روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ Mallox خانواده پیچیده و خطرناکی از نرمافزارهای مخرب است که خسارات عظیمی را به سازمانهای سراسر جهان وارد نموده. در سال 2023، حملاتی از این نوع باجافزار افزایش شدیدی یافت بطوریکه نمونههای کشفشدهی Mallox از 700 عدد تجاوز کرد. در نیمه اول 2024، این بدافزار هنوز داشت به طور فعالانهای توسعه داده میشد و سویههای جدید هر چند بار در ماه منتشر میشدند. این درحالی بود که برنامه وابسته Mallox RaaS که روی دارکوب داشت در تالارهای گفتمان تبلیغ میشد دنبال شرکای جدید میگشت. در این مقاله قصد داریم نگاهی جامع و فنی روی این باجافزار و تاریخچه و ساز و کارش داشته باشیم. با ما همراه شوید.
تاریخچه
Mallox در نیمه اول 2021 شروع به کار کرد؛ درست وقتی که اولین نمونه رمزگذار شناختهشده در می 2021 کشف شد. از همان اول این بدافزار در حملاتی که عاملینش انسان بودند و به شرکتها و سازمانها حله میکردند شرکت داشت. نمونههای تروجان برای هر قربانی خاص، با نام شرکت هدف در یادداشتهای باج و پسوند فایلهای رمزگذاریشده، طراحی شدهاند. به همین دلیل است که این نوع بدافزار با نامهای مستعار مختلف شناخته میشود: این تروجان در ابتدا Mallox نام نداشت و هر محقق نام خود را برای این بدافزار معرفی کرد به منظور نشان دادن نامهای مختلف مورد استفاده انواع مالوکس در سراسر وجود خانواده، بیش از 700 نمونه را تجزیه کردیم و جدولی ساختیم که پسوندهای متعددی را که در آنها یافتیم نشان میدهد.
|
2021
|
از نمونهها
|
2022
|
از نمونهها
|
2023
|
از نمونهها
|
نیمه اول 2024
|
از نمونهها
|
|
.architek
|
1
|
.avast
|
1
|
.bitenc
|
1
|
.hmallox
|
2
|
|
.artiis
|
1
|
.bozon
|
3
|
.host
|
1
|
.ma1x0
|
5
|
|
.brg
|
1
|
.bozon3
|
1
|
.mallab
|
223
|
.mallox
|
21
|
|
.herrco
|
1
|
.carone
|
1
|
.mallox
|
210
|
.rmallox
|
57
|
|
.mallox
|
6
|
.consultransom
|
2
|
.malloxx
|
30
|
.tif
|
1
|
|
.servimo
|
1
|
.deviceZz
|
1
|
.malox
|
63
|
|
|
|
.tohnichi
|
3
|
.exploit
|
1
|
.maloxx
|
8
|
|
|
|
|
|
.explus
|
1
|
.xollam
|
7
|
|
|
|
|
|
FARGO.
|
1
|
|
|
|
|
|
|
|
.FARGO2
|
1
|
|
|
|
|
|
|
|
.FARGO3
|
20
|
|
|
|
|
|
|
|
.mallox
|
100
|
|
|
|
|
|
|
|
.prismchigo
|
1
|
|
|
|
|
|
|
|
.rexiaa
|
1
|
|
|
|
|
در سال 2023، SuspectFile مصاحبهای را با افرادی که ادعا داشتند عاملین تهدید پشت مالوکس هستند منتشر کرد که در آن، عامل گفته بود کد منبع تروجان رمزگذاری را در سال 2022 خریدند. این شاید بدان معنا بود که قبلتر گروه دیگری آن را هدایت میکردند که در ادامه توجیهی است برای تغییر الگوی نامگذاری: از نام منحصر به فرد برای هر قربانی تا برند جهانی مالوکس. بیشتر مقالات و پست های وبلاگ به این گونه با نامهای Mallox، Tohnichi، Fargo یا TargetCompany اشاره میکنند.
جدول زمانی
با قضاوت بر روی مهرهای زمانی PE در نمونههای کشفشده، که ثابت شد بدون تغییر هستند و نشاندهنده تاریخ انتشار واقعی بودند در نمونههای جدید جهشهایی وجود داشت: اواخر سال 2022، اوایل سال 2023 و اواخر سال 2023.
تعداد نمونههای ITW Mallox به شدت با تله متری شبکه امنیتی کسپرسکیKSN) ) مرتبط است. KSN سیستم پردازش دادههای مرتبط با تهدیدات سایبری ما است که با دادههایی که به طور توافقی توسط کاربران Kaspersky ارائه میشود کار میکند. افزایشهایی را در کاربران منحصربهفردی نشان داده شده که در مارس 2023 و اکتبر 2023 با باجافزار Mallox مواجه شدند پس میتوان نتیجه گرفت افزایش فعالیت گروه در این دورهها است.
