در اواخر سال 2016 حمله ای گسترده علیه آژانس حمل و نقل شهری سانفرانسیسکو انجام شد که مهاجمان، این حمله را توسط باج افزار Mamba طراحی کرده بوده اند. این باج افزار از یک ابزار قانونی به نام DiskCryptor برای رمزگذاری دیسک استفاده می کند که اخیرا پس از بررسی های کارشناسان امنیت گروه Kaspersky Lab  متوجه شده اند که گروه مخربی که در بکراند ماجرای باج افزار Mamba قرار دارند حملات خود را علیه شرکت ها مجددا از سر گرفته اند.

Mamba attack train agency of Sonfrankiskö

در حال حاضر شرکت های دو کشور زیر قربانی این باج افزار مخرب شده اند :

  • برزیل
  • عربستان

موفقیت های که در این حمله نصیب مهاجمان شده است این گونه می باشد که مهاجمان پس از دسترسی پیدا کردن به شبکه داخلی یک شرکت از طریق اجرا کردن ابزار  Pexec اقدام به اجرا کردن باج افزار کرده اند. ذکر این نکته مهم می باشد که برای هر ماشین قربانی موجود در شبکه مهاجم به شکل جداگانه ای رمز عبور را برای ابزار DiskCryptor تولید می کند و این رمز ازطریق خط فرمان به باج افزار منتقل می شود.

password of incrypted disk

تحلیل های تکنیکی :

به طور خلاصه فعالیت های مخرب به دو بخش تقسیم می شوند:

بخش اول (Stage1) آماده سازی :

  • ایجاد کردن فولدر "C:\xampp\http"
  • انتقال اجزای DiskCryptor به فولدر ایجاد شده
  • نصب شدن درایور های DiskCryptor
  • ثبت کردن سرویس سیستمی به نام DefragmentService
  • راه اندازی مجدد سیستم قربانی

بخش دوم (Stage2) رمزگذاری اطلاعات

  • تنظیم Bootloader در MBR دیسک و کد کردن پارتیشن های دیسک توسط ابزار DiskCryptor
  • اقدامات پاک سازی یا Clean Up
  • راه اندازی مجدد سیستم قربانی

در زیر به شرح کامل این دو مرحله می پردازیم:

Stage 1 :

همانطور که تروجان ها از ابزار DiskCryptor در کار های مخرب خود استفاده می کنند در این باج افزار نیز در مرحله اول این ابزار بر روی دیسک قربانی نصب می شود. در مرحله بعد Dropper مخرب، ماژول های DiskCryptor را در منابع خود ذخیره می کند.

mamba dropper

نکته :

            Dropper یک برنامه راه انداز (Installer) مخربی می باشد که به طور مخفیانه ویروس ها، Backdoorها و دیگر نرم افزارهای مخرب را حمل می کند تا بتوانند روی دستگاه آسیب دیده قربانی اجرا شوند. Dropper به طور مستقیم به سیستم قربانی آسیب نمی رساند، بلکه می تواند بدون اینکه توسط سیستم های امنیتی تشخیص داده شود بدافزارهای مخرب را بر روی ماشین قربانی انتقال دهد به عبارت دیگر وظیفه اصلی Dropper انتقال نرم افزار های مخرب از سمت مهاجم به سمت سیستم قربانی می باشد.

 

بسته به نوع سیستم عامل، این بد افزار می تواند ماژول های DiskCryptor را از بین نسخه های 32  بیتی و یا 64  بیتی انتخاب کند

DiskCryptor Modules

در مرحله بعد DiskCryptor Installer اجرا می شود :

mamba installer

پس از نصب شدن کامل DiskCryptor بد افزار Mamba دو سرویس SERVICE_ALL_ACCESS و SERVICE_AUTO_START را ایجاد می کند.

SERVICE_ALL_ACCESS

و در مرحله اخر Stage 1 سیستم قربانی مجددا راه اندازی (Reboot) می شود.

Reboot Target System

 

Stage 2 :

با استفاده از ابزار DiskCryptor، این بدافزار Bootloader جدیدی در MBR دیسک ایجاد می کند.

Mamba Bootloader

 در این Bootloader پیام متنی وجود دارد که به قربانی نشان داده خواهد شد.

Mamba Context

پس از تنظیم Bootloader پارتیشن های دیسک توسط پسوردی که در مراحل ابتدای در CMD ایجاد شده بود رمزگذاری می شوند

Partition Encryption

پس از اتمام رمزنگاری اطلاعات دیسک، سیستم قربانی مجددا راه اندازی می شود و قربانی با چنین پیام متنی مواجه می شود مبنی بر اینکه اطلاعات سیستم کد شده است و برای بازگردانی اطلاعات به دو ادرس  spambots و spambots  مراجعه و با خریداری کردن KEY و وارد کردن آن در این صفحه اطلاعات بازگردانی می شوند.

MAMBA RANSOM

محصولات Kaspersky Lab این تهدید را با کمک مولفه سیستم Watcher موجو در محصولات امنیتی خود موفق به شناسایی کردن این باج افزار شده اند که Log آن به شکل زیر می باشد:

PDM:Trojan.Win32.Generic

متاسفانه در حال حاضر هیچ راهی برای رمز گشایی داده های که توسط ابزار DiskCryptor  کد شده اند وجود ندارد زیرا این ابزار قانونی از الگوریتم های رمزنگاری قوی استفاده می کند.

  • چرا مهاجمان باج افزاری اغلب شرکت ها را هدف حمله های خود قرار می دهند

دلیل این کار کاملا روشن می باشد، مهاجمان با در نظر گرفتن حملات باج افزاری علیه کسب و کار شرکت ها به طور بلقوه سودآور تر از حملات توده ای علیه کاربران عادی می باشد. در صورت موفقیت آمیز بودن حملات علیه یک شرکت می توان به راحتی چند ساعت و یا حتی چند روز فرایند های کسب و کار را متوقف ساخت و به دلیل حائز اهمیت بودن فاکتور زمان در اینگونه شرکت ها و سود لحظه ای از کسب و کار خود برای جلوگیری از ضرر های مالی نشات گرفته از این زمان در حال سپری اغلب صاحبان این شرکت ها اقدام به پرداخت خسارت وارده توسط باج افزار ها می کنند.

  • نحوه شکل گیری این حملات

به طور کلی تاکتیک ها، تکنیک ها و روش های استفاده شده توسط این دست حملات بسیار شبیه به هم می باشند. مهاجمان شرکت های قربانی را از طریق سرور های دارای آسیب پذیر و یا حملات فیشینگ به شبکه داخلی نفوذ می کنند. در مرحله، بعد نفوذ خود را با استفاده از روش های پیشرفته مانند نصب Backdoor و دیگر روش های مخرب موجود نفوذ خود را در شبکه قربانی پایدار یا stable  می کنند و در این زمان اقدام به شناسایی فایل های حساس شرکت می کنند و آنها را پس از انالیز رمزنگاری می کنند. در نتیجه پس از رمزنگاری کردن اطلاعات تقاضای بازپرداخت در برابر رمزگشایی اطلاعات می کنند.

  • راه حل های مناسب برای جلوگیری از از دست دادن اطلاعات
  • گرفتن نسخه پشتبان از فایل های حساس خود طی باز زمانی منظم و برنامه ریزی شده تا بتوان فایل های اصلی خود را پس از یک رویداد مخرب مانند اینگونه حملات بازگردانی کرد.
  • استفاده از یک راه حل امنیتی مناسب با تکنولوژی تشخیص رفتار (IPS-IDS)، که این سرویس توسط محصولات Kaspersky Lab قابل ارائه می باشد.
  • نصب برنامه های Auditing بر روی سیستم های کاربران و سرور های حساس و به روز نگه داشتن آنها.

در صورتی که مهاجم  قادر به ارسال و دریافت پیام به یک سرور معتبر DNS باشد می تواند از طریق طراحی دقیق و ساختار یافته یک نام کلیدی معتبر TSIG درخواستهای احراز هویتی  AXFR را دور بزند و به راحتی اطلاعات سرور DNS را Transfer کند .

References

  •   CVE – 2017-3142

Solution

  • upgrade-isc-bind-latest

استفاده از ماژول جانبی آسیب پذیر" ap_get_basic_auth_pw" در Apache HTTPD در برخی موراد باعث می شود احراز هویت bypassed شود. برای رفع این آسیب پذیری از ماژول ap_get_basic_auth_componentsکه در نسخه های Appache 2.2.33  و 2.4.26 Appache قرار داده شده است استفاده شود. این ماژول پس از اتصال کاربر، آن را احراز هویت می کند و یا بلافاصله پس از پاسخ خطا درخواست را متوقف می کند تا از تصحیح اشتباه درخواست فعلی به دلیل امنیت بالا و جلوگیری از حملات احتمالی جلوگیری شود.

 

References :

  • CEV-2017-3167

Solution :

  • apache-httpd-upgrade-2_2_33

  • https://www.apache.org/dist/httpd/patches/apply_to_2.2.32/CVE-2017-3167.patch.

 

هکرها اخیرا توانستند نقطه ضعفی در وصله امنیتی PatchDuard، که برای محافظت از هسته سیستم عامل مایکروسافت ( Kernel ) طراحی شده است بیابند. این نقطه ضعف این امکان را به هکر می دهد که بد افزار مخرب Rootkit را بر روی اخرین و امن ترین سیستم عامل ویندوز 10 نصب کند. محققان آزمایشگاه CyberArk از یک تکنیک جدید خبر می دهند که توسط آن هکر به راحتی می تواند PatchGuard طراحی شده برای هسته سیستم عمل را دور بزند. PatchDuard یک ابزار نرم افزاری است که از اجرا شدن Rootkit و کد های مخرب در سطح Kernel جلوگیری می کند.


Dubbed GhostHook :

Dubbed GhostHook حمله ای است که به گفته محققان آزمایشگاه CyberArk اولین حمله ای میباشد که تکنولوژی دفاعی  به کار رفته شده در سیستم عامل را از کار بندازد و PatchGuard را دور بزند. اگرچه برای پیاده سازی این حمله نیاز می باشد که هکر از قبل سیستم عامل قربانی را هک کرده باشد تا بتواند کد های مخرب خود را برروی Kernel اجرا کند. اساسا می توان این حمله را جزء حملات Post – Exploition در نظر گرفت این حملات به هکر اجازه میدهد تمام منابع را در اختیار و کنترل خود درآورد.

اجرا کردن بد افزار Rootkit برروی Kernel ویندوز 10 :

هکر ابتدا از روش های مختلف به سیستم قربانی نفوذ می کند، پس از موفق شدن به هک سیستم قربانی، در مرحله بعد اقدام به Deploy کردن بد افزار GhostHook بر روی سیستم قربانی می کند. کاری که این بد افزار انجام می دهد، این است که حضور هکر را بر روی سیستم قربانی که از سیستم عامل ویندوزی نسخه 64 بیتی استفاده می کند دائمی و حضور آن را مخفیانه نگه می دارد به عبارت دیگر این حمله این گونه طراحی شده است که در قدم نخست سیستم قربانی توسط عامل مخرب هک می شود، سپس هکر اقدام به راه اندازی Rootkit بر روی هسته سیستم عامل آلوده شده می کند تا کاملا توسط ابزار های جانبی امنیتی مانند آنتی ویروس ها و PatchGuard مایکروسافت Detect نشود. GhostHook از طریق نقطه ضعف موجود در پردازشگر Intel PT، نفوذ میکند و PatchGuard را دور میزند.

مایکروسافت تمایل به برطرف سازی این آسیب پذیری را ندارد

مایکروسافت در یک بیانیه ای عجیب گفته است که GhostHook را تهدیدی جدی برای محصولات خود در نظر نمی گیرد و تاکنون دستوری به کارشناسان امنیت خود مبنی بر طراحی وصله امنیتی فوری برای این آسیب پذیری صادر نکرده است اما ممکن است در نسخه های جدید سیستم عامل های خود به حل این تهدید بپردازد.

با این وجود محققان امنیت آزمایشگاه CyberArk از این اظهارات مایکروسافت ابراز خرسندی نکرده و در جواب گفته اند که مایکروسافت باید PatchGuard را همانند بخشی از Kernel در نظر بگیرد و نباید تحت هیچ شرایطی این Componenet دور زده شود .

 

این امر بسیار بدهی است که مهاجمان سایبری و نفوذگران روز به روز پیشرفته تر و خلاق تر میشوند. در حال که شاهد هستیم روش های جدیدی برای حملات سایبری مورد استفاده قرار می گیرند ولی بردارهای حمله سنتی نیز رفته رفته در تلاش هستند تا عملیات خود را مخفی تر کرده و راه کارهای امنیتی را دور بزنند.

اسنادی که ویکی لیکس روز پنجشنبه به طور عمومی منتشر کرد، ابزاری را توضیح میدهد که توسط سازمان سیا برای نفوذ به مسیریاب ها و نقاط انتهایی مورد استفاده قرار می گیرد. این ابزار CherryBlossom نام داشته و توسعه دهنده آن، این ابزار را سامانه ای برای نظارت و کنترل بر روی فعالیت های اینترنتی ماشین هدف و ارسال بهره برداری های مختلف با استفاده از ابزارهای بی سیم بر روی آن توصیف کرده است. ویکی لیکس مدعی شده است این ابزار توسط سازمان سیا و با همکاری یک مرکز تحقیقاتی بین المللی به نام SRI طراحی و پیاده سازی شده است.

تیم امنیتی kaspersky security lab  تکنولوژی پیشرفته جدید و فوق هوشمندی برای کمک به شرکت ها ایجاد کرده تا به شکل بهتری خود را در مقابل Cryptoware ها و باجافزار ها ایمن نگه دارد.شرکت kaspersky security براساس آخرین تهدیدات صورت گرفته در جهان بی درنگ در به روز رسانی های خود از Component امنیتی جدیدی به نام Anti – Cryptor خبر می دهد که برای Windows Server ها و کلاینت هایی که از Endpoint Security استفاده می کنند اختصاص می یابد. این Component امنیتی علاوه بر افزایش امنیت File Server ها و security Storage ها آنها را در لایه های امنیتی بیشتری قرار داده و از آنها به شکل پیشرفته تری محافظت می کند. هم زمان Kaspersky Security از قابلیت جدیدی به نام فناوری کنترل برنامه های Startup یا Application Startup Control Technology این کمک را به شرکت ها می کند که منابع الکترونیکی خود را در مقابل حملات گسترده Cryptoware ها مانند WannaCry که اخیرا به سرعت در جهان گسترش یافته و از شرکت های مختلف بزرگ و کوچک اخاذی کرده است در امان نگه دارد .

محققان امنیت گزارش کرده اند که اخیرا یک کمپین  از بد افزار در Google Play Store کشف کرده اند که تا کنون 36.5 میلیون دستگاه اندرویدی را توسط بد افزار ad-click software آلوده کرده است. تیم امنیت Checkpoint گزارش می دهد که بیش از 41 برنامه اندرویدی که متعلق به یک شرکت کره ای می باشد در Google Play Store وجود دارد که این نرم افزار ها با ایجاد یک سری تبلیغات جعلی که کاربران را تشویق به کلیک کردن بر روی این Fake Advertisement ها کرده و از این طریق پول های هنگفتی را برای سازنده این بد افزار ها ارسال می کرد.تمام این بد افزار ها توسط Kiniwini گسترش و به نام ENISTUDIO Corp منتشر می شوند که حاوی ابزار های تبلیغاتی Dubbed Judy می باشند.


فیشینگ به انگلیسی: (Phishing) به تلاش برای بدست آوردن اطلاعاتی مانند نام کاربری، گذرواژه، اطلاعات حساب بانکی و... از طریق جعل یک وب‌سایت، آدرس ایمیل و... گفته می‌شود.

روش فیشینگ با جزئیات در سال ۱۹۸۷ توضیح داده شده است و این واژه برای اولین بار در سال ۱۹۹۵ مورد استفاده قرار گرفته است. واژه‌ی فیشینگ مخفف عبارت Password Harvesting Fishing)شکار کردن گذرواژه کاربر از طریق یک طعمه) است که در آن حرف Ph به جای F برای القای مفهوم فریفتن جایگزین شده است.

فیشینگ یا سرقت آنلاین در عمل به صورت کپی دقیق رابط گرافیکی یک وب‌گاه معتبر مانند بانک‌های آنلاین انجام می‌شود. ابتدا کاربر از طریق ایمیل و یا آگهی‌های تبلیغاتی سایت‌های دیگر، به این صفحه قلابی راهنمایی می‌شود. سپس از کاربر درخواست می‌شود تا اطلاعاتی را که می‌تواند مانند اطلاعات کارت اعتباری مهم و حساس باشد، آنجا وارد کند. در صورت گمراه شدن کاربر و وارد کردن اطلاعات خود، فیشرها به اطلاعات شخص دسترسی پیدا می‌کنند. از جمله سایت‌های هدف این کار می‌توان سایت‌های پی‌پال، ای‌بی و بانک‌های آنلاین را نام برد.

به نقل از وب گاه امنیتی فناوری اطلاعات و ارتباطلات :

تجزیه و تحلیل های زبانی که بر روی پیغام باج خواهی بیش از 20 نمونه باج افزار گریه انجام شده، نشان می دهد که نویسندگان این باج افزار به زبان چینی مسلط هستند و با انگلیسی هم آشنایی دارند. در حالی که مشابهت ها در کد باج افزار گریه و گروه نفوذ دیگری به نام لازاروس نشان می دهد که عوامل این بد افزار در کره ی شمالی واقع شده اند، ولی برخی محققان امنیتی معتقدند این حمله درسبک و سیاق حملاتی که پیونگ یانگ انجام می دهد نیست.

محققان امنیتی از شرکت فلش پوینت 28 نمونه از پیغام های باج خواهی باج افزار گریه را که به زبان های چینی، دانمارکی، هلندی، اتگلیسی، فرانسوی، آلمانی، اندونزیایی، ایتالیایی، ژاپنی، کره ای، نروژی، پرتغالی، رومانیایی، روسی، اسپانیایی و ترکی نوشته شده بود را مورد بررسی قرار دادند. تجریه و تحلیل زبانی نشان داد که تفاوت بسیار عمده  بین یادداشت هایی که به زبان چینی نوشته شده با دیگر زبان ها وجود دارد. شواهد نشان می دهد که نحوه و گرامر در این یادداشت ها همانند نحو و گرامر زبان  چینی می باشد زیرا که این قواعد  به خوبی رعایت شده و یادداشت ها با استفاده از یک صفحه کلید چینی نوشته شده است.

محققان امنیتی اشاره کردند در یادداشت های چینی محتوای زیادی ارائه شده که در دیگر یادداشت ها به زبان های دیگر وجود ندارد. یادداشت انگلیسی نیز به خوبی نوشته شده ولی با این حال برخی اشکالات گرامری و نگارشی همچنان وجود دارد که نشان می دهد نویسندگان باج افزار انگلیسی زبان نبوده اند و آموزش مناسبی در مورد زبان انگلیسی نیز نداشته اند.

محققان متوجه شدند یادداشت انگلیسی برای برگرداندن محتوا به زبان های دیگر مورد استفاده قرار می گرفته وبرای ترجمه نیز از سرویس های برخط مانند مترجم گوگل استفاده شده است . آزمایش های که محققان انجام دادند بین یادداشت های باج خواهی و محتوایی که مترجم گوکل ترجمه می کند، 96 درصد مطابقت وجود دارد.

هرچند باج افزار گریه صرفا توسط یک نویسنده نوشته شده است  و افراد زیادی در این کار دخیل بوده اند ولی شرکت فلش پوینت مطمئن است یادداشت چینی، توسط یک فرد مسلط به این زبان نوشته شده است. همچنین اشاره شده یادداشت های انگلیسی نیز توسط یک فرد ماهر و آشنا به این زبان نوشته شده است ولی مسلما انگلیسی، زبان اصلی آن فرد نبوده است.

صفحه1 از3

مهندسین شبکه افزار سایان

  • اهواز - خیابان وهابی خ 19 شرقی پلاک 20
  • 061-33386011-13
  • 061-33374556
  • spambots

پیشنهادات خود را با ما در میان بگذارید

  ایمیل ارسال نشد   ایمیل با موفقیت ارسال شد