در اواخر سال 2016 حمله ای گسترده علیه آژانس حمل و نقل شهری سانفرانسیسکو انجام شد که مهاجمان، این حمله را توسط باج افزار Mamba طراحی کرده بوده اند. این باج افزار از یک ابزار قانونی به نام DiskCryptor برای رمزگذاری دیسک استفاده می کند که اخیرا پس از بررسی های کارشناسان امنیت گروه Kaspersky Lab  متوجه شده اند که گروه مخربی که در بکراند ماجرای باج افزار Mamba قرار دارند حملات خود را علیه شرکت ها مجددا از سر گرفته اند.

Mamba attack train agency of Sonfrankiskö

در حال حاضر شرکت های دو کشور زیر قربانی این باج افزار مخرب شده اند :

  • برزیل
  • عربستان

موفقیت های که در این حمله نصیب مهاجمان شده است این گونه می باشد که مهاجمان پس از دسترسی پیدا کردن به شبکه داخلی یک شرکت از طریق اجرا کردن ابزار  Pexec اقدام به اجرا کردن باج افزار کرده اند. ذکر این نکته مهم می باشد که برای هر ماشین قربانی موجود در شبکه مهاجم به شکل جداگانه ای رمز عبور را برای ابزار DiskCryptor تولید می کند و این رمز ازطریق خط فرمان به باج افزار منتقل می شود.

password of incrypted disk

تحلیل های تکنیکی :

به طور خلاصه فعالیت های مخرب به دو بخش تقسیم می شوند:

بخش اول (Stage1) آماده سازی :

  • ایجاد کردن فولدر "C:\xampp\http"
  • انتقال اجزای DiskCryptor به فولدر ایجاد شده
  • نصب شدن درایور های DiskCryptor
  • ثبت کردن سرویس سیستمی به نام DefragmentService
  • راه اندازی مجدد سیستم قربانی

بخش دوم (Stage2) رمزگذاری اطلاعات

  • تنظیم Bootloader در MBR دیسک و کد کردن پارتیشن های دیسک توسط ابزار DiskCryptor
  • اقدامات پاک سازی یا Clean Up
  • راه اندازی مجدد سیستم قربانی

در زیر به شرح کامل این دو مرحله می پردازیم:

Stage 1 :

همانطور که تروجان ها از ابزار DiskCryptor در کار های مخرب خود استفاده می کنند در این باج افزار نیز در مرحله اول این ابزار بر روی دیسک قربانی نصب می شود. در مرحله بعد Dropper مخرب، ماژول های DiskCryptor را در منابع خود ذخیره می کند.

mamba dropper

نکته :

            Dropper یک برنامه راه انداز (Installer) مخربی می باشد که به طور مخفیانه ویروس ها، Backdoorها و دیگر نرم افزارهای مخرب را حمل می کند تا بتوانند روی دستگاه آسیب دیده قربانی اجرا شوند. Dropper به طور مستقیم به سیستم قربانی آسیب نمی رساند، بلکه می تواند بدون اینکه توسط سیستم های امنیتی تشخیص داده شود بدافزارهای مخرب را بر روی ماشین قربانی انتقال دهد به عبارت دیگر وظیفه اصلی Dropper انتقال نرم افزار های مخرب از سمت مهاجم به سمت سیستم قربانی می باشد.

 

بسته به نوع سیستم عامل، این بد افزار می تواند ماژول های DiskCryptor را از بین نسخه های 32  بیتی و یا 64  بیتی انتخاب کند

DiskCryptor Modules

در مرحله بعد DiskCryptor Installer اجرا می شود :

mamba installer

پس از نصب شدن کامل DiskCryptor بد افزار Mamba دو سرویس SERVICE_ALL_ACCESS و SERVICE_AUTO_START را ایجاد می کند.

SERVICE_ALL_ACCESS

و در مرحله اخر Stage 1 سیستم قربانی مجددا راه اندازی (Reboot) می شود.

Reboot Target System

 

Stage 2 :

با استفاده از ابزار DiskCryptor، این بدافزار Bootloader جدیدی در MBR دیسک ایجاد می کند.

Mamba Bootloader

 در این Bootloader پیام متنی وجود دارد که به قربانی نشان داده خواهد شد.

