آخرین اخبار
اخیرا آخرین نسخه  NRSMinerدر حملاتی مشاهده شده است که سیستم‌هایی که در برابر رخنه امنیتی شناخته‌شده EternalBlue ایمن و مقاوم نشده‌اند، هدف قرار می‌دهد.
به گزارش معاونت بررسی مرکز افتا، به نقل از پژوهشگران امنیت سایبری F-Secure، دستگاه‌های اصلاح -نشده در برابر EternalBlue، در حال آلوده شدن توسط آخرین نسخه NRSMiner هستند. NRSMiner بدافزاری است که برای سرقت منابع محاسباتی دستگاه جهت استخراج ارز دیجیتال طراحی شده است.
از اواسط ماه نوامبر سال گذشته، آخرین موج حملات به طور گسترده در کشورهای مختلف از جمله چین، ژاپن و اکوادور پخش شده است. حملات اخیر این بدافزار نیز در آسیا انجام شده است. آمار آلودگی این بدافزار در ماه‌های نوامبر و دسامبر 2018 در تصویر زیر نمایش داده شده است:

 
نسخه جدید این بدافزار به اکسپلویت EternalBlue متکی است تا از طریق شبک‌های محلی گسترش یابد.
EternalBlue یک رخنه امنیتی  SMBv1(Server Message Block 1.0) است که قابلیت انجام حملات اجرای کد از راه دور (RCE) را از طریق سرویس‌های آسیب‌پذیر به اشتراک‌گذاری فایل SMB در ویندوز را دارد. نقص امنیتی مورد سوء استفاده در حملات، CVE-2017-0144 است که در مارس 2017 توسط مایکروسافت رفع شده‌است. با این حال همچنان بسیاری از سیستم‌ها به‌روز نشده‌اند و نسبت به آن آسیب‌پذیر هستند.
NRSMiner از کاوشگر XMRig Monero برای کنترل پردازنده سیستم آلوده جهت استخراج ارز دیجیتال  Monero استفاده می‌کند. NRSMiner همچنین قادر به دانلود ماژول‌های بروزرسانی، به‌روز‌کردن نسخه‌های قدیمی‌تر بدافزار موجود در یک دستگاه و حذف فایل‌ها و خدمات نصب‌شده قبلی است.
آخرین نسخه NRSMiner از طریق نسخه‌های قدیمی آن، با دانلود اجباری یک ماژول بروزرسانی در پوشهtemp  سیستم، یا با تکیه بر EternalBlue، دستگاه‌های جدید را آلوده می‌کند.
این رخنه امنیتی از طریق Wininit.exe گسترش می‌یابد که هنگام اجرا یک فایل svchost.exe را که به عنوانEternalBlue 2.2.0  شناخته می‌شود، از حالت فشرده خارج می‌کند. سپس Wininit.exe قبل از اجرای اکسپلویت، پورت 445 TCP را برای شناسایی سیستم‌های آسیب‌پذیر دیگر اسکن می‌کند.
در صورت موفقیت‌آمیز بودن فرایند بدافزار، درب پشتی DoublePulsar از طریق فایلی به نام spoolsv.exe اجرا می‌شود. این درب پشتی که یک payload سطح کرنل است، به سیستم‌های 32 و 64 بیتی متصل می‌شود و از پورت‌های سیستم برای آلوده‌کردن سیستم هدف توسط payloadهای اضافی و ایجاد مسیری برای ارتباط با سرور فرمان و کنترل (C&C) و سرقت اطلاعات، استفاده می‌کند. از این درب-پشتی برای حفظ پایداری در سیستم آلوده و همچنین برای اجرای سرویس Snmpstorsrv، که قادر به اسکن مداوم برای یافتن سیستم‌های آسیب‌پذیر جدید است، استفاده می‌شود.
توصیه می‌شود تا با بروزرسانی ویندوز، نسبت به محافظت از این بدافزار اقدام شود. در صورتی که بروزرسانی ناممکن باشد، غیرفعالسازی SMBv1 به عنوان راه‌حل موقت توصیه می‌شود.
نشانه‌های آلودگی (IoC):
هش (SHA-1):

    32ffc268b7db4e43d661c8b8e14005b3d9abd306 - MarsTraceDiagnostics.xml
    07fab65174a54df87c4bc6090594d17be6609a5e - snmpstorsrv.dll
    abd64831ad85345962d1e0525de75a12c91c9e55 - AppDiagnostics folder (zip)
    4971e6eb72c3738e19c6491a473b6c420dde2b57 - Wininit.exe
    e43c51aea1fefb3a05e63ba6e452ef0249e71dd9 – tmpxx.exe
    327d908430f27515df96c3dcd180bda14ff47fda – tmpxx.exe
  37e51ac73b2205785c24045bc46b69f776586421 - WUDHostUpgradexx.exe
    da673eda0757650fdd6ab35dbf9789ba8128f460 - WUDHostUpgradexx.exe
   ace69a35fea67d32348fc07e491080fa635cc859 - WUDHostUpgradexx.exe
   890377356f1d41d2816372e094b4e4687659a96f - WUDHostUpgradexx.exe
    7f1f63feaf79c5f0a4caa5bbc1b9d76b8641181a - WUDHostUpgradexx.exe
    9d4d574a01aaab5688b3b9eb4f3df2bd98e9790c - WUDHostUpgradexx.exe
  9d7d20e834b2651036fb44774c5f645363d4e051 – x64.dll
    641603020238a059739ab4cd50199b76b70304e1 – x86.dll
IPها:


    167[.]179.79.234
   104[.]248.72.247
   172[.]105.229.220
    207[.]148.110.212
    149[.]28.133.197
    167[.]99.172.78
    181[.]215.176.23
    38[.]132.111.23
    216[.]250.99.33
  103[.]103.128.151
URLها:

 c[.]lombriz[.]tk
    state[.]codidled[.]com
    null[.]exhauest[.]com
    take[.]exhauest[.]com
   junk[.]soquare[.]com
    loop[.]sawmilliner[.]com
   fox[.]weilders[.]com
   asthma[.]weilders[.]com
   reader[.]pamphler[.]com
    jump[.]taucepan[.]com
    pluck[.]moisture[.]tk
   handle[.]pamphler[.]com
منابع : 

 
امتیاز دهی
 
 

نسخه قابل چاپ
  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.