هشدارهای افتایی
محققان از فعالیت یک کارزار استخراج ارز رمز (Cryptocurrency-mining) مونرو با عنوان Blue Mockingbird خبر داده‌اند که در جریان گسترش آن از آسیب‌پذیری CVE-2019-18935 در برنامه‌های وب مبتنی بر بستر ASP.NET بهره‌جویی (Exploit) می‌شود.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی SecurityAffairs، بهره‌جویی از CVE-2019-18935 می‌تواند منجر به اجرای کد به‌صورت از راه دور شود. Progress Telerik UI for ASP.NET AJAX از آسیب‌پذیری مذکور تأثیر می‌پذیرد.
با این حال بهره‌جویی موفق از CVE-2019-18935 مستلزم در اختیار داشتن کلیدهای رمزگذاری است و بنابراین موفقیت در حمله نیازمند اجرای زنجیره‌ای از اقدامات است.
از بخشی از این حملات که در آن استخراج ارز رمرز مونرو در قالب یک فایل DLL انجام صورت می‌پذیرد با عنوان Blue Mockingbird یاد می‌شود. به گفته محققان در این کارزار دسترسی اولیه با بهره‌جویی از برنامه‌های قابل دسترس بر روی اینترنت به ویژه Telerik UI for ASP.NET فراهم شده و در ادامه مهاجمان ضمن گسترش آلودگی در سطح شبکه قربانی، با استفاده از چندین تکنیک حضور خود را ماندگار می‌کنند.
هکرها با هدف قرار دادن نسخ آسیب‌پذیر Telerik UI for ASP.NET اقدام به توزیع کد استخراج‌کننده ارز رمز مونرو در قالب یک فایل DLL در سیستم عامل Windows می‌کنند.
گفته می‌شود که کارزار Blue Mockingbird حداقل از دسامبر سال میلادی گذشته فعال بوده است.
از جمله تکنیک‌های اجرای کد مخرب می‌توان به موارد زیر اشاره کرد:
  •     اجرا توسط rundll32.exe و فراخوانی صریح یک DLL Export با عنوان fackaaxv
  •     اجرا با استفاده از regsvr32.exe با بکارگیری سوییچ /s در خط فرمان
  •     اجرا توسط کد مخرب در قالب یک Windows Service DLL
در کد مخرب فهرستی از دامنه‌های متداول مورد استفاده در استخراج ارز رمز به همراه نشانی کیف ارز رمز مونرو لحاظ شده است. محققان دو نشانی کیف ارز رمز را در Blue Mockingbird شناسایی کرده‌اند. گر چه در نتیجه مخفی نگاه داشتن مقدار هر معامله در ارز رمز مونرو نمی‌توان در خصوص درآمد مهاجمان از این کارزار اظهار نظر کرد.
برای ماندگاری، مهاجمان ابتدا دسترسی‌های خود را ارتقا می‌دهند. برای این منظور از تکنیک‌هایی همچون بکارگیری یک بهره‌جوی JuicyPotato برای ترفیع سطح دسترسی یک حساب کاربری مجازی IIS Application Pool Identity به NT Authority\SYSTEM و سرقت اطلاعات اصالت‌سنجی از طریق ابزار Mimikatz استفاده می‌شود.
در ادامه مهاجمان از چندین روش نظیر بهره‌گیری از COR_PROFILER COM برای اجرای یک DLL مخرب و بازگردانی فایل‌های حذف شده توسط سیستم‌های دفاعی استفاده می‌کنند.
گردانندگان Blue Mockingbird با حرکات جانبی خود در شبکه ضمن ارتقای سطح دسترسی، با بکارگیری پودمان Remote Desktop Protocol – RDP – اقدام به دسترسی یافتن به سیستم‌های با دسترسی بالا و استفاده از Windows Explorer برای توزیع از راه دور کدهای مخرب بر روی سیستم‌ها می‌کنند.
همچنین در برخی موارد، به‌صورت از راه دور با استفاده فرمان و سوییچ schtasks.exe /S فرامین موسوم به Scheduled Tasks برای اجرای پروسه‌های مخرب ایجاد می‌شوند.
با این حال محققان معتقدند این کارزار همچنان در حال توسعه است.
تمرکز بر نصب اصلاحیه‌های سرورهای وب، برنامه‌های وب و برنامه‌های وابسته به آنها از اصلی‌ترین راهکارهای دفاعی در برابر این تهدید است. Blue Mockingbird قادر به عبور از سد فناوری‌های Whitelisting بوده و به همین خاطر جلوگیری از رخنه اولیه، اهمیت بسزایی دارد. ضمن اینکه رصد مستمر فرامین Scheduled Tasks برای اطمینان یافتن از عدم اجرای پروسه‌های مخرب توسط این ابزار Windows توصیه می شود.
جزییات بیشتر در مورد کارزار Blue Mockingbird در لینک زیر قابل مطالعه است:
نشانه‌های آلودگی:
درهم‌ساز
•    d388c309a540d4619169a07a4b64707f4c44953511875b57ad7cfa3e097115af
•    14e3c16ca940244bea9b6080fa02384ebb4818572cef7092f90d72ae210b330d
•    5377c69c05817a0e18f7b0ebbeed420f9ab8d1e81b439f439b42917fbe772dfb
•    c957d007824ee8173c67122a1843c979c818614eeed7db03dea3ba7fede43eba
•    5d7116f04e10e968de64c4201fc7374fa84b364e90f8e4eba0fbc41afeaf468c
•    909495884627e2e74d07d729b5e046f3ae01cabd9f0a5a99c74d46046a677f7c
•    ab698a35dc5263f0ca460f09dcbc9f8a4aeb7643365a1e7fa122581ef72c34b6
•    60504228b3fc524287bf2a260db933a408639b2f1a29af7538c61b00c4a44c86
•    1d30d3cafdcc43b2f9a593983ad096c2c3941025fb4e91257e2dcf0919ed24ba
•    968b324be2b89f1a8ee4743d946723c1ffdca16ccfbbbbb68e5b9f60e0bff4c9
•    018a02fd0dbc63e54656b8915d71cd8a2ce4409608ae4dff6ec196ffa8743ba1
•    b31f7152a547fa41c31f9c96177b2cd7131a93f7c328bf6da360dc1586ba18dc
•    9a432ea16e74b36c55ec5faa790937fe752ff2561cef83e44856fd1e72398309
•    de6c061aafc5d86e692bec45f69b2ea18639abd540b59c2c281717a054a48dd5

منبع:
https://securityaffairs.co/wordpress/103020/cyber-crime/blue-mockingbird-campaign.html
(با سپاس از همکاری شرکت مهندسی شبکه گستر در تهیه این گزارش)
 

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.