تبلیغ RaaS
پستی مربوط به تاریخ ژانویه 2023 روی تالار گفتمان دارکوب به نام RAMP توسط کاربری موسوم به مالوکس منتشر شد که در آن یک برنامه وابسته باجافزار در قالب سرویس (RaaS) با همان نام تبلیغ شده بود. ترجمه پست به شرح زیر است:
Mallox به دنبال نفوذگران با مواد خاص خود برای پیوستن به تیم یا به عنوان شریک است
اگر مطالب خود را دارید، ما آماده ارائه نرم افزار و پشتیبانی با کیفیت هستیم
ویژگیها:
- وبلاگ
– پنل وب با تنظیمات قیمتگذاری در هر مشتری، چت، آمار و پاداش
– رمزگذاری: رمزنگاری منحنی بیضی + ChaCha20 + بسیاری از به روز رسانی های نرم افزاری انجام شده است
- کد پاک
شرایط:
- 70 درصد برای شما، 30 درصد برای ما
– 80% برای شما، 20% برای ما اگر متریال زیاد و شبکههای بزرگ دارید
- تجربه مهم است! اگر میخواهید تمرین کنید، ننویسید، وقت ما را تلف نکنید، یک فرآیند انتخاب وجود خواهد داشت، ما همه افراد وارد شده را نمیپذیریم، فقط تعداد محدودی از شرکا را به صورت طولانی مدت!
- ما موارد غیرفعال را به مرور زمان غیرفعال خواهیم کرد
- ما با انگلیسیزبانان تجارت نداریم
برای جزئیات بیشتر در Jabber پیام ارسال کنید: [ویرایش شده]
در این آگهی آمده است که صاحبان RaaS به دنبال «پنتستر» (تستکنندگان نفوذ) هستند، یعنی وابستگانی که مایل به جستجو و نفوذ در شرکتها هستند. اولویت با آن دسته از شرکت های وابسته است که قبلاً به بسیاری از سازمان ها و/یا شبکه های بزرگ دسترسی غیرمجاز داشتهاند. به چنین شرکای 80 درصد سود پیشنهاد میشود، در حالیکه آنهایی که تعداد قابل توجهی از شبکههای قربانی در دسترس ندارند، دعوت میشوند تا برای 70 درصد کار کنند. پوستر تاکید میکند که آنها فقط به دنبال روابط طولانی مدت با وابستگان با تجربه هستند. آنها علاقه ای به هدر دادن وقت خود برای مجرمان سایبری تازه کار ندارند و هیچ آموزشی ارائه نمیدهند. نماینده RaaS همچنین تاکید میکند که آنها با وابستگان انگلیسی زبان کار نمیکنند.
یکی دیگر از پستهای RAMP توسط همین کاربر در سپتامبر 2023 گفت که این گروه مایل است اعتبار دسترسی به شبکههای قربانی را خریداری کند، که به احتمال زیاد حملات باجافزاری را خودشان انجام میدهند.
Market – Access (SSH/RDP/VNC/Shell) / Ищем поставщика доступов.Сотрудничество\Реализация.
Заберем доступы под реализацию. Условия сортудничества – оговариваются лично.
– Интересуют доступы: фортики, циско впн и другие.
– Revenue от 10kk+
– Юзер в домене.
– AD.
– Гео US/CA/AU/UK/DE.
– Не интересуют: EDU/GOV
– Тематика рассматривается индивидуально, госпитали и учебные заведения не иинтересуют.
– Работаем честно и четко, поставщик будет иметь доступ к панели и чатам и видеть все на свои глаза.
– Если будет постоянный поток ТОП мата , готовы предоставить вам лучшие условия и забрать к себе в приват.
Контакты джаббер: [redacted]
بازار – دسترسی (SSH/RDP/VNC/Shell )به دنبال ارائهدهنده دسترسی. مشارکت/خرید.
اعتبار دسترسی را برای استفاده خریداری خواهد کرد. شرایط به صورت خصوصی مذاکره میشود.
- علاقه مند به دسترسی به Fortinet VPN، Cisco VPN و غیره.
- درآمد از 10kk+
– کاربر دامنه
–AD
- موقعیت جغرافیایی: US/CA/AU/UK/DE
- علاقهای به: EDU/GOV وجود ندارد.
- صنایعی که به صورت موردی در نظر گرفته میشوند. علاقهای به بیمارستان یا مدرسه وجود ندارد.
- ما تجارت را صادقانه و شفاف انجام میدهیم: فروشنده به پنل و چت دسترسی خواهد داشت تا همه آن را با چشمان خود ببیند.
- اگر جریان ثابتی از مطالب TOP وجود داشته باشد، ما آمادهایم بهترین شرایط و یک معامله خصوصی به شما ارائه دهیم.
مخاطب Jabber: [تدوین شده]
این پست، مدل کسب و کار سازندگان Mallox RaaS را بیشتر روشن میکند. آنها به دنبال شرکتهای قربانی ثروتمند با درآمد 10 میلیون دلار یا بیشتر در هر یک از پنج کشور فهرست شده هستند. هدف آنها نیز جلوگیری از حمله به سازمانهای آموزشی، دولتی و بهداشتی است.
آمار وابستگان RaaS
با تحلیل نمونههای مالوکس توانستیم تعیین کنیم که توسعهدهندگان با شروع کارشان از تاریخ 2022 گزارشدهی C&C را به بدافزارهایشان اضافه کردند. بدینترتیب اطلاعات هر کامپیوتر آلوده ارسال میشد اما جالبتر اینجاست که همچنین یک رشته آیدی وابسته هم به درخواست HTTP تروجان اضافه میشد. ما این آیدیهای ضمیمه را از نمونهها استخراج کرده مدل داده دریافت نموده و ساختیم که این در واقع کمکمان کرد توزیع نمونهها را سراسر شرکا در طول سیر تکاملی برنامه RaaS بررسی کنیم.
