شهریور 28, 1403
0

باج افزار Zeppelin

516 بازدید
باج افزار Zeppelin

باج افزار Zeppelin

باج افزار Zeppelin نمونه جدیدی از باج افزارهایی که در حال آلوده سازی سیستم کاربران است و دانستن و شناخت این باج افزار کمک میکند تا از این آلودگی در سازمانهای فناوری و خدمات درمانی در سراسر اروپا و کانادا و … است .

اندکی در باره پیشینه باج افزار Zeppelin :

این باج افزار ابتدا با نام vegalocker فعالیت خورد را شروع کرد . سپس نامش به Buran  تغییر پیدا کرد و در می 2019 در فروم های هکری شروع به خرید و فروش این باج افزار کردند . از این باج افزار نسخته های مختلفی منتتشر شده که در حال حاضر آخرین نمونه آن باج افزار Zeppelin است.
تاکنون نحوه ی توزیع این باج افزار دقیقا مشخص نشده ولی احتمالا از طریف سرویس Remote desktop که از طریق اینترنت فراهم شده انتشار یافته است.

عملکرد باج افزار Zeppelin به این صورت است که در ابتدا پایگاه داده ها ، سیستمهای بکاپ گیری ، سرویسهای ایمیل را درگیر میکند و بعد رمزنگاری فایلها (هیچ پسوندی به فایلها اضافه نمیکند ) و مشخصه آن اضافه کردن کلمه Zeppelin در فرمت HEX فایل است .

این بد افزار به زبان دلفی نوشته شده است و کاملا تنظیم پذیر است .

 

باج افزار Zeppelin

این باج افزار را میتوان شخصی سازی کرد ، این باج افزار به صورت فایلهای DLL  و EXE در قالب اسکریپتهای Powershell در سیستم هدف مستقر شود.

 

 

ویژگی های باج افزار :

•    IP Logger: برای ردیابی موقعیت و آدرس IP قربانیان
•    Startup: برای به دست آوردن ماندگاری در سیستم قربانی
•    Delete backups: برای متوقف کردن سرویس‌های خاص، غیرفعال کردن بازیابی فایل‌ها، حذف بکاپ‌ها و shadow copyها و غیره.
•    Task-killer: خاتمه دادن پروسس‌های مشخص شده توسط مهاجم
•    Auto-unlock: برای بازگشایی فایل‌هایی که حین رمزگذاری قفل شده‌اند.
•    Melt: برای تزریق thread دارای قابلیت خودحذفی به nodepad.exe
•    UAC prompt: تلاش برای اجرای باج‌افزار با سطح دسترسی بالا

 

در حال حاضر راهی برای بازیابی فایلهای رمز نشده کشف نشده است و در حال حاضر بهترین راه حل بکاپ گیری منظم از دیتابیس ها و فایلهای اصلی است.
این باج افزار تعداد فایلهای موجود در همه درایوها را محاسبه میکند و سپس اقدام به رمزنگاری آن میکند و برای پنهان کردن از لایه های متعدد و کلید های تصادفی و .. استفاده میکند .
به گفته‌ی محققان، Zeppelin از ترکیب استانداردی از رمزگذاری متقارن با کلیدهای تصادفی تولید شده برای هر فایل (AES-256 در مُد CBC)، و رمزگذاری نامتقارن برای محافظت از Session key (با استفاده از پیاده‌سازی خاصی از RSA) استفاده می‌کند.