Mamba Context

پس از تنظیم Bootloader پارتیشن های دیسک توسط پسوردی که در مراحل ابتدای در CMD ایجاد شده بود رمزگذاری می شوند

Partition Encryption

پس از اتمام رمزنگاری اطلاعات دیسک، سیستم قربانی مجددا راه اندازی می شود و قربانی با چنین پیام متنی مواجه می شود مبنی بر اینکه اطلاعات سیستم کد شده است و برای بازگردانی اطلاعات به دو ادرس  spambots و spambots  مراجعه و با خریداری کردن KEY و وارد کردن آن در این صفحه اطلاعات بازگردانی می شوند.

MAMBA RANSOM

محصولات Kaspersky Lab این تهدید را با کمک مولفه سیستم Watcher موجو در محصولات امنیتی خود موفق به شناسایی کردن این باج افزار شده اند که Log آن به شکل زیر می باشد:

PDM:Trojan.Win32.Generic

متاسفانه در حال حاضر هیچ راهی برای رمز گشایی داده های که توسط ابزار DiskCryptor  کد شده اند وجود ندارد زیرا این ابزار قانونی از الگوریتم های رمزنگاری قوی استفاده می کند.

  • چرا مهاجمان باج افزاری اغلب شرکت ها را هدف حمله های خود قرار می دهند

دلیل این کار کاملا روشن می باشد، مهاجمان با در نظر گرفتن حملات باج افزاری علیه کسب و کار شرکت ها به طور بلقوه سودآور تر از حملات توده ای علیه کاربران عادی می باشد. در صورت موفقیت آمیز بودن حملات علیه یک شرکت می توان به راحتی چند ساعت و یا حتی چند روز فرایند های کسب و کار را متوقف ساخت و به دلیل حائز اهمیت بودن فاکتور زمان در اینگونه شرکت ها و سود لحظه ای از کسب و کار خود برای جلوگیری از ضرر های مالی نشات گرفته از این زمان در حال سپری اغلب صاحبان این شرکت ها اقدام به پرداخت خسارت وارده توسط باج افزار ها می کنند.

  • نحوه شکل گیری این حملات

به طور کلی تاکتیک ها، تکنیک ها و روش های استفاده شده توسط این دست حملات بسیار شبیه به هم می باشند. مهاجمان شرکت های قربانی را از طریق سرور های دارای آسیب پذیر و یا حملات فیشینگ به شبکه داخلی نفوذ می کنند. در مرحله، بعد نفوذ خود را با استفاده از روش های پیشرفته مانند نصب Backdoor و دیگر روش های مخرب موجود نفوذ خود را در شبکه قربانی پایدار یا stable  می کنند و در این زمان اقدام به شناسایی فایل های حساس شرکت می کنند و آنها را پس از انالیز رمزنگاری می کنند. در نتیجه پس از رمزنگاری کردن اطلاعات تقاضای بازپرداخت در برابر رمزگشایی اطلاعات می کنند.

  • راه حل های مناسب برای جلوگیری از از دست دادن اطلاعات
  • گرفتن نسخه پشتبان از فایل های حساس خود طی باز زمانی منظم و برنامه ریزی شده تا بتوان فایل های اصلی خود را پس از یک رویداد مخرب مانند اینگونه حملات بازگردانی کرد.
  • استفاده از یک راه حل امنیتی مناسب با تکنولوژی تشخیص رفتار (IPS-IDS)، که این سرویس توسط محصولات Kaspersky Lab قابل ارائه می باشد.
  • نصب برنامه های Auditing بر روی سیستم های کاربران و سرور های حساس و به روز نگه داشتن آنها.

هکرها اخیرا توانستند نقطه ضعفی در وصله امنیتی PatchDuard، که برای محافظت از هسته سیستم عامل مایکروسافت ( Kernel ) طراحی شده است بیابند. این نقطه ضعف این امکان را به هکر می دهد که بد افزار مخرب Rootkit را بر روی اخرین و امن ترین سیستم عامل ویندوز 10 نصب کند. محققان آزمایشگاه CyberArk از یک تکنیک جدید خبر می دهند که توسط آن هکر به راحتی می تواند PatchGuard طراحی شده برای هسته سیستم عمل را دور بزند. PatchDuard یک ابزار نرم افزاری است که از اجرا شدن Rootkit و کد های مخرب در سطح Kernel جلوگیری می کند.


