سیر تکامل و تحلیل عمیق باج‌افزار Mallox

19 شهریور 1403 سیر تکامل و تحلیل عمیق باج‌افزار Mallox

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ Mallox خانواده پیچیده و خطرناکی از نرم‌افزارهای مخرب است که خسارات عظیمی را به سازمان‌های سراسر جهان وارد نموده. در سال 2023، حملاتی از این نوع باج‌افزار افزایش شدیدی یافت بطوریکه نمونه‌های کشف‌شده‌ی Mallox از 700 عدد تجاوز کرد. در نیمه اول 2024، این بدافزار هنوز داشت به طور فعالانه‌ای توسعه داده می‌شد و سویه‌های جدید هر چند بار در ماه منتشر می‌شدند. این درحالی بود که برنامه وابسته  Mallox RaaS که روی دارک‌وب داشت در تالارهای گفتمان تبلیغ می‌شد دنبال شرکای جدید می‌گشت. در این مقاله قصد داریم نگاهی جامع و فنی روی این باج‌افزار و تاریخچه و ساز و کارش داشته باشیم. با ما همراه شوید.

تاریخچه

Mallox در نیمه اول 2021 شروع به کار کرد؛ درست وقتی که اولین نمونه رمزگذار شناخته‌شده در می 2021 کشف شد. از همان اول این بدافزار در حملاتی که عاملینش انسان بودند و به شرکت‌ها و سازمان‌ها حله می‌کردند شرکت داشت. نمونه‌های تروجان برای هر قربانی خاص، با نام شرکت هدف در یادداشت‌های باج و پسوند فایل‌های رمزگذاری‌شده، طراحی شده‌اند. به همین دلیل است که این نوع بدافزار با نام‌های مستعار مختلف شناخته می‌شود: این تروجان در ابتدا Mallox نام نداشت و هر محقق نام خود را برای این بدافزار معرفی کرد به منظور نشان دادن نام‌های مختلف مورد استفاده انواع مالوکس در سراسر وجود خانواده، بیش از 700 نمونه را تجزیه کردیم و جدولی ساختیم که پسوندهای متعددی را که در آن‌ها یافتیم نشان می‌دهد.

2021

از نمونه‌ها

2022

از نمونه‌ها

2023

از نمونه‌ها

نیمه اول 2024

از نمونه‌ها

.architek

1

.avast

1

.bitenc

1


.hmallox

 

2

.artiis

1

.bozon

3

.host

1


.ma1x0

 

5

.brg

1

.bozon3

1


.mallab

 

223


.mallox

 

21

.herrco

1

.carone

1

.mallox

210


.rmallox

 

57

.mallox

6

.consultransom

2

.malloxx

30

.tif

1

.servimo

1

.deviceZz

1

.malox

63

 

 

.tohnichi

3

.exploit

1


.maloxx

 

8

 

 

 

 

.explus

1

.xollam

7

 

 

 

 

FARGO.

1

 

 

 

 

 

 


.FARGO2

 

1

 

 

 

 

 

 

.FARGO3

20

 

 

 

 

 

 

.mallox

100

 

 

 

 

 

 


.prismchigo

 

1

 

 

 

 

 

 

.rexiaa

1

 

 

 

 

 

در سال 2023، SuspectFile مصاحبه‌ای را با افرادی که ادعا داشتند عاملین تهدید پشت مالوکس هستند منتشر کرد که در آن، عامل گفته بود کد منبع تروجان رمزگذاری را در سال 2022 خریدند. این شاید بدان معنا بود که قبل‌تر گروه دیگری آن را هدایت می‌کردند که در ادامه توجیهی است برای تغییر الگوی نامگذاری: از نام منحصر به فرد برای هر قربانی تا برند جهانی مالوکس. بیشتر مقالات و پست های وبلاگ به این گونه با نام‌های Mallox، Tohnichi، Fargo یا TargetCompany اشاره می‌کنند.

جدول زمانی

با قضاوت بر روی مهرهای زمانی PE در نمونه‌های کشف‌شده، که ثابت شد بدون تغییر هستند و نشان‌دهنده تاریخ انتشار واقعی بودند در نمونه‌های جدید جهش‌هایی وجود داشت: اواخر سال 2022، اوایل سال 2023 و اواخر سال 2023.

تعداد نمونه‌های ITW Mallox به شدت با تله متری شبکه امنیتی کسپرسکیKSN) ) مرتبط است. KSN سیستم پردازش داده‌های مرتبط با تهدیدات سایبری ما است که با داده‌هایی که به طور توافقی توسط کاربران Kaspersky ارائه می‌شود کار می‌کند. افزایش‌هایی را در کاربران منحصربه‌فردی نشان داده شده که در مارس 2023 و اکتبر 2023 با باج‌افزار Mallox مواجه شدند پس می‌توان نتیجه گرفت افزایش فعالیت گروه در این دوره‌ها است.

تبلیغ RaaS

پستی مربوط به تاریخ ژانویه 2023 روی تالار گفتمان دارک‌وب به نام RAMP توسط کاربری موسوم به مالوکس منتشر شد که در آن یک برنامه وابسته باج‌افزار در قالب سرویس (RaaS) با همان نام تبلیغ شده بود. ترجمه پست به شرح زیر است:

Mallox به دنبال نفوذگران با مواد خاص خود برای پیوستن به تیم یا به عنوان شریک است

اگر مطالب خود را دارید، ما آماده ارائه نرم افزار و پشتیبانی با کیفیت هستیم

ویژگی‌ها:

- وبلاگ

– پنل وب با تنظیمات قیمت‌گذاری در هر مشتری، چت، آمار و پاداش

– رمزگذاری: رمزنگاری منحنی بیضی + ChaCha20 + بسیاری از به روز رسانی های نرم افزاری انجام شده است

- کد پاک

 

شرایط:

- 70 درصد برای شما، 30 درصد برای ما

– 80% برای شما، 20% برای ما اگر متریال زیاد و شبکه‌های بزرگ دارید

- تجربه مهم است! اگر می‌خواهید تمرین کنید، ننویسید، وقت ما را تلف نکنید، یک فرآیند انتخاب وجود خواهد داشت، ما همه افراد وارد شده را نمی‌پذیریم، فقط تعداد محدودی از شرکا را به صورت طولانی مدت!

- ما موارد غیرفعال را به مرور زمان غیرفعال خواهیم کرد

- ما با انگلیسی‌زبانان تجارت نداریم

برای جزئیات بیشتر در Jabber پیام ارسال کنید: [ویرایش شده]

 

در این آگهی آمده است که صاحبان RaaS به دنبال «پن‌تستر» (تست‌کنندگان نفوذ) هستند، یعنی وابستگانی که مایل به جستجو و نفوذ در شرکت‌ها هستند. اولویت با آن دسته از شرکت های وابسته است که قبلاً به بسیاری از سازمان ها و/یا شبکه های بزرگ دسترسی غیرمجاز داشته‌اند. به چنین شرکای 80 درصد سود پیشنهاد می‌شود، در حالیکه آنهایی که تعداد قابل توجهی از شبکه‌های قربانی در دسترس ندارند، دعوت می‌شوند تا برای 70 درصد کار کنند.  پوستر تاکید می‌کند که آنها فقط به دنبال روابط طولانی مدت با وابستگان با تجربه هستند. آنها علاقه ای به هدر دادن وقت خود برای مجرمان سایبری تازه کار ندارند و هیچ آموزشی ارائه نمی‌دهند. نماینده RaaS همچنین تاکید می‌کند که آنها با وابستگان انگلیسی زبان کار نمی‌کنند.

یکی دیگر از پست‌های RAMP توسط همین کاربر در سپتامبر 2023 گفت که این گروه مایل است اعتبار دسترسی به شبکه‌های قربانی را خریداری کند، که به احتمال زیاد حملات باج‌افزاری را خودشان انجام می‌دهند.

Market – Access (SSH/RDP/VNC/Shell) / Ищем поставщика доступов.Сотрудничество\Реализация.

Заберем доступы под реализацию. Условия сортудничества – оговариваются лично.
– Интересуют доступы: фортики, циско впн и другие.
– Revenue от 10kk+
– Юзер в домене.
– AD.
– Гео US/CA/AU/UK/DE.
– Не интересуют: EDU/GOV
– Тематика рассматривается индивидуально, госпитали и учебные заведения не иинтересуют.
– Работаем честно и четко, поставщик будет иметь доступ к панели и чатам и видеть все на свои глаза.
– Если будет постоянный поток ТОП мата , готовы предоставить вам лучшие условия и забрать к себе в приват.

Контакты джаббер: [redacted]

بازار – دسترسی (SSH/RDP/VNC/Shell  )به دنبال ارائه‌دهنده دسترسی. مشارکت/خرید.

اعتبار دسترسی را برای استفاده خریداری خواهد کرد. شرایط به صورت خصوصی مذاکره می‌شود.

- علاقه مند به دسترسی به Fortinet VPN، Cisco VPN و غیره.

- درآمد از 10kk+

– کاربر دامنه

–AD

- موقعیت جغرافیایی: US/CA/AU/UK/DE

- علاقهای به: EDU/GOV وجود ندارد.

- صنایعی که به صورت موردی در نظر گرفته میشوند. علاقه‌ای به بیمارستان یا مدرسه وجود ندارد.

- ما تجارت را صادقانه و شفاف انجام می‌دهیم: فروشنده به پنل و چت دسترسی خواهد داشت تا همه آن را با چشمان خود ببیند.

- اگر جریان ثابتی از مطالب TOP وجود داشته باشد، ما آماده‌ایم بهترین شرایط و یک معامله خصوصی به شما ارائه دهیم.

 

مخاطب Jabber: [تدوین شده]

این پست، مدل کسب و کار سازندگان Mallox RaaS را بیشتر روشن میک‌ند. آنها به دنبال شرکت‌های قربانی ثروتمند با درآمد 10 میلیون دلار یا بیشتر در هر یک از پنج کشور فهرست شده هستند. هدف آنها نیز جلوگیری از حمله به سازمان‌های آموزشی، دولتی و بهداشتی است.

آمار وابستگان RaaS

با تحلیل نمونه‌های مالوکس توانستیم تعیین کنیم که توسعه‌دهندگان با شروع کارشان از تاریخ 2022 گزارش‌دهی C&C را به بدافزارهایشان اضافه کردند. بدین‌ترتیب اطلاعات هر کامپیوتر آلوده ارسال می‌شد اما جالب‌تر اینجاست که همچنین یک رشته آی‌دی وابسته هم به درخواست HTTP تروجان اضافه می‌شد. ما این آی‌دی‌های ضمیمه‌ را از نمونه‌ها استخراج کرده مدل داده دریافت نموده و ساختیم که این در واقع کمک‌مان کرد توزیع نمونه‌ها را سراسر شرکا در طول سیر تکاملی برنامه RaaS بررسی کنیم.

همچنین تغییرات توزیع نمونه‌ها را در فعال‌ترین ضمیمه‌ها بر اساس سال تحلیل نمودیم. این تغییرات نشان می‌دهد بعد از لانچ برنامه RaaS به سرعت به 16 ضمیمه فعال که 500 نمونه را پیش می‌بردند بسط یافت و بعد در نیمه اول 2024 شاهد کاهش آن بودیم. در زمان نگارش این مقاله جمعاً 19 شریک مالوکسی RaaS مشاهده کردیم. همچنین شایان ذکر است که 5 ضمیمه اورجینال که در سال 2022 با مالوکس کار می‌کردند هنوز در سال 2024 فعالیت خود را دارند. این شاید نشان دهد اعضای هسته‌ای گویی از شرایط و قوانین برنامه راضی هستند و آن را به سایر گزینه‌های موجود در بازار دارک‌وب ترجیح می‌دهند.

سناریوی معمول ابتلا

شرکت‌های وابسته به Mallox در انتخاب روش‌های خود برای به خطر انداختن شبکه‌های قربانیان آزادند. برخی از کمپین‌های مشاهده‌شده‌ شامل ارسال هرزنامه با پیوست‌های مخرب بود. در کمپین اخیر دیگری در چین، عوامل تهدید ظاهراً از یک آسیب پذیری در نرم افزار IP-Guard برای دسترسی اولیه سوء استفاده کردند. هنگام تجزیه و تحلیل تله متری KSN، تشخیص دادیم یکی از رایج‌ترین ناقل‌های عفونت مورد استفاده توسط مهاجمین، نفوذ به سرورهای MS SQL یا PostgreSQL در اینترنت است. برای دستیابی به این هدف، عوامل تهدید معمولاً یا از آسیب‌پذیری‌های RCE مانند CVE-2019-1068 یا CVE-2020-0618 در نصب‌های سرور MS SQL پچ‌نشده سوءاستفاده می‌کنند یا حملات brute-force یا فرهنگ لغت را انجام می‌دهند.

فرآیند سرور MS SQL به خطر افتاده دستوری را اجرا می‌کند که یک اسکریپت PowerShell ایجاد  و آن را با استفاده از دستور sqlps راه‌اندازی می‌کند، سپس اولین مرحله قابل حمل قابل حمل بار PE) ) بارگیری شده توسط اسکریپت PowerShell را شروع می‌کند. این محموله PE مرحله اول در حملات Mallox معمولاً یا نمونه‌ای از RAT Remcos است که متعاقباً توسط اپراتورها برای دسترسی از راه دور به شبکه آسیب‌دیده استفاده می‌شود، یا یک دانلودکننده NET است که به طور خودکار بار PE مرحله دوم را که تروجان رمزگذاری است واکشی می‌کند. دانلود کننده‌های دات‌نت مورد استفاده در این طرح عمدتاً ساده هستند و رویه‌ای را برای دانلود یک باینری از URL هاردکد شده، رمزگشایی آن با یک حلقه XOR و اجرای آن در حافظه پیاده‌سازی می‌کنند.

تحلیل

چند صد نمونه متفاوت از زمان کشف نخستین سویه مالوکس پیدا شد. توسعه‌دهندگان مالوس به ارتقای این باج‌افزار ادامه دادند و ویژگی‌های جدیدی را بدان افزودند. برای سهولت، این نمونه‌ها را به چند سویه مختلف تقسیم کردیم. در زیر، تحلیلی جامع خواهیم داشت بر نسخه‌های اولیه و آن‌هایی که آخر کار شناخته‌ شدند. افزون بر این، جدول قیاس با سایر سویه‌های شناخته‌شده ارائه خواهیم کرد که نشان می‌دهد چطور این تروجان سیر تکاملی‌اش را طی کرده، چه ویژگی‌هایی بدان اضافه شده و چطور نقشه کریپتوگرافیک تغییر یافته است.

اولین نسخه شناخته‌شده

 Mallox (9b772efb921de8f172f21125dd0e0ff7، v1)

این نمونه در اواسط می 2021 کشف شد و اولین فایل اجرایی کشف شده متعلق به خانواده باج افزار Mallox است. این نسخه اصلی Mallox در نظر گرفته می‌شود. ما چندین نمونه از این نسخه را با پسوندها و یادداشت‌های مختلف پیدا کرده‌ایم که حاوی نام‌های صریح سازمان‌های قربانی است. این یکی از معدود گونه‌های Mallox است که از ثبت اشکال‌زدایی پشتیبانی و خطاها و سایر اطلاعات مربوط به فرآیند رمزگذاری را به کنسول ارسال می‌کند. در نسخه‌های بعدی، عملکرد ورود به سیستم حذف یا از ساخت نسخه برداشته شد. یادداشت باج به جا مانده از نسخه اصلی Mallox به نظر معمولی باج افزار است: شامل یک شناسه قربانی منحصر به فرد، شرایط برای رمزگشایی فایل، تهدیدی برای انتشار داده‌های سرقت شده و آدرس وبسایت مذاکره کنندگان در شبکه Tor است. برای نشان دادن توانایی خود در رمزگشایی فایل‌ها، مهاجمین پیشنهاد می‌کنند چندین فایل آزمایشی را که حاوی داده‌های مهم نیستند رمزگشایی کنند. در این نسخه، نام سازمان قربانی به صراحت در داخل یادداشت ذکر شده است.

آماده‌سازی برای رمزگذاری

قبل از رمزگذاری فایل‌ها روی دستگاه، باج‌افزار چندین اقدام برای آماده‌سازی انجام می‌دهد. ابتدا، تنظیمات زبان سیستم عامل قربانی را چک می‌کند. باج افزار در صورت تنظیم بودن شناساگر زبانی روس، قزاقی، بلاروس یا اوکراینی فوراً قطع می‌شود. توسعه‌دهندگان بدافزار معمولاً این کار را وقتی انجام می دهند که امید داشته باشند از پیگرد قانونی در کشورهایی که زبان‌ها صحبت می‌شوند خودداری می‌شود. با این حال در مصاحبه منتشرشده در ژانویه 2023، نماینده مالوکس از این محدودیت‌ها گفت: «این مربوط می‌شود به تصمیم خود توسعه‌دهنده درباره محدودسازی عملیات‌هایمان در این مناطق. ما بر اساس پیش‌داوری یا ترجیح کار در کشورها را کلید نزدیم». در همان مصاحبه، آنها ادعا می‌کنند که کد پروژه قبلاً توسط سایر گروه‌های باج‌افزار استفاده شده و متعاقباً توسط عوامل تهدید فعلی خریداری شده است. این بدان معنی است که نمونه‌های اولیه ممکن است به صاحبان فعلی Mallox مرتبط نباشند، یا ممکن است چندین گروه مستقل از آنها استفاده کنند.

