روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ در پرونده اخیر واکنش به رخداد در برزیل، نمونهای جدید و جالب از نرمافزار «قاتل آنتیویروس» شناسایی شد که دستکم از اکتبر ۲۰۲۴ در فضای اینترنت فعال بوده است. این بدافزار با سوءاستفاده از درایور ThrottleStop.sys که همراه آن ارائه میشود، فرآیندهای متعدد آنتیویروس را متوقف کرده و با استفاده از تکنیکی به نام BYOVD (آوردن درایور آسیبپذیر خود) دفاع سیستم را تضعیف میکند. سوءاستفاده از درایورهای آسیبپذیر برای غیرفعال کردن آنتیویروسها یک مشکل شناختهشده و اخیراً افزایش حملات سایبری با این روش مشاهده شده است.
شایان ذکر است که محصولات کسپرسکی مانند Kaspersky Endpoint Security (KES) دارای مکانیزمهای دفاع از خود هستند که مانع تغییر یا خاتمه فرآیندهای حافظه، حذف فایلهای برنامه از روی هارد دیسک و تغییر ورودیهای رجیستری سیستم میشوند. این مکانیزمها بهطور مؤثر با نمونه AV killer معرفیشده مقابله میکنند. در این پرونده، مشتری پس از رمزگذاری سیستمهای خود توسط یک نمونه باجافزار، درخواست کمک کرد. مهاجم با استفاده از یک نام کاربری و گذرواژه معتبر RDP به سیستم اولیه که سرور SMTP بود دسترسی پیدا کرد. سپس با ابزار Mimikatz اعتبارنامههای دیگر کاربران را استخراج کرده و با بهرهگیری از تکنیک pass-the-hash و ابزارهای Invoke-WMIExec.ps1 و Invoke-SMBExec.ps1 در شبکه جابهجایی جانبی انجام داد. در نهایت، مهاجم با غیرفعالسازی آنتیویروس موجود در چندین نقطه پایانی و سرور در شبکه، نسخهای از باجافزار MedusaLocker را اجرا کرد.
در این مقاله جزئیات حمله و تحلیل نرمافزار AV killer را ارائه میکنیم و در پایان، تاکتیکها، تکنیکها و رویههای (TTPs) مورد استفاده مهاجمان را شرح میدهیم. با ما همراه باشید.
محصولات کسپرسکی تهدیدات مشاهدهشده در این حادثه را به شکل زیر شناسایی میکنند:
- Trojan-Ransom.Win32.PaidMeme.* نسخهای از باجافزار MedusaLocker
- Win64.KillAV.* (AV killer)
مرور کلی رخداد
حمله با استفاده از نام کاربری و گذرواژه معتبر یک حساب مدیریتی آغاز شد. مهاجم از بلژیک از طریق RDP به یک سرور ایمیل متصل شد و سپس با استفاده از Mimikatz هش NTLM کاربر دیگری را استخراج کرد. در ادامه، با بهکارگیری دستورهای PowerShell از مجموعه Invoke-TheHash، حملات pass-the-hash را برای ایجاد حسابهای کاربری جدید روی سیستمهای مختلف انجام داد. نکته جالب این بود که مهاجم نمیخواست روی همه دستگاهها یک نام کاربری یکسان ایجاد کند، بلکه در انتهای نام هر کاربر یک شماره ترتیبی اضافه میکرد (مانند User1، User2، User3 و …)؛ با این حال، گذرواژه تمام این حسابها یکسان بود.
مجموعهای از فایلها، از جمله AV killer، در مسیرC:\Users\Administrator\Musicروی سرور ایمیل بارگذاری شد. این فایلها بعداً همراه با باجافزار haz8.exe روی سایر سیستمها نیز قرار گرفتند، اما این بار در مسیرC:\Users\UserN\Pictures. در ابتدا Windows Defender توانست تهدید باجافزار را روی برخی دستگاهها بلافاصله پس از بارگذاری مهار کند، اما مهاجم خیلی زود این راهکار امنیتی را متوقف کرد. خوشبختانه، سیستمهای بررسیشده همچنان حاوی اطلاعات مرتبط بودند، هرچند همیشه چنین شانسی وجود ندارد. این نوع حمله اهمیت دفاع چندلایه را نشان میدهد. با وجود نصب آنتیویروس، مهاجم با استفاده از یک حساب معتبر، فایل مخربی را بارگذاری کرد که شناسایی نشد و از سد دفاعی عبور کرد. رعایت نکات ساده امنیتی مانند الزام به استفاده از گذرواژههای قوی و غیرفعال کردن دسترسی RDP از طریق IP عمومی میتواند مانع چنین حملاتی شود.
تحلیل AV Killer
برای غیرفعال کردن دفاع سیستم، مهاجمان از دو فایل ThrottleBlood.sys و All.exe استفاده کردند. فایل نخست یک درایور قانونی به نام اصلی ThrottleStop.sys است که توسط TechPowerUp توسعه یافته و در برنامه ThrottleStop به کار میرود. این برنامه برای پایش و رفع مشکل کاهش سرعت CPU طراحی شده و بیشتر توسط گیمرها استفاده میشود.
|
هش
|
ارزش
|
|
MD5
|
6bc8e3505d9f51368ddf323acb6abc49
|
|
SHA-1
|
82ed942a52cdcf120a8919730e00ba37619661a3
|
|
SHA-256
|
16f83f056177c4ec24c7e99d01ca9d9d6713bd0497eeedb777a3ffefa99c97f0
|
پس از بارگذاری، درایور دستگاهی به نام.\.\ThrottleStop ایجاد میکند که یک کانال ارتباطی بین حالت کاربر و حالت هسته سیستم است. ارتباط با این درایور از طریق فراخوانیهای IOCTL و بهطور مشخص با تابع Win32 DeviceIoControl انجام میشود. این تابع با استفاده از کدهای IOCTL درخواست انجام عملیات مختلف را به درایور میدهد. درایور دو تابع IOCTL آسیبپذیر را در دسترس قرار میدهد: یکی برای خواندن از حافظه و دیگری برای نوشتن در آن، هر دو بر اساس آدرسهای فیزیکی. نکته مهم این است که هر کاربر با دسترسی مدیریتی میتواند به این توابع دسترسی داشته باشد که هسته اصلی آسیبپذیری محسوب میشود.
این درایور برای دسترسی به حافظه فیزیکی از تابع MmMapIoSpace استفاده میکند. این API در سطح هسته یک آدرس فیزیکی مشخص را به فضای آدرس مجازی، بهویژه در ناحیه MMIO (ورودی/خروجی مبتنی بر حافظه)، نگاشت میکند. این نگاشت باعث میشود که خواندن و نوشتن در حافظه مجازی بهطور مستقیم بر حافظه فیزیکی متناظر اثر بگذارد. این نوع آسیبپذیری در درایورهای هسته شناختهشده است و سالهاست نهتنها توسط مهاجمان بلکه توسط متقلبان بازی برای دسترسی سطح پایین به حافظه مورد سوءاستفاده قرار میگیرد. آسیبپذیری موجود در ThrottleStop.sys با شناسه CVE-2025-7771 ثبت شده است. طبق اطلاعات ما، تولیدکننده در حال آمادهسازی وصله امنیتی است. تا آن زمان توصیه میشود راهکارهای امنیتی حضور این درایور آسیبپذیر را در سیستمعامل شناسایی و مسدود کنند تا از سوءاستفاده ابزارهایی مانند EDR Killer جلوگیری شود.
فایل دوم، All.exe، همان AV Killer است. تحلیل ما با بررسی اولیه این فایل آغاز شد.
|
هش
|
ارزش
|
|
MD5
|
a88daa62751c212b7579a57f1f4ae8f8
|
|
SHA-1
|
c0979ec20b87084317d1bfa50405f7149c3b5c5f
|
|
SHA-256
|
7a311b584497e8133cd85950fec6132904dd5b02388a9feed3f5e057fb891d09
|
ابتدا ویژگیهای فایل را بررسی کردیم. در جستجوی رشتههای مرتبط، الگوی مشخصی به چشم خورد: وجود نام چندین فرایند مربوط به آنتیویروسها در داخل باینری. تصویر زیر بخشی از نتیجه این جستجو را نشان میدهد. ما توانستیم تمام فرایندهایی را که بدافزار تلاش به خاتمه دادن آنها دارد، شناسایی و با نام شرکت سازنده مطابقت دهیم. جدول زیر هر یک از این فرایندها را به همراه فروشنده مربوطه نشان میدهد. همانطور که پیداست، این فایل مخرب تلاش میکند اصلیترین محصولات آنتیویروس موجود در بازار را متوقف کند.
|
نام فرآیند
|
فروشنده
|
|
AvastSvc.exe, AvLaunch.exe, aswToolsSvc.exe, afwServ.exe, wsc_proxy.exe, bccavsvc.exe
|
Avast
|
|
AVGSvc.exe, AVGUI.exe, avgsvca.exe, avgToolsSvc.exe
|
AVG Technologies (Avast)
|
|
bdlived2.exe, bdredline.exe, bdregsvr2.exe, bdservicehost.exe, bdemsrv.exe, bdlserv.exe, BDLogger.exe, BDAvScanner.exe, BDFileServer.exe, BDFsTray.exe, Arrakis3.exe, BDScheduler.exe, BDStatistics.exe, npemclient3.exe, epconsole.exe, ephost.exe, EPIntegrationService.exe, EPProtectedService.exe, EPSecurityService.exe, EPUpdateService.exe
|
BitDefender
|
|
CSFalconContainer.exe, CSFalconService.exe, CSFalconUI.exe
|
CrowdStrike
|
|
egui.exe, eguiProxy.exe, ERAAgent.exe, efwd.exe, ekrn.exe
|
ESET
|
|
avp.exe, avpsus.exe, avpui.exe, kavfs.exe, kavfswh.exe, kavfswp.exe, klcsldcl.exe, klnagent.exe, klwtblfs.exe, vapm.exe
|
Kaspersky
|
|
mfevtps.exe
|
McAfee (Trellix)
|
|
MsMpEng.exe, MsMpSvc.exe, MSASCui.exe, MSASCuiL.exe, SecurityHealthService.exe, SecurityHealthSystray.exe
|
Microsoft
|
|
QHPISVR.EXE, QUHLPSVC.EXE, SAPISSVC.EXE
|
Quick Heal Technologies
|
|
ccSvcHst.exe, ccApp.exe, rtvscan.exe, SepMasterService.exe, sepWscSvc64.exe, smc.exe, SmcGui.exe, snac.exe, SymCorpUI.exe, SymWSC.exe, webextbridge.exe, WscStub.exe
|
Symantec (Broadcom)
|
|
PSANHost.exe, pselamsvc.exe, PSUAMain.exe, PSUAService.exe
|
Panda Security (WatchGuard)
|
|
SentinelAgent.exe, SentinelAgentWorker.exe, SentinelHelperService.exe, SentinelServiceHost.exe, SentinelStaticEngine.exe, SentinelStaticEngineScanner.exe, SentinelUI.exe
|
SentinelOne
|
|
SophosFileScanner.exe, SophosFIMService.exe, SophosFS.exe, SophosHealth.exe, SophosNetFilter.exe, SophosNtpService.exe, hmpalert.exe, McsAgent.exe, McsClient.exe, SEDService.exe
|
Sophos
|
وقتی فایل اجرایی اجرا میشود، ابتدا درایور ThrottleBlood.sys را با استفاده از روشهای API مربوط به Service Control Manager مانند OpenSCManagerA و StartServiceW بارگذاری میکند.
AV Killer برای ربودن توابع هسته و اجرای کدهای مخصوص حالت هسته از حالت کاربر، به درایور ThrottleStop نیاز دارد. برای فراخوانی این توابع هسته با استفاده از قابلیتهای آسیبپذیر خواندن/نوشتن درایور، ابتدا آدرس پایه هسته در حال بارگذاری و آدرس توابع هدف برای بازنویسی را به دست میآورد. این کار با استفاده از تابع بدون مستندات NtQuerySystemInformation در Win32 انجام میشود. با ارسال پارامتر SystemModuleInformation به این تابع، فهرست ماژولها و درایورهای بارگذاری شده در سیستم فعلی بازگردانده میشود. هسته ویندوز به نام ntoskrnl.exe شناخته میشود. به دلیل استفاده از KASLR (تصادفیسازی محل قرارگیری فضای آدرس هسته)، آدرس پایه هسته در هر بار اجرا متفاوت است.
برای انجام عملیات خواندن/نوشتن با استفاده از MmMapIoSpace، ابتدا باید آدرس فیزیکی متناظر با آدرس هسته مشخص شود. این کار با تکنیکی به نام SuperFetch انجام میشود که در پروژه متنباز Superfetch در گیتهاب قرار دارد. این پروژه با یک کتابخانه C++ که تنها شامل فایلهای هدر میشود، ترجمه آدرسهای مجازی به آدرسهای فیزیکی را ممکن میسازد. کتابخانه C++ سوپرفچ از تابع NtQuerySystemInformation استفاده میکند، بهخصوص با پارامتر SystemSuperfetchInformation. این درخواست تمام بازههای حافظه و صفحات فعلی را بازمیگرداند. با این اطلاعات، کتابخانه سوپرفچ میتواند هر آدرس مجازی هسته را به آدرس فیزیکی متناظر آن ترجمه کند.
فراخوانی توابع هسته
پس از بهدست آوردن آدرس پایه فیزیکی، بدافزار باید تابعی از هسته را انتخاب کند که بتوان به صورت غیرمستقیم با استفاده از یک سیستمکال (از حالت کاربر) آن را فراخوانی کرد. سیستمکال انتخابی NtAddAtom است که به ندرت استفاده میشود و بهراحتی از طریق ntdll.dll قابل فراخوانی است. با بارگذاری فایل ntoskrnl.exe توسط تابع LoadLibrary، بدافزار میتواند آفست تابع NtAddAtom را پیدا کند و با جمع کردن آفست و آدرس پایه فعلی هسته، آدرس دقیق تابع در هسته را محاسبه کند. آدرس فیزیکی به همان شیوه آدرس پایه هسته بهدست میآید. با داشتن این آدرسهای فیزیکی و درایور بارگذاری شده، بدافزار میتواند از کدهای آسیبپذیر IOCTL برای خواندن و نوشتن حافظه فیزیکی تابع NtAddAtom سوءاستفاده کند. برای فراخوانی هر تابع هسته، AV Killer یک شِلکد کوچک مینویسد که به آدرس هدف در هسته میپرد. این آدرس هدف میتواند هر تابع دلخواه در هسته باشد. پس از اجرای تابع، بدافزار کد اصلی هسته را بازیابی میکند تا از کرش سیستم جلوگیری شود.
روال اصلی کشتن فرایندها
پس از جمعآوری تمام اطلاعات لازم، AV Killer در یک حلقه با استفاده از توابع Process32FirstW و Process32NextW به جستجوی فرایندهای هدف میپردازد. همانطور که قبلاً گفتیم، لیست نرمافزارهای امنیتی هدف، مانند MsMpEng.exe (Windows Defender)، در داخل بدافزار به صورت ثابت تعریف شده است.
اجرا را با این لیست مقایسه میکند و در صورت پیدا کردن تطابق، با استفاده از درایور آسیبپذیر توابع هسته PsLookupProcessById و PsTerminateProcess را فراخوانی کرده و فرایند را خاتمه میدهد. اگر فرایندی متوقف شود، پیامی همراه با نام فرایند در کنسول نمایش داده میشود، همانطور که در تصویر زیر دیده میشود. این موضوع نشان میدهد که بدافزار در حال دیباگ شدن بوده است.
مثل بیشتر آنتیویروسهای امروزی، Windows Defender تلاش میکند سرویس خود را مجدداً راهاندازی کند تا سیستم را محافظت کند. با این حال، حلقه اصلی برنامه همچنان به شناسایی و حذف فرایند مرتبط با آنتیویروس ادامه میدهد.
قانون YARA
بر اساس تحلیل نمونه، قانون YARA زیر برای شناسایی این تهدید بهصورت لحظهای توسعه داده شده است. این قانون نوع فایل، رشتههای مرتبط و واردات توابع کتابخانهای را در نظر میگیرد.
قربانیان
طبق دادههای تلهمتری و اطلاعات جمعآوریشده از منابع عمومی تهدید، مهاجمان حداقل از اکتبر ۲۰۲۴ از این بدافزار استفاده کردهاند. بیشترین قربانیان در روسیه، بلاروس، قزاقستان، اوکراین و برزیل قرار دارند.
نسبت دادن حمله
این ابزار AV Killer اخیراً در حملهای در برزیل برای اجرای باجافزار MedusaLocker در زیرساخت یک شرکت استفاده شده است. اما این نوع بدافزار در میان بازیگران تهدید مختلف، از جمله گروهها و همدستان باجافزاری، بسیار رایج است.
نتیجهگیری و توصیهها
این رخداد درسهای مهمی دارد. اول اینکه باید اقدامات سختافزاری قوی برای محافظت از سرورها در برابر حملات جستجوی فراگیر و محدود کردن دسترسی پروتکلهای کنترل از راه دور به IPهای عمومی اجرا شود. اگر قربانی دسترسی RDP را محدود و سیاستهای قوی برای پسوردها اعمال کرده بود، نفوذ اولیه قابل پیشگیری بود. همچنین این رخداد ضرورت دفاع چندلایه را نشان میدهد. AV Killer توانست دفاعهای سیستم را غیرفعال کند و به مهاجم اجازه داد بهراحتی در شبکه حرکت کند. برای کاهش چنین تهدیداتی، مدیران سیستم باید این اقدامات را اجرا کنند:
- فهرست سفید کردن برنامهها و اجرای دقیق دسترسی حداقلی.
- تقسیمبندی و ایزوله کردن شبکه برای کنترل نفوذ و محدود کردن حرکت جانبی.
- احراز هویت چندعاملی (MFA) برای تمامی کانالهای دسترسی از راه دور.
- مدیریت منظم وصلهها و اسکن خودکار آسیبپذیریها.
- استفاده از سیستمهای تشخیص و پیشگیری نفوذ (IDS/IPS) برای شناسایی رفتارهای مشکوک.
- بهکارگیری ابزارهای تشخیص و واکنش نقطه پایانی (EDR) برای مانیتورینگ و پاسخدهی بلادرنگ.
- ثبت کامل رویدادها، پایش مستمر و هشداردهی برای کشف سریع رخدادها.
- انجام ارزیابیهای امنیتی دورهای و تست نفوذ برای اطمینان از اثربخشی کنترلها.
اخیراً حملات با استفاده از انواع مختلف نرمافزارهای AV Killer افزایش یافته است. خدمات محافظت از تهدید باید مکانیزمهای خوددفاعی برای مقابله با این حملات اجرا کنند، از جمله محافظت از فایلهای برنامه در برابر تغییر غیرمجاز، نظارت بر فرایندهای حافظه و بهروزرسانی مرتب قوانین شناسایی روی دستگاههای کاربران.
شاخصهای دستکاری
درایور آسیبپذیر ThrottleBlood.sys
82ed942a52cdcf120a8919730e00ba37619661a3
بدافزار مشاهدهشده در رخداد
f02daf614109f39babdcb6f8841dd6981e929d70 (haz8.exe)
c0979ec20b87084317d1bfa50405f7149c3b5c5f (All.exe)
سایر متغیرهای کشنده AV
eff7919d5de737d9a64f7528e86e3666051a49aa
0a15be464a603b1eebc61744dc60510ce169e135
d5a050c73346f01fc9ad767d345ed36c221baac2
987834891cea821bcd3ce1f6d3e549282d38b8d3
86a2a93a31e0151888c52dbbc8e33a7a3f4357db
dcaed7526cda644a23da542d01017d48d97c9533
کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
