مشاهدات تیم رصد سایبری MDR پادویش در روزهای اخیر حاکی از افزایش قابل ملاحظه حملات سایبری با استفاده از بدافزار HackTool.Win32.JPotato است.
تیم رصد سایبری MDR پادویش در خصوص افزایش فعالیت مخرب نوعی بدافزار جدید با نام Juicy Potato – JPotato، ابزاری جهت افزایش سطح دسترسی سیستم برای اجرای برنامههای مورد نظر عوامل تهدید، هشدار داد.
JuicyPotato قادر است از سرویس BITS (سرویس انتقال هوشمند پسزمینه) و COM در اکانتهای سرویس محلی ویندوز سوء استفاده کند. برای اجرای موفقیتآمیز اکسپلویت، اکانت سرویس محلی باید دارای امتیازات خاص فعالی مانند «SeIpersonatePrivilege» و «SeAssignPrimaryPrivilege» باشد. این امتیازات اجازه میدهد تا عوامل تهدید مجوزهای سوء استفاده از سرور COM ویندوز و دسترسی سطح سیستم را دریافت کنند.
در واقع با استفاده از امتیازات جعل هویت، اکسپلویت JuicyPotato میتواند توکنهای دسترسی (یک شی شامل امتیازات یک حساب کاربری در یک فرآیند) سرور COM را جعل کند سپس با ایجاد فرآیندی جدید، توکن را روی این فرآیند تنظیم کند و زمینه اجرا با مجوزهای سیستم را فراهم سازد .
این دسترسی ها بر روی سرورهایی که سرویس IIS یا SQL را میزبانی میکنند به صورت پیشفرض فعال میباشد.
زنجیره نفوذ مشاهده شده JuicyPotato به شرح زیر است:
- در بررسی های انجام شده توسط تیم پاسخ به حادثه پادویش، عامل تهدید جهت بدست آوردن دسترسی اولیه عموما به دو طریق عمل میکند؛ حالت اول بهرهبرداری از آسیبپذیریهای نرمافزاری در وب سرورهای اینترنتی و استقرار web shell برای حفظ دستیابی به سرور آسیبدیده میباشد. حالت دوم نیز استفاده از سرورهای پایگاه داده آسیبپذیر و در دسترس از طریق اینترنت و اجرای کدهای مخرب از طریق آن میباشد.
- پس از به دست آوردن دسترسی اولیه، ابزار بهرهبرداری JuicyPotato توسط نفوذگر به منظور افزایش سطح دسترسی بر روی دستگاه قربانی قرار داده میشود.
- برای حفظ پایداری، عامل تهدید سعی میکند با استفاده از این اکسپلویت یک اکانت محلی با امتیازات بالاتر ایجاد کند.
- پس از بهرهبرداری موفقیتآمیز برای دستیابی به اهداف، مهاجم اسکریپت مخرب را با امتیازات بالا اجرا میکند.
- پس از بهرهبرداری نیز اقداماتی همچون دسترسی به سرویسهای ویندوز، استقرار نرمافزار استخراج رمز ارز، اتصال به سرورهای مخرب برای دانلود payloadهای مخرب مرحله بعدی و اجرای اسکریپتهای دستهای (batch Scripts) برای افزودن مخفیانه Scheduled task و سایر فایلهای بدافزار انجام میپذیرد.
نسخههای آسیبپذیر ویندوز کدامند؟
- Windows 7 Enterprise
- Windows 8.1 Enterprise
- Windows 10 Enterprise
- Windows 10 Professional
- Windows Server 2008 R2 Enterprise
- Windows Server 2012 Datacenter
- Windows Server 2016 Standard
📌 گفتنی است که Juicy Potato در ویندوز سرور 2019 و ویندوز 10 نسخه 1809 و بالاتر کار نمیکند، با این حال، تکنیک دیگری به نام PrintSpoofer برای سوء استفاده در سایر سیستمها وجود دارد. PrintSpoofer نیز مانند JPotato، توسط تیم رصد سایبری MDR پادویش به وفور مشاهده شده است.
نشانههای آلودگی به همراه تهدیدات شناسایی شده توسط پادویش به شرح جدول ذیل میباشد:
شناسههای آلودگی |
نام تهدید شناسایی شده در پادویش |
مسیر |
| 692977c9908a4e16439c1a14a4db6cf6735bb5cb8d7e19310a0cbb756e52f658 | Trojan.BAT.Agent.bat | C:\ProgramData\wins2.bat |
| 3bc6a9ff7cbd5d10d731ef382e2ec04f7bd50d78af235359fbf451888a205b8c | HackTool.Win32.JPotato.n | C:\Windows\Temp\tqx.exe |
| 1b640a17b58f02c1f848ab91b5b935dda43f26e6a95d4cac84cd01eb25018e98 | Exploit.Win32.PrintSpoofer.a | C:\Windows\Temp\Win10.exe |
| d129a40ca83001b603740e64251ec79023e2c1ea89757ada6e9bbeb5f8596ecc | HackTool.Win32.JPotato.a | C:\Windows\Temp\Win8.exe |
| d129a40ca83001b603740e64251ec79023e2c1ea89757ada6e9bbeb5f8596ecc | HackTool.Win32.JPotato.a | C:\ProgramData\Win8.exe |
| 3bc6a9ff7cbd5d10d731ef382e2ec04f7bd50d78af235359fbf451888a205b8c | HackTool.Win32.JPotato.n | C:\Windows\Temp\HttpA.exe |
| c0db0ea6ea1407a92d93b675bcba1ebf96000a67c1f6e8a2a1f8066b0d7282a3 | HackTool.Win32.JPotato.a | C:\Windows\Logs\RunDllExe.dll |
آنتی ویروس پادویش این بدافزار را شناسایی و از سیستم حذف میکند. بخش جلوگیری از نفوذ (IPS) آنتیویروس پادویش، از وقوع حملات شبکهای توسط عاملان این تهدید جلوگیری میکند. ازاینرو، جهت پیشگیری از آلودگی به این بدافزار پیشنهاد میشود با نصب پادویش از ورود بدافزار به سیستم خود جلوگیری کنید.
