کمیته رکن چهارم – شرکت امنیتی McAfee از اجرای موج جدیدی از حملات سایبری در خاورمیانه خبر داده که در جریان آن مهاجمان از طریق بدافزار معروف Shamoon Wiper – یا DistTrack – اقدام به رونویسی بخشهای Master Boot Record و Boot Sector دیسک سخت دستگاهها با دادههای خراب کرده و سبب بالا نیامدن دستگاههای آلوده شده میشوند.
به گزارش کمیته رکن چهارم،بدافزار Shamoon Wiper برای اولین بار در مرداد ماه سال ۱۳۹۱ مشاهده شد. با توجه به آمار آلودگیهای گزارش شده در آن زمان، شرکتهای ضدویروس، هدف اصلی این بدافزار را سازمانهای فعال در حوزه انرژی (نفت و گاز)، از جمله، شرکت نفت عربستان سعودی (Aramco) اعلام کردند.
برخی منابع، باز هم کشور عربستان سعودی را هدف اصلی حملات اخیر اعلام کردهاند.
ساختار نسخه جدید بدافزار Shamoon Wiper مشابه نسخه چهار سال پیش آن است. اما تغییراتی کوچکی نیز در آن اعمال شده است. از جمله این تغییرات میتوان به موارد زیر اشاره کرد:
نسخه جدید این بدافزار حاوی بانکی از اطلاعات اصالتسنجی (Credential) است که بهنظر میرسد مهاجمان پیشتر بهنحوی آنها را از سازمانهای هدف قرار داده شده سرقت کرده بودند.
در نسخه سال ۱۳۹۱، بخش Master Boot Record دیسک سخت با تصویری که در آن پرچم آمریکا در حال سوختن است جایگزین میشد. اما در نسخه جدید تصویری از Alan Kurdî، پسر بچه آواره سوری که سال گذشته در دریای مدیترانه غرق شد نمایش داده میشود.
نسخه جدید بهنحوی پیکربندی شده که عملیات رونویسی بخشهای حساس دیسک سخت را در پنجشنبه ۲۷ آبان ماه و در ساعت ۸:۴۵ عصر به وقت محلی انجام دهد. روزهای کاری در کشور عربستان از یکشنبه تا پنجشنبه است. بهنظر میرسد مهاجمان قصد داشتهاند که فرآیند رونویسی پس از ترک اکثر کارکنان از محل کار و در طی دو روز تعطیلی آخر هفته بر روی دستگاههای با اهمیت نظیر سرورها انجام شود و احتمال شناسایی شدن را به حداقل برسانند. تاریخ و زمان مذکور همانطور که در ادامه به آن اشاره خواهد شد توسط مهاجمان قابل تغییر است.
به گزارش شرکت مهندسی شبکه گستر به نقل از شرکت Palo Alto Networks، این بدافزار برای انتشار در سطح شبکه اقدام به شناسایی دستگاههای با نشانی IP کلاس Cو(x.x.x.0-255) بر روی تمامی کارت های شبکه دستگاه آلوده شده میکند.
در ادامه تلاش میکند از طریق نام کاربری و گذرواژه دستگاه آلوده به یکی از پوشههای زیر بر روی دستگاههای شناسایی شده متصل شود:
ADMIN$
C$\Windows
D$\Windows
E$\Windows
در صورتی که اطلاعات اصالتسنجی دستگاه ویروسی، مجوز دسترسی به پوشههای مذکور را نداشته باشد بدافزار میکوشد تا از طریق بانک اطلاعات اصالتسنجی سرقتی خود که در ابتدای این مطلب به آنها اشاره شد اقدام به اتصال کند.
در صورت صحیح بودن اطلاعات، سرویس Remote Registry دستگاه مقصد در حالت Started قرار داده میشود. بدافزار نیز با استفاده از RegConnectRegistryW به محضرخانه (Registry) دستگاه متصل شده و بخش User Access Control را با تحصیص مقدار یک به کلید زیر غیرفعال میکند:
SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPolicy
در ادامه، بدافزار تلاش میشود با استفاده از NetUseAdd و اطلاعات اصالتسنجی سرقت شده به دستگاه وارد شود. پس از آن با اجرای csrss.exe در پوشه %WINDIR%\System32 بر روی دستگاه هدف، میزان حق دسترسی نام کاربری که ارتباط از طریق آن برقرار شده است بررسی میشود.
در صورت مجاز بود فایلی از بدافزار با نام ntssrvr32.exe در پوشه مذکور دستگاه مقصد کپی میشود.
در ادامه بدافزار از یکی از دو روش زیر برای اجرای خود بر روی سیستم هدف استفاده میکند.
در روش نخست سرویسی با نام ntssrv و با مشخصات زیر ایجاد میشود:
Name: Microsoft Network Realtime Inspection Service
Description: Helps guard against time change attempts targeting known and newly discovered vulnerabilities in network time protocols
در دومین روش، بجای ایجاد یک سرویس، از طریق کتابخانه netapi32 تابع NetScheduleJobAdd بر روی سیستم عامل Windows فراخوانی شده و یک فرمان زمانبندی شده برای اجرای فایل مخرب تعریف میشود. بدافزار از تابع NetRemoteTOD نیز برای شناسایی تاریخ و زمان دستگاه و استفاده از آن برای تعیین زمان اجرای فرمان استفاده میکند.
با اجرای بدافزار بر روی دستگاه مقصد بخش Wiper که یک راهانداز (Driver) با نام drdisk.sys است اجرا میشود. این راهانداز یکی از بخشهای استاندارد برنامه تجاری EldoS است که امکان دسترسی سطح پایین به درایوهای دیسک سخت را فراهم میکند. از این راهانداز در نخستین حمله ویروس Shamoon نیز استفاده شده بود و از طریق آن بخشهای حساس دیسک سخت با تصویر اشاره شده در ابتدای این مطلب جایگزین میشوند. در نتیجه آن دستگاه در هنگام راهاندازی با خطا مواجه شده و پیامی مشابه تصویر نمایش داده میشود:
ویروس شامون
بدافزار، دارای بخش دیگری نیز هست که وظیفه آن برقراری ارتباط با سرور فرماندهی مهاجمان (Command & Control) است. مهاجمان قادرند از همین طریق زمان جدیدی را برای اجرای رونویسی بخشهای Master Boot Record و Boot Sector به بدافزار اعلام کنند. همچنین این بخش موظف است که نتیجه تلاش برای انجام عملیات رونویسی را به سرور فرماندهی گزارش کند.
نسخه جدید بدافزار Shamoon Wiper یا DistTrack توسط ضدویروس McAfee با نامهای زیر شناسایی میشود:
DistTrack![partial-hash]
Artemis detection
DistTrack!sys
Trojan-FKIQ![hash]
Trojan-FKIR![hash]
منبع:رسانه خبری امنیت اطلاعات