نشانه های آلودگی

:HASH

   ۰۴۶۲۸e۵ec۵۷c۹۸۳۱۸۵۰۹۱f۰۲fb۱۶dfdac۰۲۵۲b۲d۲۵۳ffc۴cd۸d۷۹f۳c۷۹de۲۷۲۲
    ۳۹d۸۳۳۱b۹۶۳۷۵۱bbd۵۵۵۶ff۷۱b۰۲۶۹db۰۱۸ba۱f۴۲۵۹۳۹c۳e۸۶۵b۷۹۹cc۷۷۰bfe۴
   ۴۸۹۴b۱۵۴۹a۲۴e۹۶۴۴۰۳۵۶۵c۶۱faae۵f۸daf۲۴۴c۹۰b۱fbbd۵۷۰۹ed۱a۸۴۹۱d۵۶bf
    e۲۲b۵۰۶۲cb۵b۰۲۹۸۷ac۳۲۹۴۱ebd۷۱۸۷۲۵۷۸e۹be۲b۸c۶f۸۶۷۹c۳۰e۱a۸۴۷۶۴dba۷
   ۱f۹۴d۱۸۲۴۷۸۳e۸edac۶۲۹۴۲e۱۳۱۸۵ffd۰۲edb۱۲۹۹۷۰ca۰۴e۰dd۵b۲۴۵dd۳۰۰۲bc
    d۶۱bd۶۷b۰۱۵۰ad۷۷ebfb۱۹۱۰۰dff۸۹۰c۴۸db۶۸۰d۰۸۹a۹۶a۲۸a۶۳۰۱۴۰b۹۸۶۸d۸۶

کلید رجیستری

   HKCU\Software\Zeppelin

GUID:

 {۹۶۱۳۶۷AF-۲۵۳۸-۷AA۳-CE۰E-۲۰CBF۲F۴۰FD۲}
 {۴B۷۶FDEB-DA۹A-۲C۵۶-۷۴۶۰-BB۸AB۴۸A۳۴C۵}
 {۵۶A۶۸۰F۵-۴۹۶F-۸۳۲۸-C۰۸۰-FDF۸۶۶E۸۱۸۳F}
 {EEDECCF۱-۰۶D۱-۰۳۳۳-۰۳۳۳-۱۰۸۴CF۲۲۱۹BB}
  {A۳۲۱۰۶۴D-۱۱۷۷-۵C۳۰-۷EE۶-AEFD۴۸۳۰۲DCB}
  {۸۱۷۳۲۱۳۴-D۳۳۰-۰۵F۵-۳۵FC-۵۷B۲E۸FFB۹۸۳}

آدرس اینترنتی :

  https[://]iplogger[.]org/۱HVwe۷.png
 https[://]iplogger[.]org/۱HCne۷.jpeg
  https[://]iplogger[.]org/۱Hpee۷.jpeg
  https[://]iplogger[.]org/۱syG۸۷
 https[://]iplogger[.]org/۱H۷Yt۷.jpg
 https[://]iplogger[.]org/۱wF۹i۷.jpeg

ایمیل :

 bad_sysadmin(at)protonmail[.]com
 Vsbb(at)firemail[.]cc
 Vsbb(at)tutanota[.]com
 buratino(at)firemail[.]cc
 buratino۲(at)tutanota[.]com
 ran-unlock(at)protonmail[.]com
 ranunlock(at)cock[.]li
 buratin(at)torbox۳uiot۶wchz[.]onion
برای مشاهده اطلاعیه و اخبارهای مربوط به معرفی باج افزارهایی که هر مسئول فناوری اطلاعات در سازمانها باید بدانند میتوانید بر روی لینک زیر کلیک کنید .

منابع :

سایت افتا ریاست جمهوری
Cert.ir
آیا این مطلب را می پسندید؟
https://hivanetwork.ir/?p=13960
اشتراک گذاری:
هیوا شبکه
به صورت حرفه ای آموزش ببینید ، با آزمونهایی در سطح بین المللی خود را محک بزنید و از آموزشگاه تخصصی هیواشبکه با مجوز از سازمان آموزش فنی و حرفه ای و آموزش کارکنان دولت مدرک معتبر اخذ نمایید. همراهتان هستیم
مطالب بیشتر

نظرات

0 نظر در مورد باج افزار Zeppelin

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

هیچ دیدگاهی نوشته نشده است.