۲۱ خرداد ۱۳۹۷

PyRoMine: بدافزاری برای کاوش بیت ‏کوین

امروزه کامپیوتر جایگاه گسترده‏ای در زندگی روزمره یافته است. اکثر افراد از کامپیوتر و موبایل جهت تسهیل فعالیت‏های خود استفاده می‏کنند. همین موضوع دست مایه بسیاری حملات جدید گشته است. یکی از این حملات بدافزارها هستند. بدافزارها شامل جاسوس ‏افزارها، باج‏ افزارها و … می‏شوند.

اخیراً گونه جدیدی از بدافزار یافت شده که از توان پردازشی کامپیوتر قربانی جهت کسب رمز ارز استفاده می‏ کنند. این برنامه‏ ها بدافزارهای کاوش‏گر نام گرفتند. به نظر می‏رسد این بدافزارها به زودی از باج‏افزارها نیز محبوب‏ تر شوند. بسیاری افراد از پرداخت باج خودداری می‏ کنند، درحالی‏ که این بدافزارها به‏راحتی و حتی بدون نیاز به جمع ‏آوری باج عملیات هدف خود را انجام می‏ دهند. نکته اساسی در این باره عدم نیاز اطلاع ‏رسانی به قربانی است.

اخیراً بدافزار کاوش‏گر جدیدی جهت کاوش رمز ارز مونرو دیده شده است. این بدافزار به زبان پایتون نوشته شده و از اکسپلویت “ETERNALROMANCE” بهره می‏برد. از همین رو به آن نام “PyRoMine” داده شده است. این بدافزار که به‏ صورت فایل اجرایی موجود است، برای اجرا نیازی به نصب پایتون ندارد. این بدافزار پس از اجرا بدون اجازه قربانی و به‏ صورت مخفیانه از CPU قربانی برای کاوش مونرو استفاده می‏کند.

نکته اول در خصوص این باج افزار استفاده از اکسپلویت “ETRNALROMANCE” است. این اکسپلویت در آوریل سال ۲۰۱۷ به‏همراه اکسپلویت دیگری با نام “ETERNALBLUE” توسط گروهی به‏نام ”Shadow Brokers” منتشر گردید. البته گزارش اولیه این آسیب‏ پذیری در سال ۲۰۱۶ ارائه شده بود. سیستم‏ عامل هدف این اکسپلویت ها، ویندوز XP تا ویندوز ۱۰ و همچنین ویندوز سرور ۲۰۰۳ تا ویندوز سرور ۲۰۱۶ است. این اکسپلویت ‏ها از آسیب‏ پذیری‏های “CVE-2017-0144”و” CVE-2017-0145” بهره می ‏بردند. این آسیب‏ پذیری‏ها در به‏ روزرسانی امنیتی Ms17-010 رفع شدند. با این وجود بسیاری از شبکه ‏ها که این به‏ روزرسانی امنیتی را دریافت نکرده ‏اند همچنان در برابر این حملات آسیب‏ پذیرند. “ETERNALBLUE” و “ETERNALROMANCE” اکسپلویت‏ های اجرایی از راه دور هستند که از پروتکل “SMBV1” بهره می‏برند. از این پروتکل برای اشتراک فایل درون شبکه محلی استفاده می‏ شود. باج‏ افزارهایی مانند “WannaCry” و “NotPetya” از “ETERNALBLUE” برای انتشار استفاده می‏ کنند.

نکته دوم انتخاب مونرو برای کاوش است. دلیل این انتخاب، سادگی کاوش مونرو است. مونرو نسبت به ارزهایی مانند بیت ‏کوین کاوش‏گران کمتری دارد. در نتیجه رقابت برای کسب آن ساده ‏تر است. همچنین مونرو جهت مکایزم اثبات عملکرد از الگوریتم “CryptoNight” استفاده می ‏کند. استفاده می‏کند که برای کامپیوترهای معمولی و حتی دستگاه‏ های موبایل نیز مناسب است و نیازی به سخت ‏افزار‏های ویژه ندارد.

این برنامه ابتدا یک حساب کاربری پیش ‏فرض با کلمه‏ عبور “P@ssw0rdf0rme” ایجاد و به گروه ‏های محلی مانند گروه “مدیران”، “کاربران” و “کاربران از راه دور” اضافه می‏کند. سپس پروتکل RDP را جهت اتصال از راه دور فعال می ‏کند. همچنین سرویس مدیریت از راه دور ویندوز را پیکربندی می‏ کند تا امکان اتصال به کامپیوتر قربانی برای دسترسی ‏های بعدی فعال شود. سپس یک قانون جدید به دیواره آتش اضافه می‏کند تا پورت ۳۳۸۹ که مربوط به پروتکلی RDP است باز شود و امکان اتصال از طریق آن فراهم شود. همچنین به‏ روزرسانی ویندوز را غیرفعال می‏کند تا امکان دریافت وصله امنیتی “ETERNALBLUE” از دست برود.

 

مراجع

[۱] “Python-Based Malware Uses NSA Exploit to Propagate Monero (XMR) Mine”, https://www.fortinet.com/blog/threat-research/python-based-malware-uses-nsa-exploit-to-propagate-monero–xmr–.html, April 2018.
[۲] “PyRoMine Uses NSA Exploit for Monero Mining and Backdoor”, https://hk.saowen.com/a/745e41398b679c1489db90cbc04c3b76a6aa16d796e5d5d6faafc23700b15691, April 2018.
[۳] “PyRoMine Crypto-Miner Spreads via NSA-Linked Exploit”, https://www.securityweek.com/pyromine-crypto-miner-spreads-nsa-linked-exploit, April 2018.