کشف باج افزار بدون پرونده با قابلیت تزریق کد در دنیای واقعی

01 تیر 1396
نویسنده :  

این امر بسیار بدهی است که مهاجمان سایبری و نفوذگران روز به روز پیشرفته تر و خلاق تر میشوند. در حال که شاهد هستیم روش های جدیدی برای حملات سایبری مورد استفاده قرار می گیرند ولی بردارهای حمله سنتی نیز رفته رفته در تلاش هستند تا عملیات خود را مخفی تر کرده و راه کارهای امنیتی را دور بزنند.

محققان امنیتی اخیرا باج افزار بدون پرونده ی جدیدی را با نام Socerbrect شناسایی کرده اند که کد های مخرب را در داخل پردازه های قانونی بر روی ماشین هدف تزریق می کند و برای فرار از روش های تشخیص بدافزار، دارای قابلیت خود تخریبی نیز هست. برخلاف باج افزارهای سنتی، بدافزار Socerbrect برای هدف قرار دادن کارگزار ها و نقاط انتهایی در سازمان ها طراحی شده است. کدی که در داخل پردازها تزریق شده است، در ادامه رمزنگاری پرونده های محلی و هر اطلاعاتی که در سطح شبکه به اشتراک گذاشته شده را آغاز می کند.

این باج افزار بدون پرونده ابتدا با استفاده از حملات جستجوی فراگیر و یا با راه های دیگری، کواهی نامه های مدیریتی را آلوده کرده و در اختیار می گیردو در ادامه با استفاده از ابزار خط فرمان Sysinternals PsExec مایکروسافت، رمزنگاری پرونده ها را شروع می کند. محققان ترندمیکرو گفتند: ابزار PsExec نفوذگران را قادر می سازد تا دستورات اجرایی از راه دور اجرا کنندبه جایی ایتکه در یک نشست آماده و تعاملی اطلاعات ورود را ارائه کرده و دستورات را اجرا کنند. با استفاده از این ابزار، همچنین لازم نیست با استفاده از پروتکل هایی مانند RDP پرونده های بدافزار را به طور دستی به ماشین قربانی منتقل کرد.

این باج افزار رایانه های موجود در سطح شبکه ی محلی را نیز پویش می کند و اگر پرونده ای پیدا کرد، که در سطح شبکه به اشتراک گذاشته شده باشد، آن ها را نیز رمزنگاری می کند. این باج افزار در ادامه تمامی رکورد های ثبت شده از رویداد های رایانه را حذف می کند تا در آینده فرآیند جرم شناسی و تشخیص عملیات بد افزار مشکل شود. همچنین باج افزارSocerbrect مانند بقیه ی بدافزارها برای گمنامی ارتباطات خود با کارگزار دستور و کنترل از شبکه Tor بهره می برد.

باج افزار Socerbrect در سطح جهان گسترش یافته است. باج افزار Socerbrect برای هدف قرار دادن شرکت های مختلف در حوزه صنعت، فناوری اطلاعات و ارتباطات و مخابرات طراحی شده است. به گفته محققان امنیتی ترندمیکرو، این باج افزار کشور های خاورمیانه از جمله کویت و لبنان را هدف قرار داده است اما از ماه گذشته این تهدید آلوده کردن سامانه ها در کشور هایی مانند چین، روسیه؛ کانادا، ایتالیا، ژاپن، مکزیک، تایوان و امریکا را آغاز کرده است.

این اولین بار نیست که محققان امنیتی شاهد بدافزارهای بدون پرونده هستند. دو ماه قبل محققان تالوس حملات DNSMessenger را شناسایی کردند که از هیچ پرونده ای استفاده نکرده استو برای آلوده کردن دستگاه هدف، از پیام های DNS TXT بهره می برد. در ماه فوریه نیز محققان امنیتی از شرکت Kaspersky بدافزار بدون پرونده ای را شناسایی کردند که خود را در جافظه ماشین آلوده مخفی می کرد. این بد افزار سعی داشت بانک ها، سازمان های ارتباطی و مخابراتی و نهاد های دولتی را هدف قرار دهد.

راه هایی برای حفاظت در برابر حملات باج افزارها

از انجایی که باج افزارها فقط افراد را مورد حمله قرار نمی دهند و سازمان ها را نیز موزد حمله خود قرار می دهند، مدیران سامانه ها و کارسناسان امنیتی برای حفاظت از سازمان می توانند راه کارهای زیر را اجرا کنند:

  • محدود کردن مجوزه های write برای کاربران

یکی از معیار های مهمی که پرونده های اشتراکی در سطح شبکه را در معرض حملات باج افزار قرار می دهد این است که به کاربران تمامی مجوزها اعطا می شود.

  • محدود کردن امتیازات در ابزار PsExec

مجوز های اجرای ابزار PsExec را محدود کنید و پیکربندی را طوری انجام دهید که تنها مدیران سامانه ها قادر به اجرای این ابزار باشند.

  • سیستم عامل ها و ابزار های شبکه خود را به روز نگه دارید

همواره سیستم عامل ها، نرم افزارها، برنامه های کابردی بر روی سیستم های شبکه خود را به روز رسانی کنید

  • مرتب از داده های خود نسخه پشتیبان تهیه کنید

برای جلو گیری کرد از تخریب و ویا ازبین رفتن اطلاعات، یک روال منظم برای تهیه ی نسخه ی پشتیبان از پرونده ها و داده های مهم خود داشته باشید. سعی کنید این نسخه پشتیبان را بر روی یک سیستم خارجی قرار دهید که به طور مستقیم به شبکه متصل نباشد و یا آنها را بر روی یک حافظه خارجی منتقل کنید.  

 

6294 تعداد بازدید
علی سالم پناه

متخصص شبکه و امنیت شبکه

مهندسین شبکه افزار سایان

  • اهواز - خیابان وهابی خ 19 شرقی پلاک 20
  • 061-33386011-13
  • 061-33374556
  • spambots

پیشنهادات خود را با ما در میان بگذارید

  ایمیل ارسال نشد   ایمیل با موفقیت ارسال شد