I. نظرة عامة

في الآونة الأخيرة، اعترضت صوفان فريق الأمن دودة "RoseKernel". الفيروس يمكن أن الكراك كلمات السر عن طريق نشر شبكة واسعة عن بعد لمجموعة متنوعة من وسائل العنف. بعد غزو فيروسات الكمبيوتر، وأيضا تنفيذ "التعدين" (مونرو العملة)، ويندوز توقيع تدمير آلية للتحقق، وانتشار الفيروسات وغيرها من الباب الخلفي سلوك ضار. منذ الفيروس المحطة سيكون لها نفس الشبكة في القوة الغاشمة نفس كلمة السر للمستخدم فعلت LAN وغيرها من المؤسسات (الحكومية والشركات والمدارس والمستشفيات) ضررا كبيرا، والصحافة منذ زمن، وعشرات الآلاف من أجهزة الكمبيوتر قد اصيبوا بالعدوى.

دودة من قبل الأجهزة الطرفية المتحركة (U القرص، الخ)، وانتشار اختطاف اختصارات Office، بعد مرور الغاشمة انتشار ثلاث طرق:

1، من خلال انتشار الطرفية للفيروس في الملف الأصلي سيتم ملحقات خفية، وإنشاء اختصار إلى ملف مخفي مع نفسه بالضبط، بعد قيام المستخدم للنقر، سيتم تشغيل الفيروس على الفور.

2، للاختطاف من قبل اختصارات Office بعد انتشار الفيروس واختطاف وورد وإكسل اختصارات، مما يسمح للمستخدمين لإنشاء مستند جديد مع شفرة الفيروس. عندما يرسل المستخدم هذه الوثائق للمستخدمين الآخرين، فإن الفيروس أيضا سوف تنتشر.

3، وينتشر كلمة المرور عن بعد عن طريق القوة الغاشمة. بعد غزو فيروسات الكمبيوتر، ولكن أيضا جميع محطاتها في نفس جزء الشبكة بينما كلمة المرور القوة الغاشمة، والاستمرار في نشر الفيروس.

بسبب التهديد من انتشار الفيروسات من خلال وثائق، والأجهزة الطرفية، وغيرها من الأدوات المكتبية شائعة الأعمال، إلى جانب غزو الفيروسات بعد الكمبيوتر كلمة المرور القوة الغاشمة في وقت واحد لجميع محطاتها في نفس جزء الشبكة، وبالتالي فإن الحكومة والشركات والمدارس والمستشفيات وغيرها من المؤسسات تواجه LAN الحد الأقصى.

بعد غزو فيروسات الكمبيوتر، وسرقة محفظة العملة الرقمية، ولكن أيضا استخدام موارد الحوسبة المحلية "التعدين" (مونرو العملة)، وعلى الطرف الآخر من عملية التعدين لجعل الخاصة موارد الكمبيوتر الخالصة، حتى أن "التعدين" لتحقيق أقصى قدر من الفوائد . وبالإضافة إلى ذلك، فإن الفيروس يدمر آلية يندوز توقيع التحقق، مما أدى إلى التحقق من صحة التوقيع غير صالح من قبل المستخدمين الخلط، وتحسين فيروس مخبأة في حد ذاته. "RoseKernel" فيروس ديه أيضا وظيفة مستتر أن يمكن تعديلها الفيروسات عصابات الشيفرات الخبيثة في أي وقت من قبل الملقم البعيد، ومستقبل لا يستبعد الفيروسات الأخرى الصادرة إلى وحدة التنفيذ المحلية.

ثانيا، تحليل عينة

صوفان اعترضت مؤخرا مجموعة من عينات الدودة الفيروس إلى إنشاء برنامج نصي WMI عن طريق القوة الغاشمة عن بعد، ويحتوي على الفيروس وظيفة التحكم عن بعد، يمكن أن تصدر في أي وحدة ليتم تنفيذها محليا، هناك المخاطر: سرقة محفظة العملة الرقمية، واستخدام موارد الحوسبة المحلية والتعدين (عملات مونرو)، لا يستبعد المستقبل الصادرة إلى إمكانية الفيروسات الأخرى الوحدة المنفذة محليا. وحدات الفيروسات وظائف، كما هو مبين أدناه:

وصف النموذج

هنا ينقسم الفيروس إلى وحدات وحدات ووصف DM6331.TMP rknrl.vbs على حدة.

وحدة rknrl.vbs

يمكن أن ينظر إليه rknrl.vbs كما محمل، يتم تشفير DM6331.TMP VBS رموز، فإنه سيتم قراءة DM6331.TMP تنفيذها بعد فك التشفير فيروس DM6331.TMP هو المهمة الرئيسية للوحدة، فإن وحدة تعمل في الظهر التفاصيل. كما هو مبين، فك وظيفة فك التشفير الرئيسية للفيروس، يتم تشفير معظم سلاسل "AB" وظيفة باستخدام وظيفة فك التشفير، فيما بعد تم حذفها. هنا تنقسم الفيروسات فيروس كود مؤلف محمل والملفات المشفرة إلى قسمين الغرض الميزة لتجنب قتل قتل لينة. عملية فك التشفير، كما هو مبين أدناه:

كود فك شفرة

وحدة DM6331.TMP

وحدة DM6331.TMP هي وحدة رئيسية من الفيروس، كما سيتم تقسيم المزيد من الوظائف إلى تسعة أقسام وصف: المكونات المدونة مستتر لرفع مستوى والتعدين الخفية، الرقمية سرقة عملة المحفظة، هجوم توقيع إعادة استخدامها، والطرف الآخر من عملية التعدين، خطف مكونات اختصارات Office، U إصابة القرص، القوة الغاشمة عن بعد لإنشاء البرامج النصية WMI.

كود مستتر

المكالمة الأولى "Getini" وظيفة لتحصل على المتاح C & C عنوان الخادم، داخل الموقع ما يلي: تحميل برنامج الفيروس والتعدين والمعادن عنوان حمامات مال، وكذلك التحكم عن بعد C & C عنوان الخادم. بعد الحصول على محتوى الموقع أنه يدعو "chkorder" تنفيذ أوامر التحكم عن بعد. تحتوي "Chkorder" وظيفة تحميل، تحميل، حذف أي ملف، أي التعليمات البرمجية التي يتم VBS حاليا بيئة تنفيذ البرنامج النصي، وتبدأ كمد صدى، وعملية الحصول على قائمة من المعلومات، ونهاية أي عملية وغيرها من المهام. كود ذات الصلة، كما هو مبين أدناه:

الحصول على عنوان التحكم عن بعد

قيادة مستتر عن بعد

كود ظيفة التحكم عن بعد

ترقية المكونات

ملخص وحدة DM6331.TMP في WMI بالتسجيل المسمى "rknrlmon" يتم تنفيذ يبدأ السيناريو على فترات من ثماني ثوان مرة واحدة للحصول على وتحليل الحصول على الخادم التحكم عن بعد C & C الأمر كما الفيروسات والإجراءات التعدين استخدام الترقية. كود ذات الصلة، كما هو مبين أدناه:

ترقية نسخة

إخفاء التعدين

"Rknrlmon" السيناريو سوف تحقق ما إذا كان هناك مدير المهمة في البيئة الحالية، إذا كان هناك، في نهاية البرنامج التعدين، وإلا التنفيذ، التي يمكن أن تحسن الفيروسات المخفية. كود ذات الصلة، كما هو مبين أدناه:

برنامج إخفاء التعدين

سرقة محفظة العملة الرقمية

سوف بتنفيذ التعليمات البرمجية فيروس DM6331.TMP اجتياز الضحية بعد الدليل القرص، والعملة الرقمية لسرقة محافظ المنزل إصابة ملفات المستخدم، ولكن تجاوز دلائل النظام و 360 الدليل. وجدت أنه عندما تعبر مجلد الدليل تحت اسم الملف يحتوي على "المحفظة"، "إلكتروم" في ". كيز الكلمة، وحجم الملف هو أقل من 183600 بايت، سيكون من تحميل الملف المقابلة. إذا وجدت اسم الملف عندما يحتوي على "default.html"، "index.asp" الصفحة وغيرها من المواقع المرتبطة اسم الملف الافتراضي سيتم إدراج جافا سكريبت العلامة النصي مع رمز الفيروس في الصفحة بعد شفرة جافا سكريبت داخل فيروس فك يحتوي على ارتباط إلى C & C الخادم سيتم إضافة الرابط الذي كان يتعذر الوصول إليها، ضمن صفحة ويب ملف المصابين "// الخامس | ت \" سلسلة، كعلامة من العدوى المتعلقة التعليمات البرمجية، كما هو مبين أدناه:

اجتياز الدليل المستخدم

سرقة العملة الرقمية والعدوى الرئيسية

إعادة هجوم التوقيع

الفيروس عن طريق تغيير الطريقة التي سجل ويندوز، ويندوز تدمير توقيع آلية التحقق، مما يجعلها غير صالحة "مايكروسوفت ويندوز" من التحقق من صحة التوقيع الرقمي. كود ذات الصلة، كما هو مبين أدناه:

آلية ويندوز تدمير التحقق من صحة التوقيع

أصاب الفيروس الملفات قبل وبعد معلومات التوقيع الرقمي، كما هو مبين أدناه:

قبل وبعد ملف معلومات التوقيع الرقمي المصابة بالفيروسات

أخرى نهاية البرنامج التعدين

بعد بدء عملية التعدين، فإن العملية الحالية أعاد خلال قائمة WMI، ستنتهي عملية المقابلة إذا "xmrig"، "xmrig-أيه إم دي" يحتوي على عمليات مثل وجود اسم عمال المناجم. والغرض من ذلك هو احتكار موارد الكمبيوتر للتعدين، والتوسع في عائدات التعدين. كود ذات الصلة، كما هو مبين أدناه:

أخرى نهاية البرنامج التعدين

اختطاف اختصار Office

DM6331.TMP بعد إعدام سيكون مع وثيقة وحدات الماكرو كلمة (rknrl.TMP1) وثائق اكسل (rknrl.TMP2) نسخ إلى الدليل مكتب، ثم الدليل سطح المكتب الانتقالي، إضافة الأمر في الاختصار وورد وإكسل لمكتب لخط البرامج المعلمات. كود ذات صلة على النحو التالي:

اختصارات اختطاف وورد وإكسل

قد تم العبث المعلمات الاختصار والشرح مع بعد، كما هو مبين أدناه:

عند بدء اختصار خطف، يستدعي ملف وثيقة مع شفرة الفيروس، فإن تشغيل التعليمات البرمجية فيروس الافراج rknrl.vbs وDM6331.TMP في دليل Temp وتسجيل الفيروس البرامج النصية WMI. لأن المعلمات فيروس بدء التشغيل الوثيقة القائمة مفتوحة، لذلك عندما يقوم المستخدم لحفظ المستند الجديد، ستكون وثيقة مع شفرة الفيروس، إذا كان المستخدم يرسل وثيقة مع شفرة الفيروس للمستخدمين الآخرين، وسوف يساعد انتشار الفيروس. فيروس التعليمات البرمجية للماكرو، كما هو مبين أدناه:

الإفراج عن الفيروس

U انتشار القرص

الفيروس بإنشاء اسم المجلد والملف الدليل الجذر متطابقة تقريبا جهاز الاختصار فيروس التخزين القابلة للإزالة (إذا لم يكن مساويا لطول اسم مجلد واحد، ثم الفيروس سيتم حذف اسم الملف الأصلي الحرف الأخير، ثم خلق هذا الاسم الاختصارات)، في حين يتم إخفاء حقيقي، لحث المستخدمين على النقر على أداء فيروس. كود ذات الصلة، كما هو مبين أدناه:

رموز U-نشر

يو القرص المصاب

WMI ضعف الغاشمة كلمة المرور

الفيروس يمكن أن تخلق أيضا انتشار النصي WMI للقضاء كلمات السر الضعيفة عن بعد من خلال العنف، وانتشار الكائن لا يقتصر على وجود أي مضيف على LAN ستهاجم الإنترنت. وسيتم في البداية الحصول على IP المحلي، بعد الهجوم نفسه القوة الغاشمة قطعة الشبكة بالإضافة إلى عنوان البث لجميع المضيفين. بعد الفيروس سوف تولد انتشار عنوان IP عشوائي، خارج الشبكة عن طريق نفس الهجوم. كود ذات الصلة، كما هو مبين أدناه:

توليد عناوين IP عشوائي WMI ضعف الغاشمة كلمة المرور

الثالث، التذييل

SHA256 عينة

* المؤلف: سلامة صوفان، يرجى الإشارة من FreeBuf.COM