يستخدم المتسللون ميزة EternalBlue للاستفادة والاستفادة من البرامج النصية المستندة إلى PowerShell المعيشية المستندة إلى PowerShell للاستفادة من البرامج الضارة وتشفير العملة Monero.
كشف خبراء الأمن في تريند مايكرو عن حملة ضارة تستهدف الكيانات الآسيوية باستخدام ميزة EternalBlue للاستفادة والاستفادة من ميزة التعتيم المعتمدين على العيش خارج الأرض (LotL) على البرامج النصية القائمة على PowerShell لتقديم برامج ضارة و Monero cryptocurrency.
استفادت الجهات الفاعلة التي تقف وراء هذه الحملة من الاستغلال الذي تم تسريبه بواسطة Shadow Brokers في عام 2017 ، وقد تم استغلال EternalBlue من قبل العديد من عائلات البرامج الضارة ، بما في ذلك WannaCry و NotPetya Ransomware.
وقد لاحظ الخبراء في Qihoo 360 الحملة لأول مرة في يناير ، في الوقت الذي ضرب فيه المهاجمون أهدافًا صينية باستخدام أدوات Invoke-SMBClient و PowerDump المفتوحة المصدر.
لاحظ الباحثون أن الهجمات الأخيرة استهدفت في البداية المستخدمين اليابانيين ، ثم ضربت أيضًا أشخاصًا في أستراليا وتايوان وفيتنام وهونج كونج والهند.
"بدلاً من إرسال نفسه مباشرة إلى جميع الأنظمة المتصلة ، يغير الأمر البعيد إعدادات جدار الحماية وإعادة توجيه المنافذ الخاصة بالأجهزة المصابة ، وإعداد مهمة مجدولة لتنزيل نسخة محدثة من البرامج الضارة وتنفيذها." مايكرو.
"تستخدم البرامج الضارة أيضًا طريقة تجزئة التجزئة ، حيث تصادق نفسها على الخوادم البعيدة باستخدام كلمة مرور تجزئة المستخدم. باستخدام أمر Get-PassHashes ، يكتسب البرنامج الضار التجزئات المخزنة في الجهاز ، بالإضافة إلى تجزئة كلمات المرور الضعيفة المدرجة. بعد الحصول على التجزئة ، تستخدم البرمجيات الضارة Invoke-SMBClient - برنامج نصي آخر متاح للجمهور - لإجراء عمليات مشاركة الملفات باستخدام تمرير التجزئة. "
تستخدم الشفرة الخبيثة أيضًا مرور طريقة هجوم التجزئة ، حيث تصادق نفسها على الخوادم البعيدة باستخدام كلمة مرور تجزئة المستخدم. يكتسب الرمز الضار التجزئات المخزنة في الجهاز باستخدام أمر Get-PassHashes ، بالإضافة إلى تجزئة كلمات المرور الضعيفة المدرجة. استخدمت البرامج الضارة التجزئة التي تم الحصول عليها مع البرنامج النصي Invoke-SMBClient لتنفيذ عمليات الملفات المختلفة ، مثل حذف الملفات التي تم إسقاطها بواسطة الإصدارات القديمة من البرامج الضارة واكتساب الثبات عن طريق إضافة نفسها إلى مجلد بدء تشغيل Windows.
في حال كان لدى الضحية كلمة مرور أقوى ، فإن البرامج الضارة تستفيد من EternalBlue للنشر.
بمجرد إصابة البرامج الضارة بجهاز ، سيتم تنزيل برنامج نصي PowerShell غامض من خادم الأوامر والتحكم (C&C) ، والذي يعمل كقطارة. يقوم البرنامج النصي أيضًا بجمع عنوان MAC الخاص بالجهاز وقائمة برامج الحماية من البرامج الضارة المثبتة.
"إن PowerShell الذي تم تنزيله هو قطارة ، وهو مسؤول عن تنزيل مكونات البرامج الضارة وتنفيذها ، ومعظمها نسخ من نفسه." يواصل التحليل.
في المرحلة التالية ، ستسقط البرامج الضارة سلالة Trojan التي اكتشفها Trend Micro باسم TrojanSpy.Win32.BEAHNY.THCACAI التي تجمع معلومات النظام الأخرى ، بما في ذلك اسم الكمبيوتر وعنوان GUID للجهاز وعنوان MAC (مرة أخرى) وإصدار نظام التشغيل ومعلومات ذاكرة الرسومات ، ووقت النظام.
تقوم البرامج الضارة أيضًا بتنزيل تطبيق PowerShell لأداة Mimikatz ، كما تحاول استخدام كلمات مرور SQL ضعيفة للوصول إلى خوادم قاعدة البيانات الضعيفة ، وتنفيذ أوامر shell باستخدام xp_cmdshell عند الوصول. يفحص هذا المكون كتل IP للأجهزة التي تكون عرضة للإصابة بهجمات الفيروسات والتي تحاول استغلالها باستخدام EternalBlue.
المكون الخامس هو XMRig Monero cryptominer الذي يتم نشره باستخدام PowerShell ويتم حقنه في عملية PowerShell الخاصة به باستخدام أداة Invoke-ReflectivePEInjection مفتوحة المصدر.
"بالنظر إلى تزايد شعبية PowerShell والمزيد من رموز المصادر المفتوحة المتاحة للجمهور ، يمكننا أن نتوقع أن نرى برامج ضارة أكثر تعقيدًا مثل هذه". "على الرغم من أن معلومات النظام التي يتم جمعها وإعادتها إلى C&C قد تبدو غير مهمة مقارنة بسرقة معلومات التعريف الشخصية بشكل مباشر ، إلا أن معلومات النظام فريدة من نوعها بالنسبة للآلات ويمكن استخدامها لتتبع المستخدمين والأنشطة وتحديدهم وتعقبهم."
ليست هناك تعليقات:
إرسال تعليق