 اگر زبان پیش‌فرض سیستم عامل در لیست حذف نباشد، فرآیند باج‌افزار امتیازات SeTakeOwnershipPrivilege و SeDebugPrivilege را دریافت می‌کند. سپس، کلیدها و مقادیر را از رجیستری با استفاده از تابع WinAPI SHDeleteKeyW ظاهراً برای مقابله با دفاع سیستم حذف می‌کند. پس از آن، Mallox با استفاده از ابزار vssadmin.exe کپی‌های سایه را حذف و محیط بازیابی ویندوز را به طور کامل غیرفعال می‌کند.

شمارش و حذف درایوها

Mallox داده‌ها را روی همه درایوها از A تا Z رمزگذاری می‌کند؛ البته اگر این درایوها دارای انواع زیر باشند: DRIVE_REMOTE، DRIVE_REMOVABLE یا DRIVE_FIXED.همچنین از فایل‌های متنی حاوی مسیرهایی برای رمزگذاری از طریق آرگومان های خط فرمان، مانند –P و –d پشتیبانی می‌کند. اگر آرگومان - d <text_file_path>  تنظیم شود، باج افزار فقط مسیرهای موجود در فایل متنی را رمزگذاری نموده و درایوهای دستگاه را به صورت بازگشتی رمزگذاری نمی‌کند. اگر آرگومان p <text_file_path>  تنظیم شود، ابتدا مسیرهای موجود در فایل متنی را رمزگذاری و تنها پس از آن، داده‌ها را در درایوهای محلی یا لوکال رمزگذاری می‌کند. فهرست کامل آرگومان‌های مسیر فایل پذیرفته شده توسط نسخه اصلی Mallox در زیر ارائه شده است.

آرگومان

شرح

مسیر -d

منتظر یک مسیر به فایل متنی است، فقط مسیرهای موجود در فایل را رمزگذاری می‌کند.

مسیر -p

منتظر یک مسیر برای فایل متنی است، ابتدا مسیرهای موجود در فایل را رمزگذاری میکند و درست بعد از این، درایوها را.

مسیر -l

منتظر یک مسیر به فایل متنی است. اینکه روی چیزی تأثیر گذاشته باشد دیده نشده.

 

برای احتساب تعداد رشته‌هایی که برای رمزگذاری فایل‌ها استفاده خواهند شد، مالوکس از تابع WinAPIGetSystemInfo استفاده می‌کند. این تابع از این نقطه ارزش dwNumberOfProcessorsگرفته و آن را دو برابر می‌کند. با این حال شمارش رشته‌ها به 64 محدود شده و از این بیشتر نمی‌شود. مالوکس از قالبیت فهرست لیست پشتیبانی می‌کند. فهرست‌های افزونه‌ها، نام‌های فولدر و نام‌های فایل که نباید در باج‌افزار رمزگذاری یا جاگذاری شوند. نام پوشه‌ها شامل نام پوشه‌های سیستم عامل و برخی برنامه‌های کاربردی شناخته شده است. یکی از نام‌های جالب در میان فایل‌های استثنا debugLog.txt است که احتمالاً برای اهداف اشکال‌زدایی استفاده می‌شود. در زیر کد شبه برای تکرار از طریق درایوها وجود دارد که اگر آرگومان "-d" تنظیم نشده باشد، انجام می شود. این یعنی مالوکس می‌تواند از دو روش مختلف دایرکتوری و تکرار فایل استفاده کند: تجزیه دستی NTFS و توابع مدیریت فایل (WinAPI).

کریپتوگرافی

مالوکس یک طرح رمزگذاری پیچیده متشکل از چندین الگوریتم رمزنگاری را پیاده سازی می‌کند.هر بار که Mallox شروع به کار می‌کند، یک کلید خصوصی ECC  (منحنی بیضی) کاربر جدید تولید می‌کند تا با ECDH  (پروتکل توافق نامه کلید دیفی-هلمن منحنی بیضوی در Curve25519)استفاده شود. برای تولید این کلید خصوصی، باج‌افزار از مولد اعداد شبه تصادفی Mersenne Twister استفاده می‌کند که دانه آن با استفاده از تابع WinAPI CryptGenRandom تولید می‌شود. اگر مشکلی در مقداردهی اولیه ارائه دهنده خدمات رمزنگاری وجود داشته باشد CryptGenRandom نمی تواند استفاده شود. سپس دانه از طریق مجموعه‌ای از توابع تولید می‌شود: QueryPerformanceCounter، GetTickCount، GetCurrentThreadId، GetCurrentProcessId، و دستورالعمل rdtsc __.  خروجی‌های این توابع ضرب‌شده و به عنوان دانه Mersenne Twister استفاده می‌شود.

سایز کلید خصوصی  ECC تولیدشده 32 بایت است. از این کلید خصوصی، تروجان کلید عمومی ECC مربوط به کاربر را تولید می‌کند. تروجان سپس رمز مشترکی را با استفاده از ECDH از کلید خصوصی ECC کاربر و کلید خصوصی مستر ECC مهاجم که در بدنه تروجان هاردکد شده حساب می‌کنند. کلید خصوصی ECC کاربر هیچ‌جا ذخیره نمی‌شود و کلید عمومی ECC کاربر به هر فایل رمزگذاری‌شده اضافه شده و برای محاسبه مجدد رمز مشترک مهاجمین، لازم است.

