با توجه به اخبار منتشر شده در خصوص حملات سایبری اخیر به برخی از زیرساختهای حساس و حیاتی کشور و بررسیهای انجام شده توسط محققان امنیتی و منابع منتشر شده از این حملات سایبری، حاکی از آن است که حمله انجام شده در دسته Malwareهای نوع Wiper بوده و توسط گروههایی با پشتوانه حمایتهای دولتی انجام شده است. حملات Wiper جز آن دسته از حملاتی است که شامل بازنویسی و یا حذف دادهها از قربانی میشود و برخلاف حملات سایبری معمولی که بیشتر به دنبال نشت اطلاعات و سودجوییهای مالی هستند، بیشتر ماهیت تخریب داشته و شامل باجگیری نمیشوند.
در این راستا تیم پاسخ به رخداد (CSIRT) شرکت امن پردازان کویر (APK) با استفاده از اطلاعات منتشر شده از این حمله توسط محققان شرکت Sentinel به تشریح ابعاد پیچیده آن پرداخته و ضمن آگاهی بخشیِ تیمهای پاسخ به رخداد سازمانها نسبت به زنجیره انجام این حمله، به ارائه راهکارهایی مبنی بر تشخیص آلودگی احتمالی در زیرساختهای اطلاعاتی میپردازد.
زنجیره حمله Meteor
و با توجه به مستندات موجود، این حمله با نام “Meteor” شناخته شده است و تحقیقات در مورد ابعاد مختلف این حمله همچنان در حال انجام است. شکل زیر زنجیره گامهای انجام شده را بیان میکند. در این حمله از طیف وسیعی از برنامههای اجرایی (exe.)، اسکریپتها (bat.) و فایلهای Config استفاده شده است.
شکل ۱: گامهای حمله Meteo
گام اول: بارگذاری فایل Setup.bat و انتشار آن در شبکه
ابتدا مهاجم با قرار دادن فایل setup.bat در سرور دامین و با سوء استفاده از Group Policy اقدام به اجرای این فایل در سطح شبکه میکند. فایل setup.bat به عنوان اولین جزء حمله، مسئولیت کپی و انتقال سایر فایلهای لازم برای انجام حمله را بر عهده دارد. این فایل ابتدا یک Task برنامهریزیشده به نام AnalyzeAll را از مسیر دایرکتوری \Microsoft\Windows\Power Efficiency Diagnostics\ حذف کرده، سپس اقدام به انتقال یک فایل با فرمت cab. در سطح شبکه میکند. فایل انتقال داده شده شامل سه فایل programs.rar ، update.bat و Rar.exe است.
گام دوم: اجرای فایل update.bat
فایل update.bat یک اسکریپت Batch است که وظیفه انتقال و بازگشایی سایر فایلهای حمله را بر عهده دارد و با فراخواندن اسکریپتهای Batch پشت سر هم، سایر گامهای حمله را هدایت میکند. فایل update.bat با سه آرگومان رمز عبور hackemall، مسیرهای مربوطه و فایل Payload (env.exe) اجرا میگردد در صورت عدم استفاده از Payload، اسکریپت سعی میکند فایل msapp.exe را اجرا کند. فایلهای env.exe و msapp.exe فایلهای اجرایی جهت انجام Payload حمله Wiper Meteor است.
شکل۲: اجرای فایل update.bat
در فایل Update.bat از اسکریپتهای bat. و برنامههای اجرایی استفاده شده است. در شکل زیر فایلها و برنامههایی که داخل فایل update.bat فراخوانی و اجرا میشود نشان داده شده است.
شکل ۳: فایلهایی که داخل فایل Update.bat فراخوانی میشود.
در فایل update.bat فایلهای آرشیوی با نامهای ms.rar، bcd.rar وprograms.rar با استفاده از برنامه Rar.exe که توسط خود مهاجم فراهم شده است و با رمز عبور «hackemall» از حالت فشرده، خارج میشوند.
