I. Genel Bakış
Son zamanlarda, Tinder güvenlik ekibi "RoseKernel" solucanını yakaladı. Virüs, parolaların uzaktan kaba kuvvetle kırılması gibi birden çok yöntemle tüm ağa yayılabilir. Virüs bilgisayarı istila ettikten sonra, eş zamanlı olarak "madencilik" (Monero), Windows imza doğrulama mekanizmasını yok etme ve arka kapı virüslerini yayma gibi bir dizi kötü amaçlı eylem gerçekleştirecektir. Virüs, aynı ağ segmentindeki terminallerin şifrelerini aynı anda zorlayacağından, yerel alan ağları gibi kurumların (hükümetler, işletmeler, okullar ve hastaneler) kullanıcıları için son derece zararlı olacaktır.Yayın tarihi itibariyle on binlerce bilgisayara virüs bulaşmıştır.
Solucan virüsü üç tür yöntemle yayılır: mobil çevre birimleri (U disk vb.), Office kısayollarını ele geçirme ve uzaktan kaba kuvvet şifre kırma:
1. Çevre birimleri aracılığıyla yayılırken, virüs çevre birimlerdeki orijinal dosyaları gizleyecek ve gizli dosyalarla tamamen aynı olan bir kısayol oluşturacaktır.Kullanıcıyı tıklatmaya yönlendirdikten sonra, virüs hemen çalışacaktır;
2. Office kısayollarını ele geçirerek yayıldıktan sonra, virüs Word ve Excel kısayollarını ele geçirerek kullanıcıların virüs koduyla yeni belgeler oluşturmasına olanak tanır. Kullanıcılar bu belgeleri başka kullanıcılara gönderdiklerinde virüs de yayılır;
3. Uzaktan kaba kuvvet şifre kırma yoluyla yayılır. Virüs bilgisayarı işgal ettikten sonra, aynı ağ segmenti altındaki tüm terminallerin parolalarını aynı anda virüsü yaymaya devam etmek için zorlayacaktır.
Virüs, işletmelerin belgeleri, çevre birimleri ve diğer ortak ofis araçları aracılığıyla yayıldığı ve bilgisayarı işgal ettikten sonra aynı ağ segmenti altındaki tüm terminalleri aynı anda şifreyi kırmaya zorlayacaktır.Bu nedenle hükümet, işletmeler, okullar, hastaneler ve diğer yerel alan ağları kuruluşları tehditlerle karşı karşıya kalacaktır. maksimum.
Virüs bilgisayarı işgal ettikten sonra, dijital para cüzdanını çalacak, yerel bilgi işlem kaynaklarını "madencilik" (Monero paraları) için kullanacak ve diğer madencilik programlarını sonlandırarak bilgisayar kaynaklarını tekelleştirip "madenciliğin" faydalarını en üst düzeye çıkarmasına izin verecek . Ayrıca virüs Windows imza doğrulama mekanizmasını yok ederek geçersiz imza doğrulamasının geçmesine, kullanıcıların kafasını karıştırmasına ve virüsün kendisinin gizlenmesini iyileştirmesine neden olur. "RoseKernel" virüsünün arka kapı işlevi de vardır.Virüs çetesi, kötü niyetli kodu herhangi bir zamanda uzak bir sunucu aracılığıyla değiştirebilir.Gelecekte yürütmek üzere başka virüs modüllerinin yerel olarak yayınlanacağı göz ardı edilmemiştir.
2. Örnek analiz
Tinder kısa süre önce bir grup solucan virüsü örneğini yakaladı. Virüs, kaba kuvvet kırma yoluyla WMI komut dosyalarını uzaktan oluşturdu. Virüs, uzaktan kontrol işlevlerini içerir ve yerel yürütmeye gönderilebilir. Mevcut zararlar şunları içerir: dijital para cüzdanlarını çalmak ve yerel bilgi işlem kaynaklarını kullanmak Madencilik (Monero), gelecekte diğer virüs modüllerini yerel yürütmeye gönderme olasılığını ortadan kaldırmaz. Aşağıdaki şekilde gösterildiği gibi virüs modülleri ve işlevleri:
Modül tanıtımıBurada virüs rknrl.vbs modülüne ve DM6331.TMP modülüne ayrı ayrı açıklanacak şekilde bölünmüştür.
rknrl.vbs modülü
rknrl.vbs bir yükleyici olarak kabul edilebilir.DM6331.TMP, şifrelenmiş VBS kodudur.DM6331.TMP'yi okuyacak ve çalıştıracaktır. Şifre çözüldükten sonra, DM6331.TMP virüsün ana işlev modülüdür.Bu modülün işlevi geride kalacaktır. Ayrıntılı olarak açıklayın. Şekilde gösterildiği gibi, şifresi çözülmüş "aB" işlevi virüsün ana şifre çözme işlevidir. Şifrelenmiş dizelerin çoğunun şifresi bu işlev kullanılarak çözülecektir, bu nedenle bunları aşağıdaki metinde tekrar etmeyeceğim. Burada virüs yazarı, anti-virüs özelliklerinden kaçınmak için yükleyiciyi ve şifrelenmiş virüs kodunu iki dosyaya böler. Şifre çözme işlemi aşağıdaki şekilde gösterilmektedir:
Kod çözmeDM6331.TMP modülü
DM6331.TMP modülü, virüsün ana modülüdür.Birçok işlevi nedeniyle, tanıtmak için 9 bölüme ayrılacaktır: arka kapı kodu, bileşen yükseltme, gizli madencilik, dijital para cüzdanlarının çalınması, imza yeniden kullanım saldırıları, diğer madencilik programlarının sonlandırılması, kaçırma Office bileşeni kısayolları, U disk enfeksiyonu, WMI komut dosyaları oluşturmak için uzaktan kaba kuvvet kırma.
Arka kapı kodu
Virüslerin ve madencilik programlarının indirme adresini, madencilik havuzu cüzdanının adresini ve uzaktan kumanda CC sunucusunun adresini içeren uygun bir CC sunucu adresi elde etmek için önce "Getini" işlevini çağırın. Web sitesinin içeriğini aldıktan sonra, uzaktan kumanda komutlarını çalıştırmak için "chkorder" ı çağıracaktır. "Chkorder" işlevi, indirmeyi, karşıya yüklemeyi, herhangi bir dosyayı silmeyi, geçerli betik ortamında herhangi bir vbs kodunu yürütmeyi, cmd'yi başlatmayı ve yankıyı almayı, işlem listesi bilgilerini almayı ve herhangi bir işlemi sonlandırmayı içerir. İlgili kod aşağıdaki şekilde gösterilmiştir:
Uzaktan kumanda adresini alın Uzaktan arka kapı komutu Uzaktan kumanda fonksiyon koduBileşen yükseltme
DM6331.TMP modülü, WMI'da "rknrlmon" adlı bir komut dosyası kaydedecektir. Komut dosyası, CC sunucusundan uzaktan kontrol komutları almak için her 8 saniyede bir çalıştırılacaktır. Elde edilen içerik ayrıştırılır ve bir virüs ve madencilik programı olarak kullanılır Yükseltilmiş kullanım. İlgili kod aşağıdaki şekilde gösterilmiştir:
sürüm yükseltmeGizli madencilik
"Rknrlmon" betiği aynı zamanda mevcut ortamda bir görev yöneticisi olup olmadığını kontrol edecektir.Varsa, madencilik programını sona erdirecek ve bunun tersi de virüsün gizlenmesini iyileştirebilir. İlgili kod aşağıdaki şekilde gösterilmiştir:
Gizli madencilik programıDijital para cüzdanlarının çalınması
DM6331.TMP'deki virüs kodu, dijital para cüzdanını çalmak ve kullanıcının web sitesinin ana sayfa dosyalarına bulaşmak için yürütmeden sonra kurbanın disk dizininde gezinir, ancak sistem dizinini ve 360 dizinini atlar. Dizini dolaşırken, klasörün altındaki dosya adının "cüzdan", "elektrum", ".keys anahtar kelimelerini içerdiği ve dosya boyutunun 183600 bayttan az olduğu tespit edilirse, ilgili dosya yüklenecektir. Dosya adı bulunursa "Default.html", "index.asp" gibi web sitesinin varsayılan sayfasıyla ilgili dosya adları içerdiğinde, sayfaya virüs kodlu bir JavaScript komut dosyası etiketi eklenir ve şifresi çözülen JavaScript kodu, virüs CC sunucusuna bir nokta içerir. Bağlantı şu anda erişilemez durumda ve "// v | v \" dizesi, etkilenen web sayfası dosyasına bir bulaşma işareti olarak eklenecek. İlgili kod aşağıdaki şekilde gösterilmektedir:
