ITMen - شناسایی نمونه جدیدی از بدافزار MyKings

پژوهشگران امنیتی شرکت Trend Micro اخیرا فعالیت‌های مخربی را شناسایی کرده‌اند که در حال گسترش بات‌نت MyKings است. حملات با اکسپویت شناخته شده EternalBlue در ارتباط هستند و در منطقه آسیا و اقیانوسیه گزارش شده‌اند.

آی تی من- به گزارش مرکز افتا، به نقل از Trend Micro، بات‌نت MyKings برای اولین بار در سال ۲۰۱۷ شناسایی شد، تا اوایل سال ۲۰۱۸ بیش از ۵۰۰ هزار سیستم را آلوده کرد و معادل ۲,۳ میلیون دلار از طریق کاوش رمزارز بدست آورد.

_{ورودی‌های رجیستری ایجاد شده توسط نسخه 2017 بدافزار MyKings}

شناسایی فعالیت‌های جدید بدافزار MyKings از آنجایی آغاز شد که در سیستم‌های مورد بررسی Trend Micro، ارتباطاتی با آدرس‌های زیر مشاهده شد:

• hxxp://js[.]mykings.top:۲۸۰/v[.]sct

• hxxp://js[.]mykings.top:۲۸۰/helloworld[.]msi

وجود عبارت mykings در URLها نشان‌گر ارتباط آن‌ها با سرورهای فرمان و کنترل (C&C) بدافزار MyKings است.

بدافزار جدید نسبت به نمونه مشاهده شده در سال ۲۰۱۷ در چندین بخش تکامل یافته است. نمونه جدید کشف شده، بر خلاف نمونه قدیمی، علاوه‌بر استفاده از WMI برای کسب پایداری در سیستم، از رجیستری، task scheduler و یک بوت‌کیت نیز استفاده می‌کند. بوت‌کیت از نام فایل lsmosee.exe یا s.rar بهره می‌برد.

_{Scheduled tasks}

_{Windows Management Instrumentation (WMI) objects}

بدافزار یک فرایند پردازشی را در سیستم قربانی تزریق کرده که این فرایند یک shellcode را از سرور C&C دریافت می‌کند. فایل shellcode در نهایت آدرسی را به بدافزار معرفی می‌کند که منجر به بارگیری فایل upsupx.exe می‌شود. این فایل با نام conhost.exe ذخیره و اجرا می‌شود. فایل upsupx یا conhost دانلودکننده اصلی بدافزار است که لیست دیگری از سرورهای C&C و فایل kill.txt را دریافت و حاوی فرایندهای پردازشی است که بدافزار آن‌ها را متوقف می‌کند.

بدافزار در نهایت از قدرت پردازشی سیستم قربانی به منظور کاوش رمزارز سوء‌استفاده می‌کند. طبق گزارش Trend Micro، نفوذ اولیه و گسترش بدافزار از طریق اکسپلویت EternalBlue و WMI در ویندوز است.

نشانه‌های آلودگی (IoC):

هش‌ها:

• b۲.exe/msief.exe - e۸ddefd۲۳۷۶۴۶a۴۷debc۰۱df۹aa۰۲fbcae۴۰۶۸۶f۹۶b۷۸۶۰۵۱۱c۷۳۷۹۸c۷۵۴۶۲۰۱

• s / p - ۷a۴f۲f۲۷۰۲fababb۰۶۱۹۵۵۶e۶۷a۴۱d۰a۰۹e۰۱fbfdb۸۴d۴۷b۴۴۶۳decdbb۳۶۰۹۸۰

• ps - d۵f۹۰۷f۹d۲۰۰۱ee۵۰۱۳c۴c۱af۹۶۵۴۶۷۷۱۴bbc۰۹۲۸۱۱۲e۵۴ba۳۵d۱۴۲c۸eab۶۸bf

• upsupx.exe - ۷۹۰c۲۱۳e۱۲۲۷adefd۲d۵۶۴۲۱۷de۸۶ac۹fe۶۶۰۹۴۶e۱۲۴۰b۵۴۱۵c۵۵۷۷۰a۹۵۱abfd

• item.rar/item.dat - ۸۰f۸ba۷۹۹۲a۵dbaa۴a۲f۷۶۲۶۳۲۵۸d۵d۷bf۳bb۸۹۹۴f۹e۸a۴a۵۲۹۴f۷۰ab۸e۳۸ea۴

• ps - ab۲۶a۸۵۹۶۳۳d۱ec۶۸e۰۲۱۲۲۶fab۴۷۸۷۰ed۷۸fc۲e۶a۵۸c۷۰a۷a۷۰۶۰be۵۱۲۴۷c۱d

• s.rar - a۳bb۱۳۲ab۱ba۳e۷۰۶b۹۰d۶fb۵۱۴۵۰۴۱۰۵f۱۷۴c۴e۴۴۴e۸۷be۷bce۱۹۹۵f۷۹۸۰۴۴d

• item.dat - ۷۹bcb۰b۷ba۰۰c۴c۶۵bf۹b۴۱cfe۱۹۳fd۹۱۷d۹۲ab۱d۴۱۴۵۶ac۷۷۵۸۳۶cec۵cadc۹a

_{(Indicators of Compromise (IoCs}

URLها:

•  ok[.]xmr۶b[.]ru
•  ۷۴[.]۲۲۲[.]۱۴[.]۶۱
•  ۴۵[.]۵۸[.]۱۳۵[.]۱۰۶

• ۱۰۳[.]۹۵[.]۲۸[.]۵۴

• ۱۰۳[.]۲۱۳[.]۲۴۶[.]۲۳

• ۱۳۹[.]۵[.]۱۷۷[.]۱۰