بدافزار WannaMine با استفاده از ابزارِ آژانس امنیت ملی آمریکا در حال توزیع است

 

اخیرا بدافزار جدیدی برای استخراج ارز مجازی ظهور پیدا کرده که از ابزارهای پیچیده‌ای مانند بهره‌برداری‌های ویندوز متعلق به آژانس امنیت ملی آمریکا استفاده می‌کند. این بدافزار WannaMine نام داشته و با استفاده از بهره‌برداریِ  EternalBlue به حالت کرم‌گونه توزیع می‌شود. این بهره‌برداری متعلق به آژانس امنیت ملی آمریکا بوده و از آوریل سال ۲۰۱۷ میلادی به‌طور عمومی منتشر شده است، درست یک ماه بعد از اینکه مایکروسافت آسیب‌پذیری مربوط به آن را وصله کرد.


این بهره‌برداری از یک آسیب‌پذیری در سرویس SMB ویندوز بر روی پورت ۴۴۵ استفاده کرده و پس از استفاده‌ی باج‌افزار WannaCry از آن برای توزیع خود، بسیار معروف شد. از دیگر بدافزارهایی که از این بهره‌برداری استفاده می‌کنند می‌توان به بات‌نت‌ها، تروجان‌های بانکی، باج‌افزار نات‌پتیا و درب‌های پشتی دیگر اشاره کرد. در حال حاضر نیز شاهد هستیم که بدافزار WannaMine برای استخراج ارز مجازی مونرو از این بهره‌برداری سوءاستفاده می‌کند. این بدافزار دارای ویژگی بدون-فایل بوده و در فرآیند آلودگی از پاورشل ویندوز استفاده می‌کند و این مسأله باعث می‌شود تا مسدود کردن آن با استفاده از نرم‌افزارهای امنیتی کار مشکلی باشد. 


این بدافزار از ابزار Mimikatz برای بدست آوردن گواهی‌نامه‌های سیستم قربانی برای ورود به آن استفاده می‌کند تا در ادامه بتواند به روال ماندگاری خود بر روی سیستم قربانی ادامه دهد ولی اگر در این فرآیند موفق نشد، با استفاده از EternalBlue از آسیب‌پذیری موجود بر روی سیستم قربانی از راه دور بهره‌برداری می‌کند. بدافزار WannaMine برای ماندگاری روی سیستم قربانی اشتراک رویداد دائمی را ثبت می‌کند که باعث می‌شود هر ۹۰ دقیقه یک‌بار، یک دستور پاورشل اجرا شود.


این بدافزار تمامی نسخه‌های سیستم عامل ویندوز اعم از ویندوز ۲۰۰۰، نسخه‌ی ۶۴ بیتی و ویندوز سرور ۲۰۰۳ را هدف قرار داده است. به گفته‌ی محققان امنیتی سازمان‌هایی که این بدافزار آلوده شده‌اند، در معرض آلودگی به بدافزارهای دیگری مانند باج‌افزارها نیز قرار دارند. این بدافزار برای استخراج ارز مجازی مونرو طراحی شده و ماشینی که به آن آلوده شده احتمالا در اثر این فرآيند استخراج ارز، کند خواهد شد. 


این استفاده‌ی زیاد از دستگاه منجر به داغ شدن آن و خالی شدن سریع باتری سیستم خواهد شد. برای جلوگیری از آلوده شدن به بدافزار WannaMine به کاربران توصیه می‌شود تا نرم‌افزارها و برنامه‌های امنیتی خود را به‌روز نگه دارند و در سیستم‌های خود از پسوردهای قوی و پیچیده‌تری استفاده کنند.
 

منبع

پست‌های مشابه

Leave a Comment