Kullanıcı dizininde gezinin Dijital para birimi çalmak ve web sitesi ana sayfasına bulaşmakİmza yeniden kullanım saldırısı
Virüs, Windows kayıt defterini değiştirerek Windows imza doğrulama mekanizmasını yok eder, böylece geçersiz "Microsoft Windows" dijital imza doğrulaması geçer. İlgili kod aşağıdaki şekilde gösterilmiştir:
Windows imza doğrulama mekanizmasını ortadan kaldırınAşağıdaki şekilde gösterildiği gibi, bulaşmadan önce ve sonra dijital imza bilgilerini dosyalayın:
Virüs dosyalarının bulaşmadan önce ve sonra dijital imza bilgileriDiğer madencilik prosedürlerini sonlandırın
Madencilik programını başlattıktan sonra, mevcut süreç listesi de WMI üzerinden geçecektir. "Xmrig", "xmrig-amd" gibi madenci adları içeren işlemler varsa, ilgili işlem sonlandırılacaktır. Amaç, madencilik için bilgisayar kaynaklarını tekeline almak ve madencilik gelirini artırmaktır. İlgili kod aşağıdaki şekilde gösterilmiştir:
Diğer madencilik prosedürlerini sonlandırınHijack Office kısayolu
DM6331.TMP çalıştırıldıktan sonra, Word belgesini (rknrl.TMP1) ve Excel belgesini (rknrl.TMP2) Office dizinine kopyalayacak, ardından masaüstü dizinine geçecek ve Word ve Excel ofis yazılımının kısayollarına komut satırları ekleyecektir. parametre. İlgili kod aşağıdaki gibidir:
Hijack Word ve Excel kısayollarıKısayol parametreleri ve kurcalandıktan sonraki açıklamaları aşağıdaki şekilde gösterilmektedir:
Ele geçirilen kısayol başlatıldığında, virüs kodunu içeren belge dosyası çağrılacaktır.Virüs kodu çalıştıktan sonra, Temp dizininde rknrl.vbs ve DM6331.TMP'yi yayınlayacak ve virüs WMI komut dosyasını kaydedecektir. Başlangıç parametresi virüs belgesinin açılmasına dayandığından, kullanıcı yeni oluşturulan belgeyi kaydettiğinde belge de virüs kodu içerecektir.Kullanıcı belgeyi virüs koduyla birlikte başka kullanıcılara gönderirse, virüsün yayılmasına yardımcı olur. Virüs makro kodu, aşağıda gösterildiği gibi:
Virüsü serbest bırakınU disk yayıldı
Virüs, çıkarılabilir depolama aygıtında kök dizindeki klasör adıyla neredeyse aynı olan bir virüs kısayolu oluşturacaktır (klasör adı uzunluk olarak bir adla aynı değilse, virüs orijinal dosya adının son karakterini silecek ve ardından bu adla oluşturacaktır. Kısayol) ve aynı zamanda gerçek klasörü gizleyin ve kullanıcıları virüsü çalıştırmak için tıklamaya teşvik edin. İlgili kod aşağıdaki şekilde gösterilmiştir:
U disk yayma kodu Enfekte U DiskWMI zayıf parolasının kaba kuvvetle kırılması
Virüs, zayıf parolaların kaba kuvvetle kırılması yoluyla uzaktan WMI komut dosyaları oluşturarak da yayılabilir Yayılma nesnesi yerel alan ağıyla sınırlı değildir, aynı zamanda İnternette bulunan herhangi bir ana bilgisayara saldırır. Öncelikle yerel IP elde edilecek, ardından yayın adresi dışında aynı ağ segmentindeki tüm ana bilgisayarlara kaba kuvvet saldırıları gerçekleştirilecektir. Bundan sonra, virüs rastgele bir IP adresi oluşturacak ve aynı saldırı yöntemiyle İnternet üzerinden yayılacaktır. İlgili kod aşağıdaki şekilde gösterilmiştir:
Rastgele IP adresi oluştur WMI zayıf parolasının kaba kuvvetle kırılması3. Ek
Örnek SHA256
* Yazar: tinder güvenliği, lütfen FreeBuf.COM'dan belirtin