همچنین تغییرات توزیع نمونهها را در فعالترین ضمیمهها بر اساس سال تحلیل نمودیم. این تغییرات نشان میدهد بعد از لانچ برنامه RaaS به سرعت به 16 ضمیمه فعال که 500 نمونه را پیش میبردند بسط یافت و بعد در نیمه اول 2024 شاهد کاهش آن بودیم. در زمان نگارش این مقاله جمعاً 19 شریک مالوکسی RaaS مشاهده کردیم. همچنین شایان ذکر است که 5 ضمیمه اورجینال که در سال 2022 با مالوکس کار میکردند هنوز در سال 2024 فعالیت خود را دارند. این شاید نشان دهد اعضای هستهای گویی از شرایط و قوانین برنامه راضی هستند و آن را به سایر گزینههای موجود در بازار دارکوب ترجیح میدهند.
سناریوی معمول ابتلا
شرکتهای وابسته به Mallox در انتخاب روشهای خود برای به خطر انداختن شبکههای قربانیان آزادند. برخی از کمپینهای مشاهدهشده شامل ارسال هرزنامه با پیوستهای مخرب بود. در کمپین اخیر دیگری در چین، عوامل تهدید ظاهراً از یک آسیب پذیری در نرم افزار IP-Guard برای دسترسی اولیه سوء استفاده کردند. هنگام تجزیه و تحلیل تله متری KSN، تشخیص دادیم یکی از رایجترین ناقلهای عفونت مورد استفاده توسط مهاجمین، نفوذ به سرورهای MS SQL یا PostgreSQL در اینترنت است. برای دستیابی به این هدف، عوامل تهدید معمولاً یا از آسیبپذیریهای RCE مانند CVE-2019-1068 یا CVE-2020-0618 در نصبهای سرور MS SQL پچنشده سوءاستفاده میکنند یا حملات brute-force یا فرهنگ لغت را انجام میدهند.
فرآیند سرور MS SQL به خطر افتاده دستوری را اجرا میکند که یک اسکریپت PowerShell ایجاد و آن را با استفاده از دستور sqlps راهاندازی میکند، سپس اولین مرحله قابل حمل قابل حمل بار PE) ) بارگیری شده توسط اسکریپت PowerShell را شروع میکند. این محموله PE مرحله اول در حملات Mallox معمولاً یا نمونهای از RAT Remcos است که متعاقباً توسط اپراتورها برای دسترسی از راه دور به شبکه آسیبدیده استفاده میشود، یا یک دانلودکننده NET است که به طور خودکار بار PE مرحله دوم را که تروجان رمزگذاری است واکشی میکند. دانلود کنندههای داتنت مورد استفاده در این طرح عمدتاً ساده هستند و رویهای را برای دانلود یک باینری از URL هاردکد شده، رمزگشایی آن با یک حلقه XOR و اجرای آن در حافظه پیادهسازی میکنند.
تحلیل
چند صد نمونه متفاوت از زمان کشف نخستین سویه مالوکس پیدا شد. توسعهدهندگان مالوس به ارتقای این باجافزار ادامه دادند و ویژگیهای جدیدی را بدان افزودند. برای سهولت، این نمونهها را به چند سویه مختلف تقسیم کردیم. در زیر، تحلیلی جامع خواهیم داشت بر نسخههای اولیه و آنهایی که آخر کار شناخته شدند. افزون بر این، جدول قیاس با سایر سویههای شناختهشده ارائه خواهیم کرد که نشان میدهد چطور این تروجان سیر تکاملیاش را طی کرده، چه ویژگیهایی بدان اضافه شده و چطور نقشه کریپتوگرافیک تغییر یافته است.
اولین نسخه شناختهشده
Mallox (9b772efb921de8f172f21125dd0e0ff7، v1)
این نمونه در اواسط می 2021 کشف شد و اولین فایل اجرایی کشف شده متعلق به خانواده باج افزار Mallox است. این نسخه اصلی Mallox در نظر گرفته میشود. ما چندین نمونه از این نسخه را با پسوندها و یادداشتهای مختلف پیدا کردهایم که حاوی نامهای صریح سازمانهای قربانی است. این یکی از معدود گونههای Mallox است که از ثبت اشکالزدایی پشتیبانی و خطاها و سایر اطلاعات مربوط به فرآیند رمزگذاری را به کنسول ارسال میکند. در نسخههای بعدی، عملکرد ورود به سیستم حذف یا از ساخت نسخه برداشته شد. یادداشت باج به جا مانده از نسخه اصلی Mallox به نظر معمولی باج افزار است: شامل یک شناسه قربانی منحصر به فرد، شرایط برای رمزگشایی فایل، تهدیدی برای انتشار دادههای سرقت شده و آدرس وبسایت مذاکره کنندگان در شبکه Tor است. برای نشان دادن توانایی خود در رمزگشایی فایلها، مهاجمین پیشنهاد میکنند چندین فایل آزمایشی را که حاوی دادههای مهم نیستند رمزگشایی کنند. در این نسخه، نام سازمان قربانی به صراحت در داخل یادداشت ذکر شده است.
آمادهسازی برای رمزگذاری
قبل از رمزگذاری فایلها روی دستگاه، باجافزار چندین اقدام برای آمادهسازی انجام میدهد. ابتدا، تنظیمات زبان سیستم عامل قربانی را چک میکند. باج افزار در صورت تنظیم بودن شناساگر زبانی روس، قزاقی، بلاروس یا اوکراینی فوراً قطع میشود. توسعهدهندگان بدافزار معمولاً این کار را وقتی انجام می دهند که امید داشته باشند از پیگرد قانونی در کشورهایی که زبانها صحبت میشوند خودداری میشود. با این حال در مصاحبه منتشرشده در ژانویه 2023، نماینده مالوکس از این محدودیتها گفت: «این مربوط میشود به تصمیم خود توسعهدهنده درباره محدودسازی عملیاتهایمان در این مناطق. ما بر اساس پیشداوری یا ترجیح کار در کشورها را کلید نزدیم». در همان مصاحبه، آنها ادعا میکنند که کد پروژه قبلاً توسط سایر گروههای باجافزار استفاده شده و متعاقباً توسط عوامل تهدید فعلی خریداری شده است. این بدان معنی است که نمونههای اولیه ممکن است به صاحبان فعلی Mallox مرتبط نباشند، یا ممکن است چندین گروه مستقل از آنها استفاده کنند.
اگر زبان پیشفرض سیستم عامل در لیست حذف نباشد، فرآیند باجافزار امتیازات SeTakeOwnershipPrivilege و SeDebugPrivilege را دریافت میکند. سپس، کلیدها و مقادیر را از رجیستری با استفاده از تابع WinAPI SHDeleteKeyW ظاهراً برای مقابله با دفاع سیستم حذف میکند. پس از آن، Mallox با استفاده از ابزار vssadmin.exe کپیهای سایه را حذف و محیط بازیابی ویندوز را به طور کامل غیرفعال میکند.
شمارش و حذف درایوها
Mallox دادهها را روی همه درایوها از A تا Z رمزگذاری میکند؛ البته اگر این درایوها دارای انواع زیر باشند: DRIVE_REMOTE، DRIVE_REMOVABLE یا DRIVE_FIXED.همچنین از فایلهای متنی حاوی مسیرهایی برای رمزگذاری از طریق آرگومان های خط فرمان، مانند –P و –d پشتیبانی میکند. اگر آرگومان - d <text_file_path> تنظیم شود، باج افزار فقط مسیرهای موجود در فایل متنی را رمزگذاری نموده و درایوهای دستگاه را به صورت بازگشتی رمزگذاری نمیکند. اگر آرگومان p <text_file_path> تنظیم شود، ابتدا مسیرهای موجود در فایل متنی را رمزگذاری و تنها پس از آن، دادهها را در درایوهای محلی یا لوکال رمزگذاری میکند. فهرست کامل آرگومانهای مسیر فایل پذیرفته شده توسط نسخه اصلی Mallox در زیر ارائه شده است.
|
آرگومان
|
شرح
|
|
مسیر -d
|
منتظر یک مسیر به فایل متنی است، فقط مسیرهای موجود در فایل را رمزگذاری میکند.
|
|
مسیر -p
|
منتظر یک مسیر برای فایل متنی است، ابتدا مسیرهای موجود در فایل را رمزگذاری میکند و درست بعد از این، درایوها را.
|
|
مسیر -l
|
منتظر یک مسیر به فایل متنی است. اینکه روی چیزی تأثیر گذاشته باشد دیده نشده.
|
برای احتساب تعداد رشتههایی که برای رمزگذاری فایلها استفاده خواهند شد، مالوکس از تابع WinAPIGetSystemInfo استفاده میکند. این تابع از این نقطه ارزش dwNumberOfProcessorsگرفته و آن را دو برابر میکند. با این حال شمارش رشتهها به 64 محدود شده و از این بیشتر نمیشود. مالوکس از قالبیت فهرست لیست پشتیبانی میکند. فهرستهای افزونهها، نامهای فولدر و نامهای فایل که نباید در باجافزار رمزگذاری یا جاگذاری شوند. نام پوشهها شامل نام پوشههای سیستم عامل و برخی برنامههای کاربردی شناخته شده است. یکی از نامهای جالب در میان فایلهای استثنا debugLog.txt است که احتمالاً برای اهداف اشکالزدایی استفاده میشود. در زیر کد شبه برای تکرار از طریق درایوها وجود دارد که اگر آرگومان "-d" تنظیم نشده باشد، انجام می شود. این یعنی مالوکس میتواند از دو روش مختلف دایرکتوری و تکرار فایل استفاده کند: تجزیه دستی NTFS و توابع مدیریت فایل (WinAPI).
کریپتوگرافی
مالوکس یک طرح رمزگذاری پیچیده متشکل از چندین الگوریتم رمزنگاری را پیاده سازی میکند.هر بار که Mallox شروع به کار میکند، یک کلید خصوصی ECC (منحنی بیضی) کاربر جدید تولید میکند تا با ECDH (پروتکل توافق نامه کلید دیفی-هلمن منحنی بیضوی در Curve25519)استفاده شود. برای تولید این کلید خصوصی، باجافزار از مولد اعداد شبه تصادفی Mersenne Twister استفاده میکند که دانه آن با استفاده از تابع WinAPI CryptGenRandom تولید میشود. اگر مشکلی در مقداردهی اولیه ارائه دهنده خدمات رمزنگاری وجود داشته باشد CryptGenRandom نمی تواند استفاده شود. سپس دانه از طریق مجموعهای از توابع تولید میشود: QueryPerformanceCounter، GetTickCount، GetCurrentThreadId، GetCurrentProcessId، و دستورالعمل rdtsc __. خروجیهای این توابع ضربشده و به عنوان دانه Mersenne Twister استفاده میشود.