Dubbed GhostHook :

Dubbed GhostHook حمله ای است که به گفته محققان آزمایشگاه CyberArk اولین حمله ای میباشد که تکنولوژی دفاعی  به کار رفته شده در سیستم عامل را از کار بندازد و PatchGuard را دور بزند. اگرچه برای پیاده سازی این حمله نیاز می باشد که هکر از قبل سیستم عامل قربانی را هک کرده باشد تا بتواند کد های مخرب خود را برروی Kernel اجرا کند. اساسا می توان این حمله را جزء حملات Post – Exploition در نظر گرفت این حملات به هکر اجازه میدهد تمام منابع را در اختیار و کنترل خود درآورد.

اجرا کردن بد افزار Rootkit برروی Kernel ویندوز 10 :

هکر ابتدا از روش های مختلف به سیستم قربانی نفوذ می کند، پس از موفق شدن به هک سیستم قربانی، در مرحله بعد اقدام به Deploy کردن بد افزار GhostHook بر روی سیستم قربانی می کند. کاری که این بد افزار انجام می دهد، این است که حضور هکر را بر روی سیستم قربانی که از سیستم عامل ویندوزی نسخه 64 بیتی استفاده می کند دائمی و حضور آن را مخفیانه نگه می دارد به عبارت دیگر این حمله این گونه طراحی شده است که در قدم نخست سیستم قربانی توسط عامل مخرب هک می شود، سپس هکر اقدام به راه اندازی Rootkit بر روی هسته سیستم عامل آلوده شده می کند تا کاملا توسط ابزار های جانبی امنیتی مانند آنتی ویروس ها و PatchGuard مایکروسافت Detect نشود. GhostHook از طریق نقطه ضعف موجود در پردازشگر Intel PT، نفوذ میکند و PatchGuard را دور میزند.

مایکروسافت تمایل به برطرف سازی این آسیب پذیری را ندارد

مایکروسافت در یک بیانیه ای عجیب گفته است که GhostHook را تهدیدی جدی برای محصولات خود در نظر نمی گیرد و تاکنون دستوری به کارشناسان امنیت خود مبنی بر طراحی وصله امنیتی فوری برای این آسیب پذیری صادر نکرده است اما ممکن است در نسخه های جدید سیستم عامل های خود به حل این تهدید بپردازد.

با این وجود محققان امنیت آزمایشگاه CyberArk از این اظهارات مایکروسافت ابراز خرسندی نکرده و در جواب گفته اند که مایکروسافت باید PatchGuard را همانند بخشی از Kernel در نظر بگیرد و نباید تحت هیچ شرایطی این Componenet دور زده شود .

 

این امر بسیار بدهی است که مهاجمان سایبری و نفوذگران روز به روز پیشرفته تر و خلاق تر میشوند. در حال که شاهد هستیم روش های جدیدی برای حملات سایبری مورد استفاده قرار می گیرند ولی بردارهای حمله سنتی نیز رفته رفته در تلاش هستند تا عملیات خود را مخفی تر کرده و راه کارهای امنیتی را دور بزنند.

اسنادی که ویکی لیکس روز پنجشنبه به طور عمومی منتشر کرد، ابزاری را توضیح میدهد که توسط سازمان سیا برای نفوذ به مسیریاب ها و نقاط انتهایی مورد استفاده قرار می گیرد. این ابزار CherryBlossom نام داشته و توسعه دهنده آن، این ابزار را سامانه ای برای نظارت و کنترل بر روی فعالیت های اینترنتی ماشین هدف و ارسال بهره برداری های مختلف با استفاده از ابزارهای بی سیم بر روی آن توصیف کرده است. ویکی لیکس مدعی شده است این ابزار توسط سازمان سیا و با همکاری یک مرکز تحقیقاتی بین المللی به نام SRI طراحی و پیاده سازی شده است.

تیم امنیتی kaspersky security lab  تکنولوژی پیشرفته جدید و فوق هوشمندی برای کمک به شرکت ها ایجاد کرده تا به شکل بهتری خود را در مقابل Cryptoware ها و باجافزار ها ایمن نگه دارد.شرکت kaspersky security براساس آخرین تهدیدات صورت گرفته در جهان بی درنگ در به روز رسانی های خود از Component امنیتی جدیدی به نام Anti – Cryptor خبر می دهد که برای Windows Server ها و کلاینت هایی که از Endpoint Security استفاده می کنند اختصاص می یابد. این Component امنیتی علاوه بر افزایش امنیت File Server ها و security Storage ها آنها را در لایه های امنیتی بیشتری قرار داده و از آنها به شکل پیشرفته تری محافظت می کند. هم زمان Kaspersky Security از قابلیت جدیدی به نام فناوری کنترل برنامه های Startup یا Application Startup Control Technology این کمک را به شرکت ها می کند که منابع الکترونیکی خود را در مقابل حملات گسترده Cryptoware ها مانند WannaCry که اخیرا به سرعت در جهان گسترش یافته و از شرکت های مختلف بزرگ و کوچک اخاذی کرده است در امان نگه دارد .

به نقل از وب گاه امنیتی فناوری اطلاعات و ارتباطلات :

تجزیه و تحلیل های زبانی که بر روی پیغام باج خواهی بیش از 20 نمونه باج افزار گریه انجام شده، نشان می دهد که نویسندگان این باج افزار به زبان چینی مسلط هستند و با انگلیسی هم آشنایی دارند. در حالی که مشابهت ها در کد باج افزار گریه و گروه نفوذ دیگری به نام لازاروس نشان می دهد که عوامل این بد افزار در کره ی شمالی واقع شده اند، ولی برخی محققان امنیتی معتقدند این حمله درسبک و سیاق حملاتی که پیونگ یانگ انجام می دهد نیست.

محققان امنیتی از شرکت فلش پوینت 28 نمونه از پیغام های باج خواهی باج افزار گریه را که به زبان های چینی، دانمارکی، هلندی، اتگلیسی، فرانسوی، آلمانی، اندونزیایی، ایتالیایی، ژاپنی، کره ای، نروژی، پرتغالی، رومانیایی، روسی، اسپانیایی و ترکی نوشته شده بود را مورد بررسی قرار دادند. تجریه و تحلیل زبانی نشان داد که تفاوت بسیار عمده  بین یادداشت هایی که به زبان چینی نوشته شده با دیگر زبان ها وجود دارد. شواهد نشان می دهد که نحوه و گرامر در این یادداشت ها همانند نحو و گرامر زبان  چینی می باشد زیرا که این قواعد  به خوبی رعایت شده و یادداشت ها با استفاده از یک صفحه کلید چینی نوشته شده است.

محققان امنیتی اشاره کردند در یادداشت های چینی محتوای زیادی ارائه شده که در دیگر یادداشت ها به زبان های دیگر وجود ندارد. یادداشت انگلیسی نیز به خوبی نوشته شده ولی با این حال برخی اشکالات گرامری و نگارشی همچنان وجود دارد که نشان می دهد نویسندگان باج افزار انگلیسی زبان نبوده اند و آموزش مناسبی در مورد زبان انگلیسی نیز نداشته اند.

محققان متوجه شدند یادداشت انگلیسی برای برگرداندن محتوا به زبان های دیگر مورد استفاده قرار می گرفته وبرای ترجمه نیز از سرویس های برخط مانند مترجم گوگل استفاده شده است . آزمایش های که محققان انجام دادند بین یادداشت های باج خواهی و محتوایی که مترجم گوکل ترجمه می کند، 96 درصد مطابقت وجود دارد.

هرچند باج افزار گریه صرفا توسط یک نویسنده نوشته شده است  و افراد زیادی در این کار دخیل بوده اند ولی شرکت فلش پوینت مطمئن است یادداشت چینی، توسط یک فرد مسلط به این زبان نوشته شده است. همچنین اشاره شده یادداشت های انگلیسی نیز توسط یک فرد ماهر و آشنا به این زبان نوشته شده است ولی مسلما انگلیسی، زبان اصلی آن فرد نبوده است.

به نقل از وب گاه امنیتی فناوری اطلاعات و ارتباطلات :

محققان امنیتی از شرکت ESET کشف کردند که فردی در یکی از انجمن ها، 200  کلید اصلی مربوط به باج افزار Crysis را منتشر کرده است. این در حالی است که بسیاری از محققان امنیتی همچنان در حال انجام بررسی ها بر روی باج فزار WannaCry هستند. پرونده هایی که با اخرین نسخه از باج افزار Crysis رمزنگاری می شوند دارای پسوند های wallet و onion هستند.

محققان ESET از این کلید ها استفاده کرده و ابزار رمزگشایی برای باج افزار Crysis منتشر کردند که بر روی صفحه ی ابزار های این شرکت قابل بارگیری و دسترسی است. این کلید ها توسط یک کاربر جدید در انجمن BleepingComputer.com  منتشر شده تا به قربانیان این باج افزار کمک کند. این سومین بار است که فردی کلید های مربوط به باج افزار Crysis را منتشر می کند. این ابزار رمزگشایی به کاربران کمک می کند تا بدون پرداخت باج به مهاجمان سایبری، بتوانند پرونده های خود را بازیابی کنند. با وجود تلاش هایی که شرکت های امنیتی و نهاد های قانونی و قضایی برای مقابله با باج افزار ها انجام داده اند، این نوع از بد افزار ها هم چنان به عنوان یکی از تهدیدات جدی برای رایانه ها محسوب می شوند. برای اینکه در برابر این تهدید در امان بمانید، پیشگیری بهترین راه حل است.

محققان ESET گفتند : برای مقابله با این باج افزار ها، پیشگیری بهترین راه حل است. بنابرین به تمامی کاربران توصیه می کنیم سامانه عامل و نرم افزار های خود را به روزرسانی کنند. از نرم افزار های امنیتی مناسب بر روی دستگاه های خود استفاده کنند و همواره از اطلاعات مهم و ارزشمند خود بر روی رسانه های برون – خط، نسخه های پشتیبان تهیه کنند.

بعد  از شیوع حمله باج افزار WannaCry  و فروکش کردن این حمله در روزهای اخیر، کارشناسان امنیت هشدار دادند که توقف حمله WannaCry  پایان کار نیست و CopyCat ها درصدد مهیا سازی یک بدافزار جدید میباشند که از ابزارهای نفوذ موجود در پشته NSA استفاده خواهد کرد و این کار نیز همانند WannaCry توسط Shadow Brokers هدایت می شود، زیرا در روزهای اخیر شواهدی یافت شده که بر صحت این تهدید جدید دلالت دارد که این کارشناسان با بررسی یکی از Honeypot های خود متوجه این حمله جدید شدند.

Miroslav Stamper – عضوی از CERT دولت کرواسی و نویسنده کتاب ابزار SQLMap و نحوه  استفاده از آن، برای تشخیص و رخنه کردن از طریق آسیب پذیری SQL Injection  - از یک worm جدیدی خبر میدهد که همانند WannaCry از نقطه ضعف های موجود در SMB استفاده میکند و این بدافزار را EternalRocks نامیده است.این محقق اشاره می کند که EternalBlue از 6 ابزار نفوذ آزانس امنیتی آمریکا NSA برای حمله خود استفاده میکند. این در حالی است که باج افزار WannaCry فقط از دو ابزار NSA استفاده کرده و توانست صدها هزار کامپیوتر را در سطح جهان آلوده به خود سازد .

محققان شرکت Fortinet به تازگی پرده از سرقت بیش از صد هزار اطلاعات ورود به حساب‌های بانکی در کره جنوبی توسط یک گروه جاسوسی برداشتند. محققان در تحقیقات خود اعلام کردند که این سرقت با استفاده از یک بدافزار بانکی با نام BlackMoon انجام شده است. نام رسمی این بدافزار در تحقیقات W32/Banbra عنوان شده است.

دنیای باج‌افزاری از اوایل امسال مملو از نمونه‌های خطرناک بسیاری بوده است که در این فهرست طولانی تقلیدکننده‌ها و جدیداً بدافزارهای جاعل نیز دیده می‌شود.

مهندسین شبکه افزار سایان

  • اهواز - خیابان وهابی خ 19 شرقی پلاک 20
  • 061-33386011-13
  • 061-33374556
  • spambots

پیشنهادات خود را با ما در میان بگذارید

  ایمیل ارسال نشد   ایمیل با موفقیت ارسال شد