آگاهی رسانی در خصوص بدافزار Zero2

به گزارش تیم تحلیل ضدبدافزار پادویش، بدافزار Zero2 از جمله بدافزارهای جدید در زمینه استخراج ارزهای دیجیتال می‌باشد که در حال حاضر در میان سیستم‌های رایانه‌ای در حال گسترش است. این بدافزار جدید، از ابزار PowerShell که یک ابزار سیستمی استاندارد می‌باشد، برای اجرای کد مخرب خود و انتشار در شبکه داخلی استفاده می‌کند. هدف بدافزار استخراج بیت کوین و سایر ارزهای دیجیتال از سیستم قربانی می‌باشد. این بدافزار توسط عموم نرم‌افزارهای ضدبدافزار با نام Exploit.Win32.Zero2.a شناسایی می‌گردد.
این بدافزار برای اعمال آلودگی طی چندین مرحله به سرور آلوده متصل شده و با اجرای کد مخرب در حافظه سیستم قربانی باعث تخریب می‌شود. از پیچیدگی های این بدافزار می‌توان به لایه‌های بی شمار مبهم سازی کدها و به نوعی بدون فایل (Fileless) بودن بدافزار اشاره کرد. زیرا بدفزار برای بقا در سیستم قربانی از فایل های xml در قالب Job استفاده می‌کند که وظیفه آن ها تنها اتصال به سرور آلوده و دانلود کدهای مخرب می‌باشد. این بدافزار از طریق اکسپلویت EternalBlue، حمله Brute Force و تکینیک Pass-the-hash انتشار می‌یابد.
این بدافزار در قالب چند لایه اجرا می شود. کد دستور job بدافزار یک کد base64 می‌باشد. لایه اول اسکریپت از فایل job اصلی بدافزار شروع می‌شود که سعی در دسترسی بهURL  اصلی بدافزار دارد و با دستوری در PowerShell اسکریپت‌های بعدی را دانلود و اجرا می‌کند. بدافزار با ارتباط با سرور کنترل و فرمان خود (C&C) ، اقدام به دانلود این اسکریپت‌ها می‌کند. وظیفه لایه بعد ساختن  job دوم بدافزار با نام Rtsa می‌باشد. این  jobنیز به لینک t[.]zer2[.]com متصل شده و اقدام به دانلود اسکریپت‌های بعدی می‌کند. انتشار بدافزار و سوءاستفاده از آسیب پذیری‌ها در این لایه اتفاق می‌افتد. بدافزار در لایه آخر خود ماژول mining را بر اساس اطلاعاتی که از سیستم به دست آورده است، دانلود می‌کند. این ماژول به پردازه powershell تزریق شده و از طریق آن به اجرا در می‌آید.


لیست URLهای استفاده شده توسط بدافزار:
t[.]zer2[.]com/{uri} - جهت دانلود اسکریپت‌ها و گزارش اطلاعات
down[.]ackng[.]com - دانلود اسکریپت‌های مبتنی بر اکسپلویت
lpp[.]zer2[.]com:443 - استخراج بیت کوین
lpp[.]ackng[.]com:443 - استخراج بیت کوین


روش‌‌های پاکسازی و امن‌سازی سیستم:
1- حذف Jobهای ایجاد شده توسط بدافزار
2- اعمال به‌روزرسانی‌های امنیتی مربوط به آسیب‌پذیری‌های کشف شده از جمله EthernalBlue
3- نصب و به‌روزرسانی متناوب نرم‌افزارهای ضدبدافزار معتبر و کارا

راهبر