوم ماکرو و خطرات آن آشنا باشند. هرگونه درخواستی برای فعال کردن ماکرو قبل از نمایش محتوی آن می‌تواند خطرناک باشد. اشتباهی که قربانیان Shamoon2 انجام داده‌اند هم همین بوده است.

سرقت Credentialهای قربانیان

Shamoon2-backdoor

  • اجرای این ماکرو آلوده منجر به اجرای یک اسکریپت در PowerShell می‌گردد. اجرای این اسکریپت باعث بارگذاری یک فایل آلوده می‌شود. این فایل حاوی یک تروجان است. این تروجان قادر به جمع‌آوری اطلاعات می‌باشد.
  • در برخی موارد هم نحوه‌ی کار از طریق یک درب پشتی بوده است. این درب پشتی از طریق یک اسکریپت پاورشل اقدام به جمع‌آوری اطلاعات می‌نماید و اطلاعات جمع‌آوری شده را در یک فایل موقتی نگه‌داری می‌کند.

محققان اسکریپتی که اقدام به ساخت Mimikatz می‌نمود هم یافتند. Mimikatz ابزاری است که credentialهای کاربر را می‌دزدد.  زمانی هم که تمامی اطلاعات جمع‌آوری شد نوبت به بارگذاری اطلاعات می‌رسد. برای این کار به طور مثال از یک اسکریپت پاورشل که موجب فعال شدن Powercat می‌شود، استفاده شده است. Powercat هم یک ارتباط TCP/IP ایجاد می‌کند. این کار با netcat هم قابل اجرا است. نمونه‌ای از این کد را می‌توانید مشاهده کنید.

بارگذاری اطلاعات به سرقت رفته


زمانی هم که تمامی اطلاعات جمع‌آوری شد نوبت به بارگذاری اطلاعات می‌رسد. برای این کار به طور مثال استفاده از یک اسکریپت پاورشل که موجب فعال شدن Powercat می‌شود، استفاده شده است. Powercat هم یک ارتباط TCP/IP ایجاد می‌کند که با netcat هم می‌تواند کار کند.

سواستفاده از اطلاعات به سرقت رفته

بعد از اتمام مراحل بالا مهاجمین Credentialهای قربانیان را طبقه‌بندی می‌نمایند. این کار به منظور شناسایی بازه‌ی IP و همچنین تشخیص مقیاس شبکه انجام می‌پذیرد. در مرحله‌ی بعدی، مهاجمان تنها نیاز به یک یا دو میزبان برای اجرای اسکریپت‌ها و پاک‌کننده‌هایشان دارند. اما چون در مراحل قبلی Credentialهای مورد نظرشان را به دست آورده‌اند، این میزبانان را در اختیار دارند.  یک batch file، ntertmgr32.exe را کپی و آن را اجرا می‌نماید. بعد از این کار هر موقع تاریخ ثبت شده در این فایل برسد، سیستم پاک خواهد شد.

مهاجمینی قدرتمند در پشت Shamoon2


محققان امنیتی می‌گویند افراد پشت این حمله توانمندی بسیار بالایی داشته و از روش‌های خوبی هم استفاده کرده‌اند. آن‌ها در انتخاب افراد و سازمان‌ها بسیار هدفمند عمل کرده‌اند. تمرکز اصلی آن‌ها بر روی سیستم‌عامل ویندوز بوده و از روش‌های کارآمدی برای سرقت اطلاعات و credentialها استفاده کرده‌اند. نکته‌ی قابل توجه هم عدم استفاده از هیچ‌گونه zero-day می‌باشد. یکی دیگر از توانمندی‌های این گروه در مخفی سازی جزئیات کارشان می‌باشد. جزئیات قابل مشاهده شامل: آدرس رایانامه‌ها، مسیرهای پایگاه‌داده و زبان عربی به عنوان زبان شاخص استفاده شده در آن است. سوالی که به وجود می‌آید این است که در دسترس بودن این اطلاعات سهوی بوده یا عمدی؟

اطلاعات شاخص

دامنه‌ها

  • winappupdater.com
  • update.winupdater.com
  • // domain registered on 2016-11-25 by [email protected]
  • hash 146a112cb01cd4b8e06d36304f6bdf7b and bf4b07c7b4a4504c4192bd68476d63b5 were connecting to this site

هش‌ها

  • ۱۴۶a112cb01cd4b8e06d36304f6bdf7b
  • bf4b07c7b4a4504c4192bd68476d63b5
  • a96d211795852b6b14e61327bbcc3473
  • ۱۵۰۷A4FDF65952DFA439E32480F42CCF1460B96F

مکان ذخیره‌سازی فایل‌ها:

  • Microsoft\Windows\ccd
  • Microsoft\Windows\ccd6.exe”
  • Microsoft\Windows\ssc”
  • Microsoft\Windows\tss.ps1″
  • Microsoft\Windows\Tmp9932u1.bat”
  • Microsoft\Windows\Tmp765643.txt”
  • Microsoft\Windows\dp.ps1″
  • Microsoft\Windows\ccd61.ps1
  • Microsoft\Windows\dp.ps1″

آرمان داده پویان نمایندگی رسمی محصولات کسپرسکی در ایران


تازه ترین ها