تهدیدی بزرگتر از WannaCry در راه است

03 خرداد 1396
نویسنده :   Ali Salempanah

بعد  از شیوع حمله باج افزار WannaCry  و فروکش کردن این حمله در روزهای اخیر، کارشناسان امنیت هشدار دادند که توقف حمله WannaCry  پایان کار نیست و CopyCat ها درصدد مهیا سازی یک بدافزار جدید میباشند که از ابزارهای نفوذ موجود در پشته NSA استفاده خواهد کرد و این کار نیز همانند WannaCry توسط Shadow Brokers هدایت می شود، زیرا در روزهای اخیر شواهدی یافت شده که بر صحت این تهدید جدید دلالت دارد که این کارشناسان با بررسی یکی از Honeypot های خود متوجه این حمله جدید شدند.

Miroslav Stamper – عضوی از CERT دولت کرواسی و نویسنده کتاب ابزار SQLMap و نحوه  استفاده از آن، برای تشخیص و رخنه کردن از طریق آسیب پذیری SQL Injection  - از یک worm جدیدی خبر میدهد که همانند WannaCry از نقطه ضعف های موجود در SMB استفاده میکند و این بدافزار را EternalRocks نامیده است.این محقق اشاره می کند که EternalBlue از 6 ابزار نفوذ آزانس امنیتی آمریکا NSA برای حمله خود استفاده میکند. این در حالی است که باج افزار WannaCry فقط از دو ابزار NSA استفاده کرده و توانست صدها هزار کامپیوتر را در سطح جهان آلوده به خود سازد .

به نقل از این محقق نتایج حاصل شده در طی تحقیقات وی بر روی این بد افزار ها نشان میدهد که، WannaCry از طریق exploit هایی به نام EternalBlue و DoublePulsar برای گسترش حمله خود استفاده کرده، در حالی که  EternalRock از Exploitهای EternalBlue، EternalChampion، EternalRomance و EternalSynergy و هم چنین از SMBTouch و ArchiTouch برای انجام عملیات خود – SMB Spying - استفاده میکند در نتیجه راه مقابله با این بد افزار جدید را سخت و به مراتب دشوارتر از WannaCry توصیف کرده است.

نکته دیگری که باید به آن اشاره کرد این است که بنظر می رسد این بدافزار همانند WannaCry اقدام به قفل کردن فایل های قربانی و یا اینکه شبکه botnet ی از کامپیوتر های آلوده را ایجاد نمی کند و همچنین نقطه ضعف های باجافزار WannaCry  را ندارد و به صورت کاملا خاموش و بی صدا خود را در سیستم قربانی جای میدهد. EternalRocks کامپیوتر های آلوده را همانند اسلحه های آماده شلیک به سمت هدف مورد نظر نگه میدارد و با گرفتن فرامین هکر از راه دور حمله های خود را علیه قربانی پیاده سازی میکند. خبر خوشحال کننده ای که وجود دارد این می باشد که محققان اعلام کرده اند که تا کنون این بدافزار به شکل چشمگیری در دنیای اینترنت گسترش نیافته .

 

 

 

تهیه و ترجمه شده توسط تیم امنیت شرکت مهندسین شبکه افزار سایان

 

 

مهندسین شبکه افزار سایان

  • اهواز - خیابان وهابی خ 19 شرقی پلاک 20
  • 061-33386011-13
  • 061-33374556
  • spambots

پیشنهادات خود را با ما در میان بگذارید

  ایمیل ارسال نشد   ایمیل با موفقیت ارسال شد