فعالیت مجدد باج افزار Mamba و تشخیص داده شدن آن توسط گروه امنیتی Kaspersky Lab

25 مرداد 1396
نویسنده :  

در اواخر سال 2016 حمله ای گسترده علیه آژانس حمل و نقل شهری سانفرانسیسکو انجام شد که مهاجمان، این حمله را توسط باج افزار Mamba طراحی کرده بوده اند. این باج افزار از یک ابزار قانونی به نام DiskCryptor برای رمزگذاری دیسک استفاده می کند که اخیرا پس از بررسی های کارشناسان امنیت گروه Kaspersky Lab  متوجه شده اند که گروه مخربی که در بکراند ماجرای باج افزار Mamba قرار دارند حملات خود را علیه شرکت ها مجددا از سر گرفته اند.

Mamba attack train agency of Sonfrankiskö

در حال حاضر شرکت های دو کشور زیر قربانی این باج افزار مخرب شده اند :

  • برزیل
  • عربستان

موفقیت های که در این حمله نصیب مهاجمان شده است این گونه می باشد که مهاجمان پس از دسترسی پیدا کردن به شبکه داخلی یک شرکت از طریق اجرا کردن ابزار  Pexec اقدام به اجرا کردن باج افزار کرده اند. ذکر این نکته مهم می باشد که برای هر ماشین قربانی موجود در شبکه مهاجم به شکل جداگانه ای رمز عبور را برای ابزار DiskCryptor تولید می کند و این رمز ازطریق خط فرمان به باج افزار منتقل می شود.

password of incrypted disk

تحلیل های تکنیکی :

به طور خلاصه فعالیت های مخرب به دو بخش تقسیم می شوند:

بخش اول (Stage1) آماده سازی :

  • ایجاد کردن فولدر "C:\xampp\http"
  • انتقال اجزای DiskCryptor به فولدر ایجاد شده
  • نصب شدن درایور های DiskCryptor
  • ثبت کردن سرویس سیستمی به نام DefragmentService
  • راه اندازی مجدد سیستم قربانی

بخش دوم (Stage2) رمزگذاری اطلاعات

  • تنظیم Bootloader در MBR دیسک و کد کردن پارتیشن های دیسک توسط ابزار DiskCryptor
  • اقدامات پاک سازی یا Clean Up
  • راه اندازی مجدد سیستم قربانی

در زیر به شرح کامل این دو مرحله می پردازیم:

Stage 1 :

همانطور که تروجان ها از ابزار DiskCryptor در کار های مخرب خود استفاده می کنند در این باج افزار نیز در مرحله اول این ابزار بر روی دیسک قربانی نصب می شود. در مرحله بعد Dropper مخرب، ماژول های DiskCryptor را در منابع خود ذخیره می کند.

mamba dropper

نکته :

            Dropper یک برنامه راه انداز (Installer) مخربی می باشد که به طور مخفیانه ویروس ها، Backdoorها و دیگر نرم افزارهای مخرب را حمل می کند تا بتوانند روی دستگاه آسیب دیده قربانی اجرا شوند. Dropper به طور مستقیم به سیستم قربانی آسیب نمی رساند، بلکه می تواند بدون اینکه توسط سیستم های امنیتی تشخیص داده شود بدافزارهای مخرب را بر روی ماشین قربانی انتقال دهد به عبارت دیگر وظیفه اصلی Dropper انتقال نرم افزار های مخرب از سمت مهاجم به سمت سیستم قربانی می باشد.

 

بسته به نوع سیستم عامل، این بد افزار می تواند ماژول های DiskCryptor را از بین نسخه های 32  بیتی و یا 64  بیتی انتخاب کند

DiskCryptor Modules

در مرحله بعد DiskCryptor Installer اجرا می شود :

mamba installer

پس از نصب شدن کامل DiskCryptor بد افزار Mamba دو سرویس SERVICE_ALL_ACCESS و SERVICE_AUTO_START را ایجاد می کند.

SERVICE_ALL_ACCESS

و در مرحله اخر Stage 1 سیستم قربانی مجددا راه اندازی (Reboot) می شود.

Reboot Target System

 

Stage 2 :

با استفاده از ابزار DiskCryptor، این بدافزار Bootloader جدیدی در MBR دیسک ایجاد می کند.

Mamba Bootloader

 در این Bootloader پیام متنی وجود دارد که به قربانی نشان داده خواهد شد.

Mamba Context

پس از تنظیم Bootloader پارتیشن های دیسک توسط پسوردی که در مراحل ابتدای در CMD ایجاد شده بود رمزگذاری می شوند

Partition Encryption

پس از اتمام رمزنگاری اطلاعات دیسک، سیستم قربانی مجددا راه اندازی می شود و قربانی با چنین پیام متنی مواجه می شود مبنی بر اینکه اطلاعات سیستم کد شده است و برای بازگردانی اطلاعات به دو ادرس  spambots و spambots  مراجعه و با خریداری کردن KEY و وارد کردن آن در این صفحه اطلاعات بازگردانی می شوند.

MAMBA RANSOM

محصولات Kaspersky Lab این تهدید را با کمک مولفه سیستم Watcher موجو در محصولات امنیتی خود موفق به شناسایی کردن این باج افزار شده اند که Log آن به شکل زیر می باشد:

PDM:Trojan.Win32.Generic

متاسفانه در حال حاضر هیچ راهی برای رمز گشایی داده های که توسط ابزار DiskCryptor  کد شده اند وجود ندارد زیرا این ابزار قانونی از الگوریتم های رمزنگاری قوی استفاده می کند.

  • چرا مهاجمان باج افزاری اغلب شرکت ها را هدف حمله های خود قرار می دهند

دلیل این کار کاملا روشن می باشد، مهاجمان با در نظر گرفتن حملات باج افزاری علیه کسب و کار شرکت ها به طور بلقوه سودآور تر از حملات توده ای علیه کاربران عادی می باشد. در صورت موفقیت آمیز بودن حملات علیه یک شرکت می توان به راحتی چند ساعت و یا حتی چند روز فرایند های کسب و کار را متوقف ساخت و به دلیل حائز اهمیت بودن فاکتور زمان در اینگونه شرکت ها و سود لحظه ای از کسب و کار خود برای جلوگیری از ضرر های مالی نشات گرفته از این زمان در حال سپری اغلب صاحبان این شرکت ها اقدام به پرداخت خسارت وارده توسط باج افزار ها می کنند.

  • نحوه شکل گیری این حملات

به طور کلی تاکتیک ها، تکنیک ها و روش های استفاده شده توسط این دست حملات بسیار شبیه به هم می باشند. مهاجمان شرکت های قربانی را از طریق سرور های دارای آسیب پذیر و یا حملات فیشینگ به شبکه داخلی نفوذ می کنند. در مرحله، بعد نفوذ خود را با استفاده از روش های پیشرفته مانند نصب Backdoor و دیگر روش های مخرب موجود نفوذ خود را در شبکه قربانی پایدار یا stable  می کنند و در این زمان اقدام به شناسایی فایل های حساس شرکت می کنند و آنها را پس از انالیز رمزنگاری می کنند. در نتیجه پس از رمزنگاری کردن اطلاعات تقاضای بازپرداخت در برابر رمزگشایی اطلاعات می کنند.

  • راه حل های مناسب برای جلوگیری از از دست دادن اطلاعات
  • گرفتن نسخه پشتبان از فایل های حساس خود طی باز زمانی منظم و برنامه ریزی شده تا بتوان فایل های اصلی خود را پس از یک رویداد مخرب مانند اینگونه حملات بازگردانی کرد.
  • استفاده از یک راه حل امنیتی مناسب با تکنولوژی تشخیص رفتار (IPS-IDS)، که این سرویس توسط محصولات Kaspersky Lab قابل ارائه می باشد.
  • نصب برنامه های Auditing بر روی سیستم های کاربران و سرور های حساس و به روز نگه داشتن آنها.
علی سالم پناه

متخصص شبکه و امنیت شبکه

مهندسین شبکه افزار سایان

  • اهواز - خیابان وهابی خ 19 شرقی پلاک 20
  • 061-33386011-13
  • 061-33374556
  • spambots

پیشنهادات خود را با ما در میان بگذارید

  ایمیل ارسال نشد   ایمیل با موفقیت ارسال شد