برنامه‌های وب، هدف Blue Mockingbird

به گزارش کارگروه امنیت سایبربان ، به نقل از پایگاه اینترنتی SecurityAffairs، بهره‌جویی از CVE-۲۰۱۹-۱۸۹۳۵ می‌تواند منجر به اجرای کد به‌صورت از راه دور شود. Progress Telerik UI for ASP.NET AJAX از آسیب‌پذیری مذکور تأثیر می‌پذیرد.

بااین‌حال بهره‌جویی موفق از CVE-۲۰۱۹-۱۸۹۳۵ مستلزم در اختیار داشتن کلیدهای رمزگذاری است و بنابراین موفقیت در حمله نیازمند اجرای زنجیره‌ای از اقدامات است.

از بخشی از این حملات که در آن استخراج ارز رمز مونرو در قالب یک فایل DLL انجام صورت می‌پذیرد با عنوان Blue Mockingbird یاد می‌شود. به گفته محققان در این کارزار دسترسی اولیه با بهره‌جویی از برنامه‌های قابل‌دسترس بر روی اینترنت به‌ویژه Telerik UI for ASP.NET

فراهم‌شده و در ادامه مهاجمان ضمن گسترش آلودگی در سطح شبکه قربانی، با استفاده از چندین تکنیک حضور خود را ماندگار می‌کنند.

هکرها باهدف قرار دادن نسخ آسیب‌پذیر Telerik UI for ASP.NET اقدام به توزیع کد استخراج‌کننده ارز رمز مونرو در قالب یک فایل DLL در سیستم‌عامل Windows می‌کنند.

گفته می‌شود که کارزار Blue Mockingbird حداقل از دسامبر سال میلادی گذشته فعال بوده است.

ازجمله تکنیک‌های اجرای کد مخرب می‌توان به موارد زیر اشاره کرد:

• اجرا توسط rundll۳۲.exe و فراخوانی صریح یک DLL Export با عنوان fackaaxv
• اجرا با استفاده از regsvr۳۲.exe با به‌کارگیری سوییچ /s در خط فرمان
• اجرا توسط کد مخرب در قالب یک Windows Service DLL

در کد مخرب فهرستی از دامنه‌های متداول مورداستفاده در استخراج ارز رمز به همراه نشانی کیف ارز رمز مونرو لحاظ شده است. محققان دو نشانی کیف ارز رمز را در Blue Mockingbird شناسایی کرده‌اند. گر چه درنتیجه مخفی نگاه‌داشتن مقدار هر معامله در ارز رمز مونرو نمی‌توان در خصوص درآمد مهاجمان از این کارزار اظهارنظر کرد.

برای ماندگاری، مهاجمان ابتدا دسترسی‌های خود را ارتقا می‌دهند. برای این منظور از تکنیک‌هایی همچون به‌کارگیری یک بهره‌جوی JuicyPotato برای ترفیع سطح دسترسی یک حساب کاربری مجازی IIS Application Pool Identity به NT Authority\SYSTEM و سرقت اطلاعات اصالت‌سنجی از طریق ابزار Mimikatz استفاده می‌شود.

در ادامه مهاجمان از چندین روش نظیر بهره‌گیری از COR_PROFILER COM برای اجرای یک DLL مخرب و بازگردانی فایل‌های حذف‌شده توسط سیستم‌های دفاعی استفاده می‌کنند.

گردانندگان Blue Mockingbird با حرکات جانبی خود در شبکه ضمن ارتقای سطح دسترسی، با به‌کارگیری پودمان Remote Desktop Protocol – RDP – اقدام به دسترسی یافتن به سیستم‌های با دسترسی بالا و استفاده از Windows Explorer برای توزیع از راه دور کدهای مخرب بر روی سیستم‌ها می‌کنند.

همچنین در برخی موارد، به‌صورت از راه دور با استفاده فرمان و سوییچ schtasks.exe /S فرامین موسوم به Scheduled Tasks برای اجرای پروسه‌های مخرب ایجاد می‌شوند.

بااین‌حال محققان معتقدند این کارزار همچنان در حال توسعه است.