شش بایت اول کلید عمومی ECC کاربر به شکل هگزادسیمال به عنوان شناسه منحصر به فرد قربانی استفاده می شود که در یادداشت به آن "شناسه شخصی" گفته‌اند. هر بار که باج‌افزار راه‌اندازی می‌شود، به‌طور منحصربه‌فرد تولید می‌شود و به دستگاه بستگی ندارد، بنابراین شناسه با هر اجرای جدید تغییر می‌کند. فایل‌هایی که در لیست‌های مجاز نیستند با رمز جریان ChaCha20 رمزگذاری می‌شوند. کلید فایل و nonce برای ChaCha با استفاده از الگوریتم رمزگذاری متقارن AES-128 در حالت CTR رمزگذاری می‌شوند. کلید AES نیمه اول هش SHA-256 از راز مشترک است که قبلاً با استفاده از پروتکل ECDH به دست آمده بود. فایل‌های کوچکتر یا مساوی 10240 بایت به طور کامل و فایل های بزرگتر با استفاده از روش نواری رمزگذاری می‌شوند:  فایل به 100 قطعه و بعد هر کدام به 100 تکه تقسیم می‌شوند. هر یک از تکه های حاصل با ChaCha رمزگذاری شده است. اگر اندازه قطعه کمتر از 4096 بایت باشد، بدافزار اندازه خود را قبل از رمزگذاری به 4096 بایت افزایش می‌دهد. در پایان هر فایل رمزگذاری شده، Mallox ساختاری را اضافه می‌کند. ما آن را به عنوان یک "حافظ فنی" تعیین می‌کنیم، که اطلاعات لازم برای رمزگشایی فایل را ذخیره می‌کند. نمونه Mallox مورد بحث دارای یک بافر حداقلی است که فقط شامل یک کلید رمزگذاری شده و nonce برای ChaCha، IV برای AES و کلید عمومی ECC کاربر است.

مورد دوم برای استفاده مهاجمین برای بازیابی راز مشترک و محاسبه هش SHA-256 آن در نظر گرفته شده است که نیمه اول آن کلید رمزگذاری برای AES-128 CTR است و به همراه IV برای رمزگشایی کلید  ChaCha و nonce ضروری است. پس از اتمام رمزگذاری، فایل اجرایی از طریق دستور del حذف می‌شود.

ارتباط با سرور C&C مهاجمین

قبل از شروع فرآیند رمزگذاری فایل، Mallox اطلاعات زیر را در مورد دستگاه آلوده با استفاده از یک درخواست HTTP POST به سرور مهاجم ارسال می‌کند: شناسه منحصر به فرد قربانی که از کلید عمومی به دست آمده است، نام رایانه محلی و نام DNS دامنه اصلی تعیین شده است. از طریق تماس با LsaQueryInformationPolicy با پارامتر PolicyDnsDomainInformation. پس از تکمیل رمزگذاری، باج‌افزار دوباره درخواستی را با شناسه قربانی و اطلاعات مربوط به دیسک‌های رمزگذاری شده به سرور مهاجم ارسال می‌کند.

نسخه اخیر مالوکس (e98b3a8d2179e0bd0bebba42735d11b7، v12)

این یکی از جدیدترین نسخه‌های باج‌افزار Mallox است که در مارس 2024 یافت شد. در زیر، تحلیلی از این نسخه ارائه می‌کنیم، اما هدف اصلی تجزیه و تحلیل، نشان دادن تفاوت بین نسخه اول و جدید است. در مقایسه با نسخه اصلی Mallox، یکی از تغییرات قابل توجهی که در نسخه های بعدی رخ داد، مربوط به فرمت یادداشت بود. نسخه اصلی به صراحت نام شرکت و دستگاه مورد حمله را نشان می‌داد، اما نسخه‌های بعدی اغلب دارای یادداشت عمومی و پسوند بودند.

آرگومان‌های جدید

آرگومان

شرح

-path <path>

در این نسخه کار نمی‌کند. منتظر مسیری برای رمزگذاری است.

-queue <integer>

در این نسخه کار نمی‌کند. منتظر مسیری برای رمزگذاری است.

 

دو آرگومان جدید در مقایسه با نسخه اول اضافه شده است، اما هیچ یک از آرگومان های جدید یا قدیمی در این نوع کار نمی‌کنند. هر آرگومان ارسالی از طریق خط فرمان در واقع از طریق تابع PathFileExistsW بررسی می‌شود، بنابراین باج افزار ظاهراً فقط مسیرهای فایل را به عنوان آرگومان می‌پذیرد: "mallox.exe <path1> <path2>...". <pathN>".

هر آرگومانی که مسیر نیست، از جمله «-p»، «-d»، «-l»، «-path»، «-queue» منجر به خطا می‌شود. در صورت عبور از مسیرهای صحیح، باج‌افزار بررسی می‌کند که آیا با امتیازات مدیریتی اجرا می‌شود یا خیر و در این صورت، فایل‌ها را در این مسیرها رمزگذاری می‌کند. اگر بدون مجوزهای سرپرست اجرا می شود، سعی می‌کند با راه اندازی مجدد با استفاده از ShellExecuteW با فعل runas که برای اجرای برنامه به عنوان سرپرست استفاده می‌شود، امتیازات خود را افزایش دهد.

