| دسته بندی حمله | Malware Attack |
| شرح حمله | مهاجم تلاش می کند تا با استفاده از نقطه ضعف نرم افزار ویندوز ( Microsoft security bulletin MS17-010 ) به سیستم عامل نفوذ کند. در این روش مهاجم با استفاده از پروتکل SMB v1 فایل آلودگی را به برنامه lsass.exe و srv2.sys منتقل می نماید
پس از آلوده شدن قربانی سرویس mssecsvc.exe بروی دستگاه اجرا کرده و با استفاده از پورت 445 TCP اقدام به بررسی شبکه و شناسایی قربانی های دیگر در شبکه می کند. دیگر فایلهای مرتبط با این حمله عبارتند از : C:\Windows\mssecsvc.exe C:\Windows\tasksche.exe %TEMP%\m.vbs %TEMP%\b.wrny %TEMP%\c.wrny taskse.exe taskdl.exe مهاجم تلاش می کند تا با سایتهای زیر ارتباط برقرار کند www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]testing www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]test توجه داشته باشید که امکان ارتباط با سایتهای مشابه وجود دارد. پس از ارتباط با سایتهای فوق، شروع به رمزنگاری فایلهای موجود در سیستم قربانی می کند. در نسخه های جدیدتر، فرآیند رمزنگاری به صورت آفلاین نیز انجام می شود. دستگاه های فاقد بروزرسانی CVE-2017-0145 هدف این حمله می باشند: Microsoft Security Bulletin MS17-010 – Critical (Security Update for Microsoft Windows SMB Server (4013389 بر روی بعضی از قربانیان امکان مشاهده پردازش زیر نیز وجود دارد: cscript.exe //nologo m.vbs |
| روش تشخیص حمله | Dest IP in {SrcIPAdd}
Group by Dest IP , Source IP Count matched events >= 1 Timewindow 10 min Notificationfrequency 1 min |
| دیاگرام حمله | Lan IP Address connects to Wan IP Address or Site by port 445 |
| لاگ های مورد نیاز | لاگ های Firewall و Windows و DNS |
| Attribute های مورد نیاز | Dest IP – Dest Port – Process Name – Process Path |
| Recommanded Action |
|
| روش تست و لاگ های مورد نیاز | ایجاد ارتباط از ایستگاه کاری با آدرس خارج از شبکه با پورت 445 |
