استفاده‌ی بدافزار PyRo Mine از ابزار NSA برای جمع‌آوری Monero

یک‌شنبه ۱۶ اردیبهشت ۱۳۹۷
محققان امنیتی Fortinet، بدافزار خطرناک جدیدی کشف کرده‌اند که ارز رمزمبنای Monero را استخراج می‌کند.
مرکز آپا شریف
SUT-APA-LOGO

محققان امنیتی Fortinet، بدافزار خطرناک جدیدی کشف کرده‌اند که نه تنها ارز رمزمبنای Monero را استخراج می‌کند، بلکه ویژگی‌های امنیتی سیستم ویندوزی هدف را نیز غیرفعال می‌سازد و از سوءاستفاده‌ها‌ی آژانس امنیت ملی (NSA) استفاده می‌کند.
EternalBlue و EternalRomance سوءاستفاده‌های آژانس امنیت ملی هستند و این بدافزار نیز همچون Adylkuzz، Smominru و WannaMine از EternalBlue استفاده می‌کند.

طبق آخرین یافته‌های Fortinet، این بدافزار که مبتنی بر Python است PyRo Mine نام گرفته و بدافزاری خطرناک است؛ زیرا ویژگی‌های امنیتی سیستم را غیرفعال و خود را بدون اطلاع قربانی منتشر می‌سازد. بدتر اینکه PyRo Mine پروتکل صفحه‌نمایش ازراه‌دور (RDP) سیستم را فعال می‌سازد و دستگاه هدف را در معرض حملات آتی قرار می‌دهد.
مهاجمان برای حمله از URL مخربی که حاوی فایل .ZIP است استفاده می‌کنند. فایل .ZIP شامل PyInstaller است. PyInstaller برنامه‌ای است که برنامه‌های Python را به اجرایی‌های مستقل بسته‌بندی می‌کند. این بدان معنی است که مهاجمان برای اجرای بدافزار نیازی به نصب Python ندارند.
سوءاستفاده‌ی EternalBlue به PyRo Mine اجازه می‌دهد تا امتیازات سیستم را به‌دست آورد. این امر به مهاجمان اجازه می‌دهد تا کنترل کامل سیستم را به‌دست آورند و ارز رمزمبنای Monero را بااستفاده از قدرت محاسباتی دستگاه استخراج نمایند بدون آنکه کاربر شکی کند. کاربر زمانی ممکن است مشکوک شود که متوجه شود پردازنده‌ی دستگاهش بیش‌ازاندازه در حال استفاده است. استخراج Monero زمانی آغاز می‌شود که بدافزار PyRo Mine اسکریپت مخربی را دانلود نماید.
به گفته‌ی Jasper Manuel محقق امنیتی Fortinet، اسکریپت مخرب حساب کاربری پیش‌فرضی با گذرواژه‌ی “P@ssw0rdf0rme” تنظیم می‌کند و این حساب کاربری را به گروه‌های محلی «مدیران»، «کاربران صفحه‌نمایش ازراه‌دور» و «کاربران» اضافه می‌کند. سپس RDP را فعال می‌سازد و یک قانون دیواره‌ی آتش اضافه می‌کند تا اجازه‌ی ترافیک بر پورت RDP 3389 را بدهد. همچنین خدمات به‌روزرسانی ویندوز (Windows Update Service) را متوقف می‌سازد و خدمات Remote Access Connection Manager را راه‌اندازی می‌کند. سپس Windows Remote Management Service را برای فعال‌سازی احرازهویت پایه و انتقال داده‌های رمزنشده پیکربندی می‌کند.
به کابران ویندوزی توصیه می‌شود وصله‌ی امنیتی که جهت برطرف ساختن این آسیب‌پذیری‌ توسط مایکروسافت منتشرشده است را نصب نمایند.