آماده‌سازی برای رمزگذاری

بدیهی است که Mallox به منظور افزایش عملکرد و سرعت فرآیند رمزگذاری، طرح قدرت رایانه را روی عملکرد بالا تنظیم می‌کند. در این نسخه، تروجان جاوی تابعی برای پایان دادن به پروسه‌های فعال از طریق تابع TerminateProcess WinAPI است تا جلوی بلاک شدن فایل‌های کاربر یا تعامل با پروسه رمزگذاری گرفته شود. فهرست نام‌های پروسه قابل اتمام عمدتاً به پایگاه‌های داده مانند SQL Server، Oracle Database، Pervasive PSQL و MySQL اشاره دارد. قابلیت دیگر مربوط به خدمات است: تروجان از Service Control Manager برای غیرفعال کردن و متوقف نمودن سرویس‌ها با استفاده از دو تابع ChangeServiceConfig و ControlService استفاده می‌کند. اگر کاربر تلاش کند سیستم عامل را خاموش یا ریستارت کند، مالوکس سعی می‌کند جلوی این کار را بگیرد. با استفاده از تابع ShutdownBlockReasonCreate، باج‌افزار باعث می‌شود سیستم‌عامل پیامی تهدیدآمیز درباره احتمال آسیب به فایل نمایش دهد، مگر اینکه کاربر خاموش کردن یا راه‌اندازی مجدد را متوقف کند. قبل از شروع رمزگذاری، تروجان کلیدهای رجیستری HKEY_LOCAL_MACHINE را تغییر می‌دهد تا UAC را غیرفعال و دکمه‌های Shut Down، Restart و Sign Out را پنهان کند.

کریپتوگرافی

طرح تولید کلید در نسخه اخیر تغییرات قابل توجهی را نشان می‌دهد. احتمالاً، این الگوریتم توسط توسعه‌دهندگان Mallox در تلاش برای رفع آسیب‌پذیری‌هایی که امکان رمزگشایی فایل‌های قربانیان را بدون کلید خصوصی مهاجمین در نسخه‌های قبلی بدافزار فراهم می‌کرد، تغییر داده است. در این آخرین نسخه، از سه مقدار تعبیه‌شده در کد برای ایجاد یک راز مشترک استفاده می‌شود: دو کلید اصلی ECC عمومی master_public_key_1، master_public_key_2  که از سمت مهاجم تولید شده و هاردکد آن مبتنی بر چینش 12 بایتی بوده است. طرح جدید حاصل در زیر ارائه شده است:

  • هنگامی که تروجان راه اندازی می‌شود، 56 بایت تصادفی را از طریق CTR_DRBG تولید می‌کند.
  • دوازده بایت در وسط این آرایه 56 بایتی با بایت‌های کدگذاری شده جایگزین می‌شود.
  • 56 بایت حاصل با SHA-256 هش می‌شود.
  • با استفاده از ECDH (curve25519) با نتیجه هش و master_public_key_1، تروجان یک user_private_key تولید می‌کند.
  • با استفاده از ECDH (curve25519) با user_secret_key و نقطه پایه منحنی بیضوی، تروجان یک user_public_key تولید می‌کند.
  • در نهایت، دوباره با استفاده از ECDH (curve25519) با user_secret_key و master_public_key_2، تروجان یک راز مشترک share_key تولید می‌کند.
  • بعداً این share_key با SHA-256 هش می‌شود.

الگوریتم رمزگذاری فایل نیز تغییر کرده است: اکنون فایل‌ها با استفاده از AES-256 در حالت GCM رمزگذاری می‌شوند. کلیدهای فایل با ISAAC PRNG تولید می‌شوند که توسط خروجی تابع BCryptGenRandom API ترکیب شده با Mersenne Twister PRNG تولید می‌شوند. کلیدهای فایل، مانند قبل، با استفاده از AES-128 در حالت CTR رمزگذاری می‌شوند، و کلید آن هنوز نیمه اول Share_key هش شده SHA-256 است. بافر فنی اضافه شده در انتهای هر فایل رمزگذاری شده گسترش یافته است.

ارتباط با سرور C&C مهاجمین

ابتدا، باج افزار آدرس IP خارجی دستگاه رمزگذاری شده را از طریق یک سرویس عمومی طرف‌سوم دریافت می‌کند. سپس اطلاعات مربوط به کاربر، دستگاه، شبکه، دیسک‌ها و فایل‌ها را جمع‌آوری کرده و با درخواست HTTP POST به سرور C&C مهاجم ارسال می‌کند. اگر همه داده‌ها با موفقیت دریافت و پردازش شوند، سرور با "موفقیت_افزوده" پاسخ می‌دهد.

جدول زمانی نسخه‌های مالوکس

از زمانی که اولین نسخه Mallox در سال 2021 ظاهر شد، تعداد زیادی نمونه را ردیابی کرده‌ایم. در این مدت بیش از 700 نمونه مختلف پیدا شده است که برای راحتی کار آنها را به 12 نسخه تقسیم کرده‌ایم. این تقسیم‌بندی بر اساس تغییرات در عملکرد باج افزار یا رمزنگاری است. لطفاً توجه داشته باشید که نمونه‌های تروجان دارای هیچ شماره نسخه داخلی نیستند. در جداول زیر به توضیح مختصری از تغییرات اعمال شده در هر نسخه Mallox به همراه MD5 یکی از نمونه‌های متعلق به این نسخه می‌پردازیم.

هش نمونه (MD5)

  نسخه

برچسب زمانی PE

         کامنت

9b772efb921de8f172f21125dd0e0ff7

   1

12 می 2021

     نسخه‌ای که اول از همه پیدا شد

79b60f8b5052a9d4cc0c92c2cdc47485

   2

20 نوامبر 2021

     یادداشت‌ها، احتمالاً به عنوان گام اولیه در انتقال به توزیع RaaS، عمومی شدند.

e713f05a62914496eef512a93a611622

    3

17 فوریه 2022

    یک آسیب‌پذیری در طرح رمزگذاری را که امکان رمزگشایی فایل‌ها را بدون کلید خصوصی مهاجمین فراهم می‌کرد رفع نمود.