تمرکز بر نصب اصلاحیه‌های سرورهای وب، برنامه‌های وب و برنامه‌های وابسته به آن‌ها از اصلی‌ترین راهکارهای دفاعی در برابر این تهدید است. Blue Mockingbird قادر به عبور از سد فناوری‌های Whitelisting بوده و به همین خاطر جلوگیری از رخنه اولیه، اهمیت بسزایی دارد. ضمن اینکه رصد مستمر فرامین Scheduled Tasks برای اطمینان یافتن از عدم اجرای پروسه‌های مخرب توسط این ابزار Windows توصیه می‌شود.

جزییات بیشتر در مورد کارزار Blue Mockingbird در لینک زیر قابل‌مطالعه است:

https://redcanary.com/blog/blue-mockingbird-cryptominer/

نشانه‌های آلودگی:

درهم‌ساز

• d۳۸۸c۳۰۹a۵۴۰d۴۶۱۹۱۶۹a۰۷a۴b۶۴۷۰۷f۴c۴۴۹۵۳۵۱۱۸۷۵b۵۷ad۷cfa۳e۰۹۷۱۱۵af

• ۱۴e۳c۱۶ca۹۴۰۲۴۴bea۹b۶۰۸۰fa۰۲۳۸۴ebb۴۸۱۸۵۷۲cef۷۰۹۲f۹۰d۷۲ae۲۱۰b۳۳۰d

• ۵۳۷۷c۶۹c۰۵۸۱۷a۰e۱۸f۷b۰ebbeed۴۲۰f۹ab۸d۱e۸۱b۴۳۹f۴۳۹b۴۲۹۱۷fbe۷۷۲dfb

• c۹۵۷d۰۰۷۸۲۴ee۸۱۷۳c۶۷۱۲۲a۱۸۴۳c۹۷۹c۸۱۸۶۱۴eeed۷db۰۳dea۳ba۷fede۴۳eba

• ۵d۷۱۱۶f۰۴e۱۰e۹۶۸de۶۴c۴۲۰۱fc۷۳۷۴fa۸۴b۳۶۴e۹۰f۸e۴eba۰fbc۴۱afeaf۴۶۸c

• ۹۰۹۴۹۵۸۸۴۶۲۷e۲e۷۴d۰۷d۷۲۹b۵e۰۴۶f۳ae۰۱cabd۹f۰a۵a۹۹c۷۴d۴۶۰۴۶a۶۷۷f۷c

• ab۶۹۸a۳۵dc۵۲۶۳f۰ca۴۶۰f۰۹dcbc۹f۸a۴aeb۷۶۴۳۳۶۵a۱e۷fa۱۲۲۵۸۱ef۷۲c۳۴b۶

• ۶۰۵۰۴۲۲۸b۳fc۵۲۴۲۸۷bf۲a۲۶۰db۹۳۳a۴۰۸۶۳۹b۲f۱a۲۹af۷۵۳۸c۶۱b۰۰c۴a۴۴c۸۶

• ۱d۳۰d۳cafdcc۴۳b۲f۹a۵۹۳۹۸۳ad۰۹۶c۲c۳۹۴۱۰۲۵fb۴e۹۱۲۵۷e۲dcf۰۹۱۹ed۲۴ba

• ۹۶۸b۳۲۴be۲b۸۹f۱a۸ee۴۷۴۳d۹۴۶۷۲۳c۱ffdca۱۶ccfbbbbb۶۸e۵b۹f۶۰e۰bff۴c۹

• ۰۱۸a۰۲fd۰dbc۶۳e۵۴۶۵۶b۸۹۱۵d۷۱cd۸a۲ce۴۴۰۹۶۰۸ae۴dff۶ec۱۹۶ffa۸۷۴۳ba۱

• b۳۱f۷۱۵۲a۵۴۷fa۴۱c۳۱f۹c۹۶۱۷۷b۲cd۷۱۳۱a۹۳f۷c۳۲۸bf۶da۳۶۰dc۱۵۸۶ba۱۸dc

• ۹a۴۳۲ea۱۶e۷۴b۳۶c۵۵ec۵faa۷۹۰۹۳۷fe۷۵۲ff۲۵۶۱cef۸۳e۴۴۸۵۶fd۱e۷۲۳۹۸۳۰۹

• de۶c۰۶۱aafc۵d۸۶e۶۹۲bec۴۵f۶۹b۲ea۱۸۶۳۹abd۵۴۰b۵۹c۲c۲۸۱۷۱۷a۰۵۴a۴۸dd۵