يکشنبه, 16 بهمن 1401
  • ساعت : ۱۵:۲۲
  • تاريخ :
     ۱۴۰۱/۰۳/۲۱ 
  • کد خبر : ۲۱۲۹
شناسایی یك بدافزار جدید در زیرساخت‌ها
یك بدافزار جدید موسوم به Dilemma در زیرساخت‌ها شناسایی شده است.

اخیرا شواهدی مبنی بر انتشار یک بدافزار جدید در برخی از زیرساخت‌ها به دست آمده است. هر چند ریشه‌یابی و شناسایی عوامل ورود آلودگی هنوز در دست بررسی است، اما از آنجا که رفتار و چگونگی عملکرد این بدافزار کاملاً شناسایی شده، واحدهای فناوری اطلاعات سازمان‌ها می‌توانند با استفاده از شاخص‌های این آلودگی که در جداول زیر ارائه شده است، نسبت به معرفی آن به سامانه‌های ضدبدافزار و سایر ابزارهای امنیتی خود اقدام کنند.
به گزارش مرکز مدیریت راهبردی افتا، شاخص‌های مرتبط با آلودگی که با سوءاستفاده از آسیب‌پذیری‌های سامانه‌ها و نرم‌افزارها امکان انتقال آن‌ها وجود دارد در سه دسته زیر قرار می‌گیرند:
•    فایل اجرایی bat.
•    فایل اجرایی exe.
•    سرویس‌های ویندوزی مخرب


همچنین عواملی چون استفاده از نام کاربری و رمز عبور پیش‌فرض، عدم اعمال اصل حداقل دسترسی برای کاربران و عدم پایش رویدادهای امنیتی سازمان اعم از فعالیت‌های شبکه و سیستم می‌تواند باعث تسهیل و تسریع در انتشار این آلودگی باشند.


راهکار پیشگیری و مقابله:
1.    این بدافزار به‌منظور ارتباط با سرورهای کنترل و فرماندهی (C&C)، پورت tcp/9396 را روی سیستم قربانی باز کرده و در حالت Listening قرار می‌دهد. لذا یکی از اقدامات مهم برای پیشگیری و مقابله با این بدافزار، مسدودسازی این پورت در لبه شبکه است.
2.    این بدافزار برای انتشار در شبکه و سیستم‌ها و تخریب اطلاعات از فایل‌های اجرایی مخرب و سرویس‌های مخرب (نام مشابه با سرویس‌های معتبر ویندوز) استفاده می‌کند، که فهرست آن‌ها به‌همراه مشخصاتی مانند مسیر فایل و کد Hash فایل در جداول زیر ارائه شده است. لذا یکی دیگر از اقدامات مهم برای پیشگیری و مقابله با این بدافزار، معرفی و شناساندن آن‌ها به سامانه‌های ضدبدافزار و سایر ابزارهای امنیتی است.

کد Hash فایل

مسیر

نام فایل

نوع شاخص

MD5: 22b3396e4c4d8ecebb064e4dad5ffc19

SHA1: d0b9122026dfa55bd23093a1b46ac95418958072

SHA256: aeb9f828ec4a024fa1433f5e5265e382e67d190bdb25fe272ebd5682a42458a7

C:\windows\

Distributor.exe

فایل‌های اجرایی مخرب

MD5: 4d0feed1e69feba24c8e8db087f3c1b0

SHA1: f59adb5f6940b4d2f921a512d4f6a060c5ef0e95

SHA256: 1c68d8cb9a3bcd83e75d02cc62c9bebfcc09ec4d981096aa015f0c82370711f5

C:\windows\temp\

awesdap.bat

MD5: 02287396edfc2d01f8edb1c457ed0deb

SHA1: 26164ae1b30b40801d5c486892f9fc817bf4e86f

SHA256: 234a79c3b9041d2ef8cb59c2a9c22d79386a9cc0848291fa537e00e6aa0f6b4f

C:\windows\

wcmssvc.exe

MD5: 0aa3b91d584803a39250742b69173841

SHA1: 25b64bc157bcdf7caf6f17a6122a850515275b6e

SHA256: 5b1ce340ca7e44c68b895dc69613543047d86b6c6a8aedec6002be0c54dbff1f

C:\windows\

wint.bat

MD5: 6d806a5b0390262b5ef4687ba10c540c

SHA1: 2ce90ab46c620f84dfb36a3e97ae8f27122b142a

SHA256: c9d0d65ece17239b50f97dab502ddb34ada08ef2f1f9c0747e30fb4ba3ebfb00

C:\windows\

dilemma.exe

MD5: 0d4dd220e563852622a73111a6d6dd84

SHA1: 15c8aff16f6b49b4e5c3171257027904e46e54bb

SHA256: a6b62be055041b0df9eb153c7cfc7be76b767e6259c7513c03f8a2df1abc6998

C:\users\public\

CreateService.bat

 

توضیحات

نام فایل

نوع شاخص

توجه شود که در نام سرویس عبارت task به عمد taks نوشته شده تا از نام‌های مشابه سرویس‌های ویندوزی سوءاستفاده شود

windows taks scheduler

سرویس‌های مخرب

windows communication manager

 

امتیاز :  ۳.۰۰ |  مجموع :  ۲

برچسب ها

    تهران، خیابان قائم مقام فراهانی ،کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا
    ایمیل: info@afta.gov.ir
    6.0.15.0
    V6.0.15.0