بدافزار بدون فایل مبتنی بر PowerShell به نام WannaMine پس از یکسال همچنان در حال گسترش است
منبع : مرکز مدیریت راهبردی افتا
بدافزار بدون فایل مبتنی بر PowerShell به نام WannaMine پس از یکسال همچنان در حال گسترش است.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، حملات واناکرای که برای نخستینبار در ماه می ۲۰۱۷ اتفاقافتاد از اکسپلویت EternalBlue استفاده میکرد. اکسپلویت EternalBlue که از پروتکل اشتراکگذاری پروندههای شبکه سرور (SMB) در سیستمعامل ویندوز برای انتقال در شبکهها بهره میبرد، موجب نشت اطلاعات میشود. این اکسپلویت در بدافزارهای دیگری ازجمله NotPetya و Adylkuzz نیز مورد استفاده قرار گرفتهاست. از این اکسپلویت در یک کرم کاوشگر ارز دیجیتالی Monero به نام WannaMine (یک بدافزار بدون فایل مبتنی بر PowerShell) نیز استفاده شدهاست.
بدافزار WannaMine پس از یکسال همچنان در حال گسترش است. پژوهشگران امنیتی در Cybereason، اخیرا پژوهشی را در مورد حمله به یکی از مشتریهای خود منتشر کردهاند که طبق آن این بدافزار تعداد زیادی از دامنهها را پس از دسترسی از طریق سرور SMB، آلوده میکند. این بدافزار بدونفایل است و از اسکریپتهای PowerShell گرفته شده از سرورهای راه دور استفاده میکند تا مولفههای خود را اجرا کند. بدافزار از دستوراتی برای دانلود یک فایل حجیم حاوی متنهای کد شده با Base64 در سرور آلوده استفاده میکند. فایل به حدی حجیم است که ابزارهای ویرایش متن برای باز کردن این فایل دچار مشکل میشود. درون این فایل، کدهای PowerShell دیگری ازجمله یک نسخه PowerShell ابزار سرقت اطلاعات احراز هویت Mimikatz وجود دارد. همچنین یک کامپایلر NET. نیز در آن وجود دارد.
بدافزار فعالیتهای مختلفی را در سیستم قربانی انجام میدهد، ازجمله تشخیص نوع سیستمعامل (۳۲ یا ۶۴ بیتی بودن)، ایجاد تنظیماتی در جهت ماندگاری بدافزار، راهاندازی بدافزار بعد از روشن شدن سیستم آلوده، جلوگیری از رفتن به حالت Sleep در سیستم آلوده، تخلیه پورتهای ۳۳۳۳، ۵۵۵۵ و ۷۷۷۷ برای اطمینان از عدم کاوش ارز دیجیتال در سیستم آلوده و درخواست اتصال به پورت ۱۴۴۴۴ برای انجام کارهای مربوط به کاوش ارز دیجیتال.
گفته میشود که WannaMine همچنان از برخی سرورهای مشابه که در ابتدا با آن ارتباط داشتهاست، استفاده میکند. برخی از این سرورهای فرمان و کنترل عبارتاند از: