حمله بدافزار Dexphot به رایانه‌های ویندوز و سرویس‌های رمزگذاری

این بدافزار از تکنیک‌های filess استفاده می‌کند، کدهای مخرب را مستقیماً در حافظه اجرا می‌کند و همچنین فرایند قانونی را برای پنهان کردن فعالیت مخرب بکار می‌برد.

مایکروسافت از سال ۲۰۱۸ تهدید را به دقت دنبال می‌کند. این تهدید به طور مداوم بدافزار را بهبود می‌بخشد، فرایندهای جدید را بکار گرفته و مکانیزم دفاعی را هدف قرار می‌دهد.

dexphot attacks_1.png

رفتار Dexphot و نفوذ زنجیره‌ای

این بدافزار از چندین پلی مورفیسم در بین باینری‌هایی که توزیع می‌کند، تکنیک‌های پرونده و تشخیص مبتنی بر رفتار را برای محافظت استفاده می‌کند.

این بدافزار از روند قانونی زیر سوءاستفاده می‌کند

msiexec.exe - فرآیند مایکروسافت برای نصب، اصلاح و انجام عملیات در Windows Installer

unzip.exe - برنامه استخراج

rundll32.exe - برای اجرای پرونده‌های DLL استفاده می‌شود   

schtasks.exe - برای ایجاد کارهای برنامه‌ریزی شده

owershell.exe - چارچوب اتوماسیون   

svchost.exe - خدمات Win32  

tracert.exe - ابزار خط فرمان شبکه
    
این نرم‌افزار همچنین، نصب نرم‌افزار آنتی‌ویروس را بررسی می‌کند، در صورت وجود آنتی‌ویروس، نصب را فوراً متوقف می‌کند، در غیر این صورت،فایل ZIP  را اجراء می‌نماید.  پرونده با استفاده از unzip.exe که در بسته موجود است از حالت فشرده خارج شد.

فایل زیپ دارای سه پرونده مانند لودر DLL ، تمیز کردن DLL برای جلوگیری از شناسایی و داده‌های رمزگذاری شده است. این پرونده‌ها در پوشه موارد دلخواه سیستم فشرده شده‌اند.

برای شروع مرحله خالی، بارکننده راه‌انداز دو فرآیند سیستم قانونی را هدف قرار می‌دهد، بارکننده DLL محتوای این فرایندها را با اولین و دومین executables اجرایی decrypted ‪(nslookup.exe)‬عوض می‌کند و سپس اهداف را بازبینی می‌کند و دوباره آن را با XMRig و JCE Miner جایگزین می‌نماید.

ماندگاری

برای حفظ پایداری، آن به طور مداوم در حال چک کردن وضعیت سه فرآیند مخرب است، در صورتی که هر یک از این مراحل متوقف شود، سپس ناظران کل فرآیند را متوقف کرده و دوباره نفوذ را آغاز می‌کنند.

همچنین، مایکروسافت مشاهده کرد که از schtasks.exe برای ایجاد وظایف برنامه‌ریزی شده، با دستور زیر به عنوان یک روش ایمن برای حفظ پایداری استفاده می کند.

کمپین Dexphot با هدف نصب ماینرهای سکه در دستگاه هدف قرار گرفت و مهاجمان برای تولید درآمد منابع رایانه را به صورت مخفیانه سرقت می‌کردند.