سایز کلید خصوصی ECC تولیدشده 32 بایت است. از این کلید خصوصی، تروجان کلید عمومی ECC مربوط به کاربر را تولید میکند. تروجان سپس رمز مشترکی را با استفاده از ECDH از کلید خصوصی ECC کاربر و کلید خصوصی مستر ECC مهاجم که در بدنه تروجان هاردکد شده حساب میکنند. کلید خصوصی ECC کاربر هیچجا ذخیره نمیشود و کلید عمومی ECC کاربر به هر فایل رمزگذاریشده اضافه شده و برای محاسبه مجدد رمز مشترک مهاجمین، لازم است.
شش بایت اول کلید عمومی ECC کاربر به شکل هگزادسیمال به عنوان شناسه منحصر به فرد قربانی استفاده می شود که در یادداشت به آن "شناسه شخصی" گفتهاند. هر بار که باجافزار راهاندازی میشود، بهطور منحصربهفرد تولید میشود و به دستگاه بستگی ندارد، بنابراین شناسه با هر اجرای جدید تغییر میکند. فایلهایی که در لیستهای مجاز نیستند با رمز جریان ChaCha20 رمزگذاری میشوند. کلید فایل و nonce برای ChaCha با استفاده از الگوریتم رمزگذاری متقارن AES-128 در حالت CTR رمزگذاری میشوند. کلید AES نیمه اول هش SHA-256 از راز مشترک است که قبلاً با استفاده از پروتکل ECDH به دست آمده بود. فایلهای کوچکتر یا مساوی 10240 بایت به طور کامل و فایل های بزرگتر با استفاده از روش نواری رمزگذاری میشوند: فایل به 100 قطعه و بعد هر کدام به 100 تکه تقسیم میشوند. هر یک از تکه های حاصل با ChaCha رمزگذاری شده است. اگر اندازه قطعه کمتر از 4096 بایت باشد، بدافزار اندازه خود را قبل از رمزگذاری به 4096 بایت افزایش میدهد. در پایان هر فایل رمزگذاری شده، Mallox ساختاری را اضافه میکند. ما آن را به عنوان یک "حافظ فنی" تعیین میکنیم، که اطلاعات لازم برای رمزگشایی فایل را ذخیره میکند. نمونه Mallox مورد بحث دارای یک بافر حداقلی است که فقط شامل یک کلید رمزگذاری شده و nonce برای ChaCha، IV برای AES و کلید عمومی ECC کاربر است.
مورد دوم برای استفاده مهاجمین برای بازیابی راز مشترک و محاسبه هش SHA-256 آن در نظر گرفته شده است که نیمه اول آن کلید رمزگذاری برای AES-128 CTR است و به همراه IV برای رمزگشایی کلید ChaCha و nonce ضروری است. پس از اتمام رمزگذاری، فایل اجرایی از طریق دستور del حذف میشود.
ارتباط با سرور C&C مهاجمین
قبل از شروع فرآیند رمزگذاری فایل، Mallox اطلاعات زیر را در مورد دستگاه آلوده با استفاده از یک درخواست HTTP POST به سرور مهاجم ارسال میکند: شناسه منحصر به فرد قربانی که از کلید عمومی به دست آمده است، نام رایانه محلی و نام DNS دامنه اصلی تعیین شده است. از طریق تماس با LsaQueryInformationPolicy با پارامتر PolicyDnsDomainInformation. پس از تکمیل رمزگذاری، باجافزار دوباره درخواستی را با شناسه قربانی و اطلاعات مربوط به دیسکهای رمزگذاری شده به سرور مهاجم ارسال میکند.
نسخه اخیر مالوکس (e98b3a8d2179e0bd0bebba42735d11b7، v12)
این یکی از جدیدترین نسخههای باجافزار Mallox است که در مارس 2024 یافت شد. در زیر، تحلیلی از این نسخه ارائه میکنیم، اما هدف اصلی تجزیه و تحلیل، نشان دادن تفاوت بین نسخه اول و جدید است. در مقایسه با نسخه اصلی Mallox، یکی از تغییرات قابل توجهی که در نسخه های بعدی رخ داد، مربوط به فرمت یادداشت بود. نسخه اصلی به صراحت نام شرکت و دستگاه مورد حمله را نشان میداد، اما نسخههای بعدی اغلب دارای یادداشت عمومی و پسوند بودند.
آرگومانهای جدید
|
آرگومان
|
شرح
|
|
-path <path>
|
در این نسخه کار نمیکند. منتظر مسیری برای رمزگذاری است.
|
|
-queue <integer>
|
در این نسخه کار نمیکند. منتظر مسیری برای رمزگذاری است.
|
دو آرگومان جدید در مقایسه با نسخه اول اضافه شده است، اما هیچ یک از آرگومان های جدید یا قدیمی در این نوع کار نمیکنند. هر آرگومان ارسالی از طریق خط فرمان در واقع از طریق تابع PathFileExistsW بررسی میشود، بنابراین باج افزار ظاهراً فقط مسیرهای فایل را به عنوان آرگومان میپذیرد: "mallox.exe <path1> <path2>...". <pathN>".
هر آرگومانی که مسیر نیست، از جمله «-p»، «-d»، «-l»، «-path»، «-queue» منجر به خطا میشود. در صورت عبور از مسیرهای صحیح، باجافزار بررسی میکند که آیا با امتیازات مدیریتی اجرا میشود یا خیر و در این صورت، فایلها را در این مسیرها رمزگذاری میکند. اگر بدون مجوزهای سرپرست اجرا می شود، سعی میکند با راه اندازی مجدد با استفاده از ShellExecuteW با فعل runas که برای اجرای برنامه به عنوان سرپرست استفاده میشود، امتیازات خود را افزایش دهد.
آمادهسازی برای رمزگذاری
بدیهی است که Mallox به منظور افزایش عملکرد و سرعت فرآیند رمزگذاری، طرح قدرت رایانه را روی عملکرد بالا تنظیم میکند. در این نسخه، تروجان جاوی تابعی برای پایان دادن به پروسههای فعال از طریق تابع TerminateProcess WinAPI است تا جلوی بلاک شدن فایلهای کاربر یا تعامل با پروسه رمزگذاری گرفته شود. فهرست نامهای پروسه قابل اتمام عمدتاً به پایگاههای داده مانند SQL Server، Oracle Database، Pervasive PSQL و MySQL اشاره دارد. قابلیت دیگر مربوط به خدمات است: تروجان از Service Control Manager برای غیرفعال کردن و متوقف نمودن سرویسها با استفاده از دو تابع ChangeServiceConfig و ControlService استفاده میکند. اگر کاربر تلاش کند سیستم عامل را خاموش یا ریستارت کند، مالوکس سعی میکند جلوی این کار را بگیرد. با استفاده از تابع ShutdownBlockReasonCreate، باجافزار باعث میشود سیستمعامل پیامی تهدیدآمیز درباره احتمال آسیب به فایل نمایش دهد، مگر اینکه کاربر خاموش کردن یا راهاندازی مجدد را متوقف کند. قبل از شروع رمزگذاری، تروجان کلیدهای رجیستری HKEY_LOCAL_MACHINE را تغییر میدهد تا UAC را غیرفعال و دکمههای Shut Down، Restart و Sign Out را پنهان کند.
کریپتوگرافی
طرح تولید کلید در نسخه اخیر تغییرات قابل توجهی را نشان میدهد. احتمالاً، این الگوریتم توسط توسعهدهندگان Mallox در تلاش برای رفع آسیبپذیریهایی که امکان رمزگشایی فایلهای قربانیان را بدون کلید خصوصی مهاجمین در نسخههای قبلی بدافزار فراهم میکرد، تغییر داده است. در این آخرین نسخه، از سه مقدار تعبیهشده در کد برای ایجاد یک راز مشترک استفاده میشود: دو کلید اصلی ECC عمومی master_public_key_1، master_public_key_2 که از سمت مهاجم تولید شده و هاردکد آن مبتنی بر چینش 12 بایتی بوده است. طرح جدید حاصل در زیر ارائه شده است:
- هنگامی که تروجان راه اندازی میشود، 56 بایت تصادفی را از طریق CTR_DRBG تولید میکند.
- دوازده بایت در وسط این آرایه 56 بایتی با بایتهای کدگذاری شده جایگزین میشود.
- 56 بایت حاصل با SHA-256 هش میشود.
- با استفاده از ECDH (curve25519) با نتیجه هش و master_public_key_1، تروجان یک user_private_key تولید میکند.
- با استفاده از ECDH (curve25519) با user_secret_key و نقطه پایه منحنی بیضوی، تروجان یک user_public_key تولید میکند.
- در نهایت، دوباره با استفاده از ECDH (curve25519) با user_secret_key و master_public_key_2، تروجان یک راز مشترک share_key تولید میکند.
- بعداً این share_key با SHA-256 هش میشود.
الگوریتم رمزگذاری فایل نیز تغییر کرده است: اکنون فایلها با استفاده از AES-256 در حالت GCM رمزگذاری میشوند. کلیدهای فایل با ISAAC PRNG تولید میشوند که توسط خروجی تابع BCryptGenRandom API ترکیب شده با Mersenne Twister PRNG تولید میشوند. کلیدهای فایل، مانند قبل، با استفاده از AES-128 در حالت CTR رمزگذاری میشوند، و کلید آن هنوز نیمه اول Share_key هش شده SHA-256 است. بافر فنی اضافه شده در انتهای هر فایل رمزگذاری شده گسترش یافته است.
ارتباط با سرور C&C مهاجمین
ابتدا، باج افزار آدرس IP خارجی دستگاه رمزگذاری شده را از طریق یک سرویس عمومی طرفسوم دریافت میکند. سپس اطلاعات مربوط به کاربر، دستگاه، شبکه، دیسکها و فایلها را جمعآوری کرده و با درخواست HTTP POST به سرور C&C مهاجم ارسال میکند. اگر همه دادهها با موفقیت دریافت و پردازش شوند، سرور با "موفقیت_افزوده" پاسخ میدهد.
جدول زمانی نسخههای مالوکس
از زمانی که اولین نسخه Mallox در سال 2021 ظاهر شد، تعداد زیادی نمونه را ردیابی کردهایم. در این مدت بیش از 700 نمونه مختلف پیدا شده است که برای راحتی کار آنها را به 12 نسخه تقسیم کردهایم. این تقسیمبندی بر اساس تغییرات در عملکرد باج افزار یا رمزنگاری است. لطفاً توجه داشته باشید که نمونههای تروجان دارای هیچ شماره نسخه داخلی نیستند. در جداول زیر به توضیح مختصری از تغییرات اعمال شده در هر نسخه Mallox به همراه MD5 یکی از نمونههای متعلق به این نسخه میپردازیم.
|
هش نمونه (MD5)
|
نسخه
|
برچسب زمانی PE
|
کامنت
|
|
9b772efb921de8f172f21125dd0e0ff7
|
1
|
12 می 2021
|
نسخهای که اول از همه پیدا شد
|
|
79b60f8b5052a9d4cc0c92c2cdc47485
|
2
|
20 نوامبر 2021
|
یادداشتها، احتمالاً به عنوان گام اولیه در انتقال به توزیع RaaS، عمومی شدند.
|
|
e713f05a62914496eef512a93a611622
|
3
|
17 فوریه 2022
|
یک آسیبپذیری در طرح رمزگذاری را که امکان رمزگشایی فایلها را بدون کلید خصوصی مهاجمین فراهم میکرد رفع نمود.
|
|
3829a09bca120206883539eb33d55311
|
4
|
9 می 2022
|
خودگسترشی را غیرفعال کرد. آسیب پذیری هنوز برطرفشده به حساب میآید.
|
|
a8e214683307adaff39783dc656b398a
|
5 (تولیدشده)
|
10 ژوئن 2022
|
آسیبپذیری معرفیشده در نسخه 3 را رفع کرد. یک طرح تولید کلید عمومی جدید با استفاده از دادههای دستگاه اضافه شد - ما به این طرح به عنوان «کلید تولید شده» اشاره میکنیم. یک آرگومان -Pathجدید اضافه کرد. خودگسترشی دوباره فعال شد.
|
|
ac1a255e5c908f12ef68a45fc0043b16
|
6 (جاسازشده)
|
17 جولای 2022
|
رفع آسیبپذیری معرفی شده در نسخه 3. یک طرح تولید کلید عمومی جدید با استفاده از یک کلید جاسازی شده اضافه شد - ما به این طرح به عنوان "کلید جاسازی شده" اشاره میکنیم.
|
با شروع نسخههای 5 و 6، تمام نسخههای بعدی تا 11 به دو طرح تولید کلید تقسیم شدند: "کلید تولید شده" و "کلید جاسازی شده"این نسخه ها به صورت موازی استفاده و اگر تغییراتی در یکی از این گونه ها ایجاد میشد، نسخه دیگر با همان تغییرات به زودی ظاهر میگشت، گاهی اوقات در همان روز. در ادامه این گزارش هر دو روش را به تفصیل شرح خواهیم داد.
نسخهای اما وجود دارد که از این طبقه بندی متمایز است. ما آن را 1F نامیدیم. تنها دو نمونه متعلق به این نسخه در ژوئن 2023 و فوریه 2024 کشف شد. جالب اینجاست که این اصلاح با طرحهای رمزگذاری پیچیدهای که در نسخههای 3، 4 و 12 دیده میشود متفاوت است. در عوض، این یک اصلاح محلی کوچک با استفاده از عملکرد رمزنگاری امن SystemFunction036 (RtlGenRandom) برای تولید دانه است.
طرح رمزنگاری در نسخه 5 و بالاتر: نوع "کلید تولید شده".
این طرح از داده های دستگاه برای پر کردن آرایهای با حداکثر اندازه 56 بایت استفاده میکند که از آن یک کلید خصوصی ECC کاربر به دست میآید. آرایه بر اساس توابع GetVolumeInformationW، GetFileTime، GetComputerNameA و دستورالعمل CPUID تولید میشود. بقیه طرح شامل سه فراخوانی curve25519، مشابه نسخه اخیر (12) است، اما بر خلاف آن، طرح توصیف شده در این پاراگراف از نظر رمزنگاری امن نیست.
طرح رمزنگاری در نسخه 6 و بالاتر: نوع "کلید جاسازی شده".
در این مورد، هیچ تولید مقدار تصادفی برای محاسبه share_key مخفی مشترک استفاده نمیشود. user_private_key در بدنه تروجان هاردکد شده و بقیه طرح نسبت به نسخه اول تغییر نکرده است. این نیز یک طرح رمزنگاری غیر ایمن است.
پورتال مذاکره و DLS (سایت نشت اطلاعات)
وقتی فایلهای قربانی را رمزگذاری میکند، مالوکس یادداشت باجگیری ایجاد نموده که معمولاً به نامهای HOW BACK FILES.txt، How to Restore FILES.txt، RECOVERY INFORMATION.txt، «FILE RECOVERY.txt» یا مواردی از این قبیل را ایجاد میکند. در یادداشت، عوامل تهدید، قربانی را در مورد راههای ارتباط با مهاجمین برای مذاکره در مورد پرداخت باج راهنمایی میکنند: با مراجعه به یک سایت TOR مشخص (درگاه مذاکره) و ورود به سیستم با شناسه قربانی، یا با ارسال پیام ایمیل به آدرسی مشخص.
پس از احراز هویت با پورتال مذاکره، صفحهای حاوی اطلاعات مربوط به مورد عفونت به قربانی ارائه میشود:
وضعیت: آیا داده های استخراجی منتشر شده است یا خیر
قیمت باج به دلار و بیتکوین
آدرسهای پرداخت برای BTC و TETHER TRC-20
پاسخ به سوالات متداول
ویجت چت برای صحبت با اپراتور باجافزار
صفحه اصلی سایت نشت داده Mallox که در همان دامنه پورتال مذاکره قرار دارد، حاوی لیست شرکتهای قربانی است. تایمرهای شمارش معکوس نشان دهنده زمان باقیمانده تا انتشار دادههای سرقتی از هر شرکت در صورتی که قربانی نتواند پرداخت کند. اطلاعات مربوط به شرکتهایی که ظاهراً همکاری نکردهاند روی صفحه جدیدی ارائه میشود (درست وقتی کاربر روی گزینه View کلیک میکند). این صفحه برخی جزئیات را فهرست میکند مانند درآمد نسبی قربانی، حجم کامل دادههای سرقتی، لینکهایی به دانلود آرشیوهایی که ظاهراً حاوی برخی یا همه فایلهای استخراجی بودند و پسوردی برای آنپک کردن آرشیوها. برای تبلیغات و عمومی کردن بیشتر برنامه وابستهشان، عاملین تهدید مالوکس حساب x یا توییتر سابق دارند که گهگاه در مورد قربانیان جدید این گروه آپدیتهایی ارائه داده و لینکهایی برای دانلود بخشهای جدید از دادههای سرقتی را به اشتراک می گذارد.
قربانیها
توزیع جغرافیایی کاربران منحصربهفرد KSN که با باجافزار Mallox مواجه شدهاند، نشان میدهد که شرکتهای وابسته به RaaS فعالیتهای خود را محدود به یک کشور خاص نمیکنند و ظاهراً هدفشان حمله به شرکتهای آسیبپذیر در هر جایی است که این شرکتها در آن قرار دارند. همانطور که گفته شد، برخی از مناطق هدف مطلوب تری برای اخاذی های مالوکس هستند. کشورهایی که بیشترین تلاش برای ابتلا به عفونت را به خود جلب کردهاند، برزیل، ویتنام و چین هستند.
نتیجهگیری
گزارش ما نگاهی جامع بر باجافزار مالوکس، مشخصههایش، سیر تکاملیاش و اثر احتمالیاش بر قربانیان داشت. با درک ماهیت باجافزار Mallox و پیادهسازی اقدامات درست امنیتی، شرکتها و سازمانها میتوانند بهتر از داراییهای دیجیتال خود محافظت کرده و ریسک قربانی این نرمافزار مخرب شدن را پایین بیاورند:
توصیه ما به شما این است که
- سرویسهای دسکتاپ از راه دور مانند RDP را در معرض شبکههای عمومی قرار ندهید مگر اینکه کاملاً ضروری باشد و همیشه از رمزهای عبور قوی استفاده کنید.
- اطمینان حاصل کنید که راهکارهای تجاری VPN و سایر نرمافزارهای سمت سرور همیشه به روز هستند زیرا بهرهبرداری از این نوع نرمافزار یک عامل رایج عفونت باج افزار است. برنامههای سمت سرویس گیرنده را همیشه به روز نگه دارید.
- استراتژی دفاعی خود را بر روی تشخیص حرکات جانبی و خروج داده ها به اینترنت متمرکز کنید. توجه ویژه ای به ترافیک خروجی برای شناسایی ارتباطات مجرمانه سایبری داشته باشید. به طور منظم از دادهها نسخه پشتیبان تهیه کنید. مطمئن شوید که میتوانید در مواقع اضطراری به سرعت به آن دسترسی داشته باشید. از جدیدترین اطلاعات Threat Intelligence برای به روز ماندن در مورد آخرین TTPهای مورد استفاده توسط عوامل تهدید استفاده کنید.
- از خدمات تشخیص و پاسخ مدیریت شده برای کمک به شناسایی و توقف حمله در مراحل اولیه، قبل از رسیدن مهاجمین به اهداف نهایی خود استفاده کنید.
- برای محافظت از محیط شرکت، به کارکنان خود آموزش دهید. دورههای آموزشی اختصاصی میتوانند کمک کنند، مانند دورههایی که در پلتفرم آگاهی امنیتی خودکار Kaspersky ارائه شده است.
- از راهکارهای امنیتی پیچیده، ترکیبی از حفاظت نقطه پایانی و ویژگیهای پاسخ خودکار رخداد، مانند Kaspersky NEXT استفاده کنید.
IoC
MD5
9b772efb921de8f172f21125dd0e0ff7
79b60f8b5052a9d4cc0c92c2cdc47485
e713f05a62914496eef512a93a611622
3829a09bca120206883539eb33d55311
a8e214683307adaff39783dc656b398a
ac1a255e5c908f12ef68a45fc0043b16
b1b42fa300d8f43c6deb98754caf0934
3762f98a55f0ec19702f388fc0db74e2
6bd93817967cdb61e0d7951382390fa0
c494342b6c84f649dece4df2d3ff1031
16e708876c32ff56593ba00931e0fb67
d32a3478aad766be96f0cdbda1f10091
e98b3a8d2179e0bd0bebba42735d11b7
98c7f6b6ddf6a01adb25457e9a3c52b8
b13a1e9c7ef5a51f64a58bae9b508e62
URLs
91.215.85.142%2FQWEwqdsvsf%2Fap.php
whyers.io%2FQWEwqdsvsf%2Fap.php
کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
