اخیرا شواهدی مبنی بر انتشار یک بدافزار جدید در برخی از زیرساختها به دست آمده است. هر چند ریشهیابی و شناسایی عوامل ورود آلودگی هنوز در دست بررسی است، اما از آنجا که رفتار و چگونگی عملکرد این بدافزار کاملاً شناسایی شده، واحدهای فناوری اطلاعات سازمانها میتوانند با استفاده از شاخصهای این آلودگی که در جداول زیر ارائه شده است، نسبت به معرفی آن به سامانههای ضدبدافزار و سایر ابزارهای امنیتی خود اقدام کنند.
به گزارش مرکز مدیریت راهبردی افتا، شاخصهای مرتبط با آلودگی که با سوءاستفاده از آسیبپذیریهای سامانهها و نرمافزارها امکان انتقال آنها وجود دارد در سه دسته زیر قرار میگیرند:
• فایل اجرایی bat.
• فایل اجرایی exe.
• سرویسهای ویندوزی مخرب
همچنین عواملی چون استفاده از نام کاربری و رمز عبور پیشفرض، عدم اعمال اصل حداقل دسترسی برای کاربران و عدم پایش رویدادهای امنیتی سازمان اعم از فعالیتهای شبکه و سیستم میتواند باعث تسهیل و تسریع در انتشار این آلودگی باشند.
راهکار پیشگیری و مقابله:
1. این بدافزار بهمنظور ارتباط با سرورهای کنترل و فرماندهی (C&C)، پورت tcp/9396 را روی سیستم قربانی باز کرده و در حالت Listening قرار میدهد. لذا یکی از اقدامات مهم برای پیشگیری و مقابله با این بدافزار، مسدودسازی این پورت در لبه شبکه است.
2. این بدافزار برای انتشار در شبکه و سیستمها و تخریب اطلاعات از فایلهای اجرایی مخرب و سرویسهای مخرب (نام مشابه با سرویسهای معتبر ویندوز) استفاده میکند، که فهرست آنها بههمراه مشخصاتی مانند مسیر فایل و کد Hash فایل در جداول زیر ارائه شده است. لذا یکی دیگر از اقدامات مهم برای پیشگیری و مقابله با این بدافزار، معرفی و شناساندن آنها به سامانههای ضدبدافزار و سایر ابزارهای امنیتی است.
|
کد Hash فایل
|
مسیر
|
نام فایل
|
نوع شاخص
|
|
MD5: 22b3396e4c4d8ecebb064e4dad5ffc19
SHA1: d0b9122026dfa55bd23093a1b46ac95418958072
SHA256: aeb9f828ec4a024fa1433f5e5265e382e67d190bdb25fe272ebd5682a42458a7
|
C:\windows\
|
Distributor.exe
|
فایلهای اجرایی مخرب
|
|
MD5: 4d0feed1e69feba24c8e8db087f3c1b0
SHA1: f59adb5f6940b4d2f921a512d4f6a060c5ef0e95
SHA256: 1c68d8cb9a3bcd83e75d02cc62c9bebfcc09ec4d981096aa015f0c82370711f5
|
C:\windows\temp\
|
awesdap.bat
|
|
MD5: 02287396edfc2d01f8edb1c457ed0deb
SHA1: 26164ae1b30b40801d5c486892f9fc817bf4e86f
SHA256: 234a79c3b9041d2ef8cb59c2a9c22d79386a9cc0848291fa537e00e6aa0f6b4f
|
C:\windows\
|
wcmssvc.exe
|
|
MD5: 0aa3b91d584803a39250742b69173841
SHA1: 25b64bc157bcdf7caf6f17a6122a850515275b6e
SHA256: 5b1ce340ca7e44c68b895dc69613543047d86b6c6a8aedec6002be0c54dbff1f
|
C:\windows\
|
wint.bat
|
|
MD5: 6d806a5b0390262b5ef4687ba10c540c
SHA1: 2ce90ab46c620f84dfb36a3e97ae8f27122b142a
SHA256: c9d0d65ece17239b50f97dab502ddb34ada08ef2f1f9c0747e30fb4ba3ebfb00
|
C:\windows\
|
dilemma.exe
|
|
MD5: 0d4dd220e563852622a73111a6d6dd84
SHA1: 15c8aff16f6b49b4e5c3171257027904e46e54bb
SHA256: a6b62be055041b0df9eb153c7cfc7be76b767e6259c7513c03f8a2df1abc6998
|
C:\users\public\
|
CreateService.bat
|
|
توضیحات
|
نام فایل
|
نوع شاخص
|
|
توجه شود که در نام سرویس عبارت task به عمد taks نوشته شده تا از نامهای مشابه سرویسهای ویندوزی سوءاستفاده شود
|
windows taks scheduler
|
سرویسهای مخرب
|
|
|
windows communication manager
|