الأخبار التقنيةالأمن الإلكتروني

تحذيرات متعددة من موجه هجمات ل فايروس شمعون #shamoon لذلك أتمنى أخذ الحيطة والحذر بشكل جدي

عدم إهمال النصائح المقدمة

تحذيرات متعددة من موجه هجمات لفايروس #شمعون #shamoon لذلك أتمنى أخذ الحيطة والحذر بشكل جدي

 

لقد توصلنا إلى تقارير خارجية مفادها أن الدودة الشهيرة “سايمون” ، المعروفة باسم “ديستراك” ، قد عاودت الظهور بنسخة محدثة. كما تمكنا من الحصول على عدة عينات من هذه النسخة من شمعون التي تكشف عنها تريند مايكرو باسم Trojan.Win32.DISTTRACK.AA و Trojan.Win64.DISTTRACK.AA. في حين أنه لا توجد مؤشرات واضحة على أن هذا الإصدار الجديد موجود حاليًا في البرية ، فإننا نواصل تحليل البرامج الضارة للتحقق من وظائفها وقدراتها نظرًا لتأثيرها المدمر.

يحمي أمان XGen ™ من تريند مايكرو  بالفعل المستخدمين والشركات من دودة مسح الأقراص هذه باستخدام تقنيات استباقية مثل التحليل السلوكي والتعلم الآلي عالي الدقة. في ما يلي ما يحتاج المستخدمون والمنظمات إلى معرفته حول أحدث عمليات شمعون: 

ما هو شمعون / ديتراك؟

دودة Shamoon أو Disttrack هي ممسحة. من المعروف أن الكتابة فوق الملفات المخزنة في النظام المتأثر وتصيب سجل التمهيد الرئيسي الخاص به (MBR). تقوم عملية التكرار الأولى بالكتابة فوق الوثائق والصور وملفات الفيديو وملفات الموسيقى ومسح MBR واستبدالها بصورة لعلم الحرق. استخدمت النسخة الثانية صورة سيئة السمعة للاجئ.

يبدو أن هذا الإصدار الجديد من Shamoon له نفس وظيفة الكتابة فوق MBR. وعلى عكس الإصدارات السابقة التي تحذف / تستبدل الملفات ، يقال إن هذا التكرار الجديد يقيِّد القدرة على تشفير الملفات بشكل لا رجعة فيه. كما يبدو أنها تفتقر إلى مكونات مثل بيانات الاعتماد المعرفة مسبقًا المستخدمة للحركة الجانبية داخل الشبكة والاتصالات من النوع (C & C). إن تحليلنا مستمر حاليًا وسيتحقق من ذلك بمجرد توفر المعلومات المحدثة. 

هل هذا الإصدار الجديد من Shamoon / Disttrack في البرية؟

تم تحميل ملف يحتوي على أحدث إصدار من Shamoon إلى VirusTotal من إيطاليا. لم نجد أي مؤشرات على أن هذا الإصدار الجديد من شمعون يجري توزيعه بنشاط في البرية. 

كيف يعمل هذا الإصدار الجديد من Shamoon / Disttrack؟

وكشفت نتائجنا الأولية أنها تشبه نسخة قديمة من شمعون ولكن مع بعض التعديلات. على سبيل المثال ، تم تغيير اسم الخدمة والملف منNtertSrv إلى MaintenaceSrv . هذا الإصدار من Shamoon يؤثر على 32 و 64 بت أنظمة تشغيل Windows. 

لا يزال يحتفظ بالقدرة على الكتابة فوق قرص النظام المصاب ويمكن أن يأخذ الأسماء التالية (يتم إسقاطها وتنفيذها في مجلد النظام كنسبة %System%{wiper name}):

  • _tdibth.exe
  • _wialx002.exe
  • acpipmi2z.exe
  • af0038bdax.exe
  • arcx6u0.exe
  • averfix2h826d_noaverir.exe
  • hidirkbdmvs2.exe
  • mdamx_5560.exe
  • mdmgcs_8.exe
  • mdmusrk1g5.exe
  • megasasop.exe
  • netbxndxlg2.exe
  • prncaz90x.exe
  • prngt6_4.exe
  • prnlx00ctl.exe
  • prnsv0_56.exe
  • tsprint_ibv.exe
  • vsmxraid.exe
  • wiacnt7001.exe

نستنتج أيضا أن هذه النسخة من شمعون سيئة التكوين. على سبيل المثال ، تحتوي على تعليمات برمجية للتحقق من بيانات اعتماد المستخدم لاستخدامها في نشر الشبكة ، ولكن قائمة المعلومات غير متوفرة. كما أن لديها كودًا لاتصالات C & C ولكن لا توجد معلومات متعلقة بـ C & C. عنصر آخر مفقود هو الصورة التي يستخدمها. ولديه كود للبحث عن الصورة المراد استخدامها عند الكتابة فوق MBR ، ولكن المورد الذي يحمل العنوان “GRANT” حيث يجب تحديد موقع الصورة مفقود. يحتوي أيضًا على عمليات تجزيء الأقسام ولكنه تم تكوينه بحيث لا يتم تنفيذه. بالنظر إلى ذلك ، يمكننا أن نفترض أن مؤلفي هذا الإصدار من Shamoon يختبرون برامجهم الضارة ، ونتوقع أن تظهر نسخة فعلية من البرامج الضارة في المستقبل. 

في ما يلي نظرة عامة على سلسلة هجماته:

كيف ينتشر Shamoon / Distókate؟

ينتشر شمعون عن طريق إسقاط نسخ من نفسه في الأسهم الإدارية للنظام. الدودة Shamoon نشر في هذه المجلدات / الشبكة المشتركة الإدارية: ADMIN $ و C $ \ WINDOWS و D $ \ WINDOWS و E $ \ WINDOWS. 

ما الذي يجعل Shamoon / Disttrack ملحوظًا؟

تم استخدام Shamoon في هجمات مستهدفة ضد مؤسسات ومشاريع رفيعة المستوى في الشرق الأوسط ، لا سيما في المملكة العربية السعودية . ومن الجدير بالذكر أيضا أن شمعون يناقشه أيضا المتسللون وأعضاء في الشرق الأوسط وشمال أفريقيا تحت الأرض . كما أنها سيئة السمعة لبياناتها الاجتماعية والسياسية المصاحبة للصور التي تحل محل MBR الخاص بها.

يمكن للشامون تقديم نقاط النهاية والخوادم المتصلة بنطاق المؤسسة المستهدفة غير قابل للتمهيد. عندما عادت إلى الظهور في شهر ديسمبر عام 2016 ، أضاف شمعون تقنية يمكن أن تتجاوز أحواض الرمل من خلال إدراج قنبلة منطقية في شفرتها. ينشط ويسقط مكوناته في تاريخ ووقت معين.

تلاحظ الأخبار الخارجية أن الإصدار الجديد من شمعون يبدو أن له نفس الوظيفة. تم تكوينه للتنشيط يوم 7 ديسمبر 2017 على الساعة 11:51 مساءً ، على الأرجح كطريقة لتنفيذ البرامج الضارة على الفور. 

كيف تختلف الإصدارات الثلاثة من Shamoon / Disttrack؟

في ما يلي نظرة عامة على كيفية اختلاف إصدارات شيمون الثلاثة من حيث السلوك:

 

Behavior Version 1* (2012) Version 2 (2016) Version 3* (2018)
Drops log file containing file path that it will overwrite f1.inf, f2.inf, net{4 char random} netimm173.pnf, usbvideo324.pnf %Windows%\inf\averbh_noav.pnfor %Windows%\inf\mdmnis5tQ1.pnf(contains number of encrypted files only)
MBR wiping Overwrite MBR and partition with 0x30000 bytes (uses damaged image) Overwrite MBR and partition with 0x4e00 bytes (uses image of a refugee)
  • Overwrite MBR first sector (200 Bytes, using random data)
  • Has checking of partition but is configured to not execute
  • Has code to check for image but the resource labeled as “GRANT” is missing
System time trigger SetSystemTime (August 2012) — sets the date to this date CheckSystemTime (starts November 17, 2016 – December 31, 2016) — use as trigger, not force SetSystemTime (August 2012) — sets the date to this date
Installation, Copying of itself, and Autostart Service name: TrkSvr 
   Display name: Distributed Link

Tracking Server    
   Image path: %System%\trksvr.exe

Service name: NtsSvr
   Display name: Microsoft Network
                         Realtime Inspection Service

   Image path: %System%\ntssrvr32.exe
                      %System%\ntssrvr64.exe

Service name: MaintenaceSvr

Display name: Maintenace Host Service Image 
Image path: 

  • %System%\MaintenaceSvr32.exe LocalService
  • %System%\MaintenaceSvr64.exe LocalService
Drop path, filename, and propagation are the same %System%\{random file name}.exe (wiper)
%System%\netinit.exe  (version 1 and 2), %System%\{random file name}.exe (version 3) – Network 
%System%\Drivers\drdisk.sys, %Windows%\hdv_725x.sys (version 3) 

This worm drops copies of itself in the following shared folders: 
\\{IP address}\ADMIN$\system32\{random file name}.exe 
\\{IP address}\C$\WINDOWS\system32\{random file name}.exe 
\\{IP address}\D$\WINDOWS\system32\{random file name}.exe 
\\{IP address}\E$\WINDOWS\system32\{random file name}.exe

 

* يحدد الإصداران الأول والثالث من Shamoon إعداد SetSystemTime إلى أغسطس 2012 للسماح بتشغيل٪ Windows٪ \ hdv_725x.sys.

ما الذي يمكن عمله للدفاع ضد شمعون / ديتراك؟

يُنصح المستخدمين والشركات على وجه الخصوص بتعزيز الدفاع بعمق في تأمين مواقعهم عبر الإنترنت ، والتي تتضمن الإجراءات التالية:

  • تصحيح وتحديث النظام لمنع استغلال الثغرات الأمنية.
  • قم بانتظام بعمل نسخة احتياطية من البيانات المهمة للتخفيف من الضرر.
  • فرض مبدأ الامتيازات الأقل: تعطيل المكونات الإضافية أو المكونات القديمة ؛ استخدام ميزة وضع الحماية ، تصنيف البيانات ، وتجزئة الشبكة لتقليل التعرض لمزيد من القرص المسح شمعون وقدرات الكتابة الملف.
  • استخدام آليات أمان متعددة الطبقات مثل التحكم في التطبيقات ، والتي تمنع تشغيل الملفات التنفيذية غير المرغوب فيها أو المشبوهة ، ومراقبة السلوك ، والتي تمنع تعديلات النظام الشاذة.
  • استباقي مراقبة الشبكة عن أي دلائل على الحركة الجانبية أو حركة المرور الضارة عن طريق نشر جدران الحماية ، و منع التسلل وأنظمة الكشف .

تم التحديث اعتبارًا من 12 كانون الأول (ديسمبر) 2018 ، الساعة 12:42 صباحًا بتوقيت المحيط الهادئ القياسي لتشمل اختلافات ملحوظة في كل إصدار من إصدارات Shamoon.
تم التحديث اعتبارًا من 12 كانون الأول (ديسمبر) 2018 ، الساعة 1:42 صباحًا بتوقيت المحيط الهادي الصيفي لتضمين إحصاءات تقنية حول الإصدار الجديد من Shamoon.
تم تحديثه اعتبارًا من 12 كانون الأول (ديسمبر) 2018 ، الساعة 6:05 مساءً بتوقيت المحيط الهادي ليشمل تصوّرًا لسلسلة هجمات شمعون.
تم التحديث اعتبارًا من 12 ديسمبر 2018 ، 8:26 مساءً بتوقيت المحيط الهادي لتحديث الجدول (مشغل وقت التشغيل والملاحظة على الإصدارين الأول والثالث من شمعون).

الوسوم

اترك تعليقاً

إغلاق
إغلاق

أنت تستخدم إضافة Adblock

برجاء دعمنا عن طريق تعطيل إضافة Adblock