3829a09bca120206883539eb33d55311

   4

9 می 2022

       خودگسترشی را غیرفعال کرد. آسیب پذیری هنوز برطرف‌شده به حساب می‌آید.

a8e214683307adaff39783dc656b398a

  5 (تولیدشده)

10 ژوئن 2022

          آسیب‌پذیری معرفی‌شده در نسخه 3 را رفع کرد. یک طرح تولید کلید عمومی جدید با استفاده از داده‌های دستگاه اضافه شد - ما       به                این       طرح به عنوان «کلید تولید شده» اشاره می‌کنیم. یک آرگومان  -Pathجدید اضافه کرد. خودگسترشی    دوباره فعال شد.

ac1a255e5c908f12ef68a45fc0043b16

   6 (جاسازشده)

17 جولای 2022

      رفع آسیب‌پذیری معرفی شده در نسخه 3. یک طرح تولید کلید عمومی جدید با استفاده از یک کلید جاسازی شده اضافه شد - ما به           این         طرح به عنوان "کلید جاسازی شده" اشاره می‌کنیم.

 

 

با شروع نسخه‌های 5 و 6، تمام نسخه‌های بعدی تا 11 به دو طرح تولید کلید تقسیم شدند: "کلید تولید شده" و "کلید جاسازی شده"این نسخه ها به صورت موازی استفاده و اگر تغییراتی در یکی از این گونه ها ایجاد می‌شد، نسخه دیگر با همان تغییرات به زودی ظاهر می‌گشت، گاهی اوقات در همان روز. در ادامه این گزارش هر دو روش را به تفصیل شرح خواهیم داد.

نسخه‌ای اما وجود دارد که از این طبقه بندی متمایز است. ما آن را 1F نامیدیم. تنها دو نمونه متعلق به این نسخه در ژوئن 2023 و فوریه 2024 کشف شد. جالب اینجاست که این اصلاح با طرح‌های رمزگذاری پیچیده‌ای که در نسخه‌های 3، 4 و 12 دیده می‌شود متفاوت است. در عوض، این یک اصلاح محلی کوچک با استفاده از عملکرد رمزنگاری امن SystemFunction036 (RtlGenRandom) برای تولید دانه است.

طرح رمزنگاری در نسخه 5 و بالاتر: نوع "کلید تولید شده".

این طرح از داده های دستگاه برای پر کردن آرایه‌ای با حداکثر اندازه 56 بایت استفاده می‌کند که از آن یک کلید خصوصی ECC کاربر به دست می‌آید. آرایه بر اساس توابع GetVolumeInformationW، GetFileTime، GetComputerNameA و دستورالعمل CPUID تولید می‌شود. بقیه طرح شامل سه فراخوانی curve25519، مشابه نسخه اخیر (12) است، اما بر خلاف آن، طرح توصیف شده در این پاراگراف از نظر رمزنگاری امن نیست.

طرح رمزنگاری در نسخه 6 و بالاتر: نوع "کلید جاسازی شده".

در این مورد، هیچ تولید مقدار تصادفی برای محاسبه share_key مخفی مشترک استفاده نمی‌شود. user_private_key در بدنه تروجان هاردکد شده و بقیه طرح نسبت به نسخه اول تغییر نکرده است. این نیز یک طرح رمزنگاری غیر ایمن است.

پورتال مذاکره و DLS  (سایت نشت اطلاعات)

وقتی فایل‌های قربانی را رمزگذاری می‌کند، مالوکس یادداشت باج‌گیری ایجاد نموده که معمولاً به نام‌های HOW BACK FILES.txt، How to Restore FILES.txt، RECOVERY INFORMATION.txt، «FILE RECOVERY.txt» یا مواردی از این قبیل را ایجاد می‌کند. در یادداشت، عوامل تهدید، قربانی را در مورد راه‌های ارتباط با مهاجمین برای مذاکره در مورد پرداخت باج راهنمایی می‌کنند: با مراجعه به یک سایت TOR مشخص (درگاه مذاکره) و ورود به سیستم با شناسه قربانی، یا با ارسال پیام ایمیل به آدرسی مشخص.

پس از احراز هویت با پورتال مذاکره، صفحه‌ای حاوی اطلاعات مربوط به مورد عفونت به قربانی ارائه می‌شود:

 

وضعیت: آیا داده های استخراجی منتشر شده است یا خیر

قیمت باج به دلار و بیت‌کوین

آدرس‌های پرداخت برای BTC و TETHER TRC-20

پاسخ به سوالات متداول

ویجت چت برای صحبت با اپراتور باج‌افزار

صفحه اصلی سایت نشت داده Mallox که در همان دامنه پورتال مذاکره قرار دارد، حاوی لیست شرکت‌های قربانی است. تایمرهای شمارش معکوس نشان دهنده زمان باقیمانده تا انتشار داده‌های سرقتی از هر شرکت در صورتی که قربانی نتواند پرداخت کند. اطلاعات مربوط به شرکت‌هایی که ظاهراً همکاری نکرده‌اند روی صفحه جدیدی ارائه می‌شود (درست وقتی کاربر روی گزینه View کلیک می‌کند). این صفحه برخی جزئیات را فهرست می‌کند مانند درآمد نسبی قربانی، حجم کامل داده‌های سرقتی، لینک‌هایی به دانلود آرشیوهایی که ظاهراً حاوی برخی یا همه فایل‌های استخراجی بودند و پسوردی برای آن‌پک کردن آرشیوها. برای تبلیغات و عمومی کردن بیشتر برنامه وابسته‌شان، عاملین تهدید مالوکس حساب x یا توییتر سابق دارند که گهگاه در مورد قربانیان جدید این گروه آپدیت‌هایی ارائه داده و لینک‌هایی برای دانلود بخش‌های جدید از داده‌های سرقتی را به اشتراک می گذارد.

قربانی‌ها

توزیع جغرافیایی کاربران منحصربه‌فرد KSN که با باج‌افزار Mallox مواجه شده‌اند، نشان می‌دهد که شرکت‌های وابسته به RaaS فعالیت‌های خود را محدود به یک کشور خاص نمی‌کنند و ظاهراً هدفشان حمله به شرکت‌های آسیب‌پذیر در هر جایی است که این شرکت‌ها در آن قرار دارند. همانطور که گفته شد، برخی از مناطق هدف مطلوب تری برای اخاذی های مالوکس هستند. کشورهایی که بیشترین تلاش برای ابتلا به عفونت را به خود جلب کرده‌اند، برزیل، ویتنام و چین هستند.

