امنیت

فناوری اطلاعات

May 6, 2018
15:38 یکشنبه، 16ام اردیبهشتماه 1397
کد خبر: 90369

هشدار مرکز افتای ریاست جمهوری: گسترش کاوشگر ارز دیجیتالی/ لزوم به‌روزرسانی سیستم های ویندوزی

مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاست جمهوری نسبت به گسترش بدافزار «کاوشگر ارز دیجیتالی» هشدار داد.
 
به گزارش مرکز مدیریت راهبردی افتای ریاست جمهوری، اخیراً یک کاوشگر ارز دیجیتالی نوشته شده به زبان پایتون و با نام PyRoMine، در حال گسترش در سیستم‌های ویندوزی است. این کاوشگر که ارز Monero را استخراج می‌کند، مشابه سایر کاوشگرها عمل می‌کند.
 
این بدافزار از یکی از کدهای اکسپلویت NSA (آژانس امنیت ملی امریکا) به نام EternalRomance برای انتشار خود استفاده می‌کند.
 
این کد اکسپلویت مربوط به یکی از ابزارهای نفوذ گروه هک ShadowBrokers است که در ماه آوریل سال گذشته در اختیار عموم قرار گرفت. این کد پس از انتشار عمومی، سال گذشته در حمله باج‌افزار BadRabbit مورد استفاده قرار گرفت. از سوی دیگر در اوایل سال جاری، EternalRomance و دو اکسپلویت دیگر (EternalSynergy و EternalChampion) در چارچوب Metasploit قرار گرفتند. بنابراین این اکسپلویت‌ها می‌توانند تمامی نسخه‌های ویندوز شامل ویندوز ۲۰۰۰ به بعد را هدف قرار دهند.
 
بدافزار PyRoMine از طریق یک فایل Zip منتشر می‌شود که حاوی یک فایل اجرایی است. این کاوشگر از نسخه ویرایش شده EternalRomance استفاده می‌کند. زمانی که PyRoMine اجرا شود، آدرس‌های IP محلی را استخراج کرده و آلودگی خود را به سایر زیرشبکه‌ها گسترش دهد. 
 
نحوه عملکرد این بدافزار به این صورت است که پس از نفوذ این بدافزار به سیستم، یک اسکریپت VB در سیستم دانلود می‌شود که عملیات کاوش ارز را انجام می‌دهد. این اسکریپت یک حساب کاربری مدیریتی در سیستم ایجاد می‌کند تا از طریق آن پروتکل Remote Desktop را فعال کند و یک قانون فایروال برای باز کردن ترافیک پورت ۳۳۸۹ ایجاد کند. همچنین این اسکریپت سرویس به روزرسانی ویندوز را غیرفعال کرده و با اعمال سایر تنظیمات در سرویس مدیریت از راه دور ویندوز، سیستم را برای حملات آتی آماده می‌کند.
 
PyRoMine اولین کاوشگر ارزی نیست که از اکسپلویت‌های NSA برای گسترش استفاده می‌کند، امّا این بدافزار سیستم را به گونه‌ای پیکربندی می‌کند تا در معرض حملات بیشتر و پیچیده‌تری قرار گیرد. 
 
اکسپلویت‌های NSA قبلاً توسط NotPetya، WannaCry، Adylkuzz و Retefe بکار رفته‌اند ولی استفاده از این اکسپلویت‌ها توسط بدافزارهایی نظیر Smominru، WannaMine و PyRoMine نشان می‌دهد که استفاده از این اکسپلویت‌ها توسط کاوشگران ارز نیز مورد توجه قرار گرفته است. 
 
برای جلوگیری از آلودگی احتمالی، پیشنهاد می‌شود تا هر چه سریعتر سیستم‌های ویندوزی خود را بروزرسانی کنید.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.