نگاهی به عملكرد بدافزار Chaplin، بدافزاری چند مرحلهای و پیشرفته
بدافزار Chaplin توسط یک فایل «پاورشل» تحت عنوان Mapping.ps1 فراخوانی میشود.
به گزارش فاواپرس، مرکز مدیریت راهبردی افتا ششم تیرماه 1401 خبری با موضوع شناسایی بدافزار جدید با نام بدافزار Chaplin در زیرساختهای کشور منتشر کرد، شواهدی از فعالیت این بدافزار در زیرساختهای فناوری اطلاعات حوزه صنعت کشور رصد شده است که در این مطلب تشریح دقیقتر از عملکرد آن بهمراه فایلها و اسکریپتهای مخرب بیان میشود.
عملکرد بدافزار Chaplin:
بدافزار Chaplin توسط یک فایل «پاورشل» تحت عنوان Mapping.ps1 فراخوانی میشود. این فایل پاورشل به صورت چندمرحلهای طراحی شده و اهم اقدامات مخرب این فایل عبارت است از:
- گزینش سیستم هدف
- ایجاد مسیر هدف
- انتقال فایلهای مورد نیاز به مسیر هدف
- غیرفشردهسازی فایلهای موردنیاز
- ایجاد، اجرا و سپس حذف سرویس
- حذف لاگ فعالیتها
نکته حایز اهمیت در Mapping.ps1 آن است که این فایل، اطلاعات احراز هویت برای اجرای مراحل فوق را در سطح ممتاز داراست. پس از اینکه Chaplin واسطهای شبکه را غیرفعال میکند، فایل Screen.exe کلیدهای رجیستری LSA را حذف کرده و از این طریق، درصدد ایجاد اختلال در فرآیند احراز هویت کاربران و ایجاد مشکل در فرآیند Boot سیستم برمیآید.
راهکارهای پیشگیری و مقابله با بدافزار Chaplin:
- بروزرسانی آنتیویروس و پویش شبکه
- محدودسازی مجوزهای اجرای کدهای پاورشل
- استفاده از دیوارههای آتش با قواعد سختگیرانه
- تنظیم رمزهای عبور براساس استانداردهای امنیتی
- جمعآوری و پایش لاگهای سیستمی و رویدادهای امنیتی
- معرفی و شناساندن شاخص فایلهای اجرایی و سرویسهای مخرب (IoC)
نوع شاخص | نام فایل | مسیر | کد Hash فایل |
فایلهای اجرایی مخرب | Mapping.ps1 | C:>ProgramData>Microsoft>MapData | MD5: SHA1: 021558D8940CACFA3505A3FF6087F9A10BCA1EAB SHA256: 06d80a1c171360dfa3b0fd15d13ab8c360355e3f64fc94628b4656153cfd668f |
Mapping.dat | MD5: SHA1: D3BC9F31EDE7EAE559D085BDE5EA46885111548E SHA256: fd04f23c73dccfc83dbe8cc522e9aafb79fa1443519d618e469ec5f700bbd7ad | ||
Screen.exe | MD5: SHA1: 98577882C347B9EE44D2A9065A2FE0191758B6E8 SHA256: 29035d871b950988684d76bc2994452c25ccaa0b70c8bfadce0f299c194e0350 | ||
Chaplin.exe | MD5: SHA1: 2E614210AEF964E0F77848B9A273102FA6618E5F SHA256: 2c73bf092e2638a1aeabd34d0d9b3500c8fa1b02dd55cb8b20d5d80edea85fbc | ||
video.wmv | MD5: SHA1: D2F1FB37443F97F0317867003DA33DF6680C0EB9 SHA256: f8f4a0f3a3743760ad5ae9acd7b75fe750440828c698e8968e7223461d5a7507 |