گام سوم: اجرای فایل Cache.bat به منظور آمادهسازی و پاکسازی
فایل cache.bat بر روی پاکسازی موانع و آمادهسازی زمینه برای عناصر بعدی با استفاده از PowerShell تمرکز دارد. در این فایل ابتدا دستگاه آلوده از شبکه جدا و بررسی میشود که آیا آنتیویروس کسپرسکی روی دستگاه نصب شده است یا خیر و در صورت نصب بودن آنتیویروس بر روی دستگاه، به اجرای اسکریپت خاتمه داده میشود. در غیر این صورت اقدام به ایجاد یک لیست exclusions در سرویس Windows Defender برای اجرای بدون موانع گامهای بعدی حمله مینماید.
شکل ۴: لیست Exclusionهای انجام شده در سرویس Windows Defender
سپس مهاجم از طریق دستور wevtutil اقدام به پاک کردن لاگهای مربوط به کانالهای Application، Security و System در سامانهها کرده و در پایان با استفاده از فایل sync.exe محتویات حافظه cache را به صورت دستی بر روی دیسک سخت انتقال میدهد.
گام چهارم: اجرای فایل bcd.bat به منظور خرابکاری در فرآیند بوت
در ادامه فایل Update.bat با فراخوانی فایل bcd.bat اقدام به غیرفعالکردن قابلیت بوتشدن دستگاه و پاککردن تمام لاگهای ایجاد شده میکند. به منظور غیرفعالکردن قابلیت بوتشدن دستگاه، bcd.bat یک فایل boot.ini جایگزین ایجاد کرده و نسخه سیستم boot.ini را رونویسی میکند، متاسفانه با این اقدام، دیگر امکان بوت مجدد دستگاه وجود نخواهد داشت.
شکل ۵: بازنویسی فایل boot.ini توسط فایل bcd.bat
گام پنجم: اجرای فایل msrun.bat جهت پیادهسازی payload حمله
بعد از اجرای فایل bcd.bat فایل update.bat اقدام به بازگشایی فایل ms.rar کرده که با آن فایلهای ،mssetup.exe msconf.conf ،mscap.bmp ،mscap.jpg ،mssetup.reg و msuser.reg در دسترس قرار میگیرند. فایلهای تصویری، تصاویری هستند که بر روی تابلوی اعلانات نمایش داده شده است.
شکل ۶: تصویر فایل mscap.jpg
سپس فایل update.bat فایل msrun.bat را فراخوانی کرده و با استفاده از آن به پیادهسازی گام نهایی و اجرای payload حمله میپردازد. فایل msrun.bat اقدام به اجرای برنامه msapp.exe در قالب یک ScheduledTask به نام mstask مینماید. اجرای برنامه msapp.exe سبب قفل شدن سیستم و تغییر رمز عبور آن میشود.
روش مقابله و پاکسازی سیستم
- انجام عملیات Hunting جهت بررسی و اطمینان از عدم آلودگی احتمالی
- تمامی دسترسیهای سطح ادمین به اکتیودایرکتوری سازمان مورد بازبینی مجدد قرار گیرد و تمامی پسوردهای اکانتهای ادمین تغییر کند.
- بررسی و بازبینی مجوزهای دسترسی Root به سیستمعاملها و تغییر تمامی پسوردها
- بررسی فرآیند پشتیبانگیری آفلاین از سامانهها و اطمینان از صحت آنها
در پایان شرکت امن پردازان کویر در راستای ایجاد سازمان امن، آمادگی لازم جهت اعزام تیم پاسخ به رخداد (CSIRT) جهت بررسی و تشخیص آلودگی احتمالی و انجام عملیات Hunting در سازمانها را دارد.
در صورت تمایل به کسب اطلاعات بیشتر، درخواست دمو یا مشاوره، نسبت به تکمیل فرم مورد نظر اقدام فرمایید.