info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

استخراج رمز-ارز به کمک EthernalBlue

خلاصه: هکرها از اکسپلویت EternalBlue در یک بدافزار استخراج رمز-ارز برای استخراج مونرو با استفاده از ماشین‌های ویندوزی آسیب‌پذیر استفاده می‌کنند. این بدافزار که PyRoMine نامیده شده است، به زبان پایتون نوشته شده و مجهز به امکان دورزدن نرم‌افزارهای امنیتی نیز هست.

هکرها از اکسپلویت EternalBlue در یک بدافزار استخراج رمز-ارز برای استخراج مونرو با استفاده از ماشین‌های ویندوزی آسیب‌پذیر استفاده می‌کنند.

بدافزار PyRoMine از اکسپلویت اترنال‌بلو برای هک ویندوزهای آسیب‌پذیر جهت استخراج رمز-ارز استفاده می‌کند.

EternalBlue یک اکسپلویت اجرای کد از راه دور است که توسط گروه سایه‌شکنان (Shadow Brokers) استفاده می‌شد، این اکسپلویت توسط NSA برای سوءاستفاده از پروتکل اشتراک فایل SMBv1 ایجاد شد.

بسیاری از سازمان‌ها از پروتکل SMB بر روی اینترنت استفاده می‌کنند، و با توجه به اینکه این حمله از آن اکسپلویت‌ها استفاده می‌کند، نتیجه‌ای مانند حملات تاریخی NotPetya و WannaCry خواهد داشت.

بدافزار PyRoMine به‌زبان پایتون نوشته شده است.

این بدافزار کار خود را در آوریل ۲۰۱۸ شروع کرده است و مجرمان سایبری به‌صورت مداوم قدرت بدافزار را بهبود می‌بخشند.

بدافزار PyRoMine مجهز به امکان دور زدن نر‌م‌افزارهای امنیتی نیز هست و سرویس‌های RDP را در ماشین قربانی برای حملات آینده، فعال می‌کند.

PyRoMine ابتدا از طریق یک URL مخرب (hxxp://212.‎83.‎190.‎122/server/controller.zip) به کامپیوتر قربانی تزریق شده، و یک فایل زیپ را در کامپیوتر قربانی رها می‌کند.

فایل اصلی، شامل یک پیلود به‌نام "controller" است.

تحلیل‌های بیشتر نشان داده‌است، که کد فایل Controller از اکسپلویت EternalRomance کپی شده است.

سپس این بدافزار آدرس IP لوکال را برای پیدا کردن ساب‌نت‌های شبکه‌ی محلی، (برای اجرای پیلود) پیدا می‌کند.

این بدافزار با استفاده از نام‌کاربری هاردکدشده‌ی "Default" و رمز عبور "P@ssw0rdf0rme" به ماشین هدف وارد می‌شود.

سپس پیلود اکسپلویت دانلود و VBScript را از یک URL مخرب دستکاری شده‌ی خاص، اجرا می‌کند. این URL برای دانلود و استارت فایل‌های ماینر و راه‌اندازی سیستم برای استخراج رمز-ارز نیز استفاده می‌شود.

در آخر، یک حساب پیشفرض را در گروه‌های لوکال،  "Administrators‏"، "Remote Desktop Users" و “User” تنظیم کرده و پورت ۳۳۸۹ RDP را فعال می‌کند تا امکان ترافیک بیشتر از مهاجم برای انجام فعالیت‌های مخرب مختلف در آینده، فراهم باشد.

توصیه می‌شود که سیستم‌های خود را به‌روزرسانی کرده و آسیب‌پذیری‌ها را وصله کنید.

 

 

تحت نظارت وف ایرانی