تحلیل بدافزار

حمله جدید استخراج‌کننده ارز رمز پایه به کمک EternalBlue

نوع جدیدی از استخراج‌کننده ارز رمز پایه NRSMiner کاربرانی را در نواحی جنوبی آسیا آلوده کرده است. بیشتر قربانیان از کشورهای ویتنام (۵۴%)، ایران (۱۶%) و مالزی (۱۲%) بوده‌اند.

نسخه جدیدی از حمله مبتنی بر EternalBlue در حال گسترش است. EternalBlue ابزاری است که توسط NSA توسعه داده‌شده و در حمله WannaCry مورداستفاده قرارگرفته است. این ابزار پروتکل SMBv1 را هدف قرار می‌دهد.

تحلیلی که شرکت F-Secure منتشر کرده نشان می‌دهد در اواسط نوامبر ۲۰۱۸ گزارش‌ها از نسخه جدیدی از استخراج‌کننده ارز رمز پایه NRSMiner به‌طور گسترده‌ای در حال انتشار است. این استخراج‌کننده از Eternal Blue برای انتشار استفاده کرده و به‌طور فعال در آسیا پخش‌شده است. بیشتر سیستم‌های آلوده در ویتنام دیده‌شده‌اند.

نسخه جدید NRSMiner با دانلود ماژول‌های جدید و حذف فایل‌ها و سرویس‌های نصب‌شده نسخه قدیمی از سیستم‌های آلوده، خود را به‌روزرسانی می‌کند.

ماشین‌های آلوده با نسخه‌های قدیمی‌تر NRSMiner سرویس wmassrv را برای اتصال به tecate[.]traduires[.]com به‌منظور دانلود ماژول به‌روزرسانی اجرا می‌کند. ماژول در پوشه %systemroot%\temp با نام tmp[xx].exe که xx مقدار برگشتی تابع GetTickCount است، ذخیره می‌شود. سپس ماژول به‌روزرسانی نسخه جدید را یافته و خود را حذف می‌کند. در غیر این صورت نسخه جدید را از آدرس URL موجود در کد خود دانلود می‌کند.

کد مخرب پس از اجرا سرویسی با نام snmpstosrv با snmpstorsrv.dll نصب‌کرده و سپس خود را حذف می‌کند. سرویس ساخته‌شده برای اجرا برخی فعالیت‌های بدخواهانه نظیر استخراج ارز رمز پایه چندین نخ ایجاد می‌کند.

استخراج‌کننده به‌روزرسانی شده به svhost.exe تزریق و عملیات استخراج ارز آغاز می‌شود. درصورتی‌که عمل تزریق موفقیت‌آمیز نباشد سرویس استخراج‌کننده را در مسیر %systemroot%\system32\TrustedHostex.exe قرار داده و سپس اجرا می‌کند.

آخرین نسخه از استخراج‌کننده NRSMiner وظیفه انتشار را به wininit.exe محول کرده است. wininit.exe داده‌های موجود در %systemroot%\AppDiagnostics\blue.xml را از حالت فشرده خارج کرده و فایل‌های استخراج‌شده در پوشه AppDiagnostics ذخیره می‌کند. یکی از فایل‌های استخراج‌شده svchost.exe است که در حقیقت ابزار EternalBlue نسخه ۲.۲.۰ را اجرا می‌کند.

Wininit.exe شبکه محلی را برای یافتن آسیب‌پذیری EternalBlue بر روی پورت ۴۴۵ پویش می‌کند و در صورت یافتن سیستم آسیب‌پذیری EternalBlue را بر روی آن اجرا می‌کند. در صورت موفقیت‌آمیز بودن اجرا در پشتی DoublePulsar بر روی ماشین قربانی ایجاد می‌شود.

کد مخرب از استخراج‌کننده XMRig Monero استفاده می‌کند.

مطالب مرتبط:
باج‌افزار WannaCry همچنان در هزاران سیستم در کمین است
به‌روزرسانی جدید مایکروسافت برای ۱۷ آسیب‌پذیری بحرانی
رخنه امنیتی در WebLogic شرکت Oracle به ارزش ۲۲۶ هزار دلار!

منبع: Security Affairs

حمله جدید استخراج‌کننده ارز رمز پایه به کمک EternalBlue
To Top