نتیجه‌گیری

گزارش ما نگاهی جامع بر باج‌افزار مالوکس، مشخصه‌هایش، سیر تکاملی‌اش و اثر احتمالی‌اش بر قربانیان داشت. با درک ماهیت باج‌افزار Mallox و پیاده‌سازی اقدامات درست امنیتی، شرکت‌ها و سازمان‌ها می‌توانند بهتر از دارایی‌های دیجیتال خود محافظت کرده و ریسک قربانی این نرم‌افزار مخرب شدن را پایین بیاورند:

توصیه ما به شما این است که

  • سرویس‌های دسکتاپ از راه دور مانند RDP را در معرض شبکه‌های عمومی قرار ندهید مگر اینکه کاملاً ضروری باشد و همیشه از رمزهای عبور قوی استفاده کنید.
  • اطمینان حاصل کنید که راهکارهای تجاری VPN و سایر نرم‌افزارهای سمت سرور همیشه به روز هستند زیرا بهره‌برداری از این نوع نرم‌افزار یک عامل رایج عفونت باج افزار است. برنامه‌های سمت سرویس گیرنده را همیشه به روز نگه دارید.
  • استراتژی دفاعی خود را بر روی تشخیص حرکات جانبی و خروج داده ها به اینترنت متمرکز کنید. توجه ویژه ای به ترافیک خروجی برای شناسایی ارتباطات مجرمانه سایبری داشته باشید. به طور منظم از داده‌ها نسخه پشتیبان تهیه کنید. مطمئن شوید که می‌توانید در مواقع اضطراری به سرعت به آن دسترسی داشته باشید. از جدیدترین اطلاعات Threat Intelligence برای به روز ماندن در مورد آخرین TTPهای مورد استفاده توسط عوامل تهدید استفاده کنید.
  • از خدمات تشخیص و پاسخ مدیریت شده برای کمک به شناسایی و توقف حمله در مراحل اولیه، قبل از رسیدن مهاجمین به اهداف نهایی خود استفاده کنید.
  • برای محافظت از محیط شرکت، به کارکنان خود آموزش دهید. دوره‌های آموزشی اختصاصی می‌توانند کمک کنند، مانند دوره‌هایی که در پلتفرم آگاهی امنیتی خودکار Kaspersky ارائه شده است.
  • از راهکارهای امنیتی پیچیده، ترکیبی از حفاظت نقطه پایانی و ویژگی‌های پاسخ خودکار رخداد، مانند Kaspersky NEXT استفاده کنید.

IoC

MD5

9b772efb921de8f172f21125dd0e0ff7

79b60f8b5052a9d4cc0c92c2cdc47485

e713f05a62914496eef512a93a611622

3829a09bca120206883539eb33d55311

a8e214683307adaff39783dc656b398a

ac1a255e5c908f12ef68a45fc0043b16

b1b42fa300d8f43c6deb98754caf0934

3762f98a55f0ec19702f388fc0db74e2

6bd93817967cdb61e0d7951382390fa0

c494342b6c84f649dece4df2d3ff1031

16e708876c32ff56593ba00931e0fb67

d32a3478aad766be96f0cdbda1f10091

e98b3a8d2179e0bd0bebba42735d11b7

98c7f6b6ddf6a01adb25457e9a3c52b8

b13a1e9c7ef5a51f64a58bae9b508e62

URLs

91.215.85.142%2FQWEwqdsvsf%2Fap.php

whyers.io%2FQWEwqdsvsf%2Fap.php

 

 

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    6,734,580 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    10,105,080 ریال
    خرید
  • Kaspersky Safe Kids

    شما می توانید بر ارتباطات اینترنتی کودکان از قبیل فعالیتهای عمومی در فیسبوک، کنترل تماسها و پیامها از طریق دستگاههای اندرویدی نظارت داشته باشید. کمک شما به کودکان بهترین راهنمایی برای آنها ...

    1,010,508 ریال10,105,080 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    67,403,580 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    9,533,700 ریال19,067,400 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    13,671,390 ریال27,342,780 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    14,624,760 ریال29,249,520 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    60,665,790 ریال121,331,580 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    194,134,380 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    72,799,590 ریال145,599,180 ریال
    خرید
  • Kaspersky Small Office Security

    233,232,180 ریال
    خرید
  • Kaspersky Small Office Security

    84,933,390 ریال169,866,780 ریال
    خرید
  • Kaspersky Small Office Security

    271,655,880 ریال
    خرید
  • Kaspersky Small Office Security

    97,067,190 ریال194,134,380 ریال
    خرید
  • Kaspersky Small Office Security

    310,753,680 ریال
    خرید
  • Kaspersky Small Office Security

    109,200,990 ریال218,401,980 ریال
    خرید
  • Kaspersky Small Office Security

    349,177,380 ریال
    خرید
  • Kaspersky Small Office Security

    111,223,290 ریال222,446,580 ریال
    خرید
  • Kaspersky Small Office Security

    355,918,380 ریال
    خرید
  • Kaspersky Small Office Security

    156,725,040 ریال313,450,080 ریال
    خرید
  • Kaspersky Small Office Security

    501,523,980 ریال
    خرید
  • Kaspersky Small Office Security

    202,226,790 ریال404,453,580 ریال
    خرید
  • Kaspersky Small Office Security

    647,129,580 ریال
    خرید
  • Kaspersky Small Office Security

    244,358,040 ریال488,716,080 ریال
    خرید
  • Kaspersky Small Office Security

    781,949,580 ریال
    خرید
  • Kaspersky Small Office Security

    463,440,540 ریال926,881,080 ریال
    خرید
  • Kaspersky Small Office Security

    1,483,013,580 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد