در اواخر سال 2016 حمله ای گسترده علیه آژانس حمل و نقل شهری سانفرانسیسکو انجام شد که مهاجمان، این حمله را توسط باج افزار Mamba طراحی کرده بوده اند. این باج افزار از یک ابزار قانونی به نام DiskCryptor برای رمزگذاری دیسک استفاده می کند که اخیرا پس از بررسی های کارشناسان امنیت گروه Kaspersky Lab  متوجه شده اند که گروه مخربی که در بکراند ماجرای باج افزار Mamba قرار دارند حملات خود را علیه شرکت ها مجددا از سر گرفته اند.

Mamba attack train agency of Sonfrankiskö

در حال حاضر شرکت های دو کشور زیر قربانی این باج افزار مخرب شده اند :

  • برزیل
  • عربستان

موفقیت های که در این حمله نصیب مهاجمان شده است این گونه می باشد که مهاجمان پس از دسترسی پیدا کردن به شبکه داخلی یک شرکت از طریق اجرا کردن ابزار  Pexec اقدام به اجرا کردن باج افزار کرده اند. ذکر این نکته مهم می باشد که برای هر ماشین قربانی موجود در شبکه مهاجم به شکل جداگانه ای رمز عبور را برای ابزار DiskCryptor تولید می کند و این رمز ازطریق خط فرمان به باج افزار منتقل می شود.

password of incrypted disk

تحلیل های تکنیکی :

به طور خلاصه فعالیت های مخرب به دو بخش تقسیم می شوند:

بخش اول (Stage1) آماده سازی :

  • ایجاد کردن فولدر "C:\xampp\http"
  • انتقال اجزای DiskCryptor به فولدر ایجاد شده
  • نصب شدن درایور های DiskCryptor
  • ثبت کردن سرویس سیستمی به نام DefragmentService
  • راه اندازی مجدد سیستم قربانی

بخش دوم (Stage2) رمزگذاری اطلاعات

  • تنظیم Bootloader در MBR دیسک و کد کردن پارتیشن های دیسک توسط ابزار DiskCryptor
  • اقدامات پاک سازی یا Clean Up
  • راه اندازی مجدد سیستم قربانی

در زیر به شرح کامل این دو مرحله می پردازیم:

Stage 1 :

همانطور که تروجان ها از ابزار DiskCryptor در کار های مخرب خود استفاده می کنند در این باج افزار نیز در مرحله اول این ابزار بر روی دیسک قربانی نصب می شود. در مرحله بعد Dropper مخرب، ماژول های DiskCryptor را در منابع خود ذخیره می کند.

mamba dropper

نکته :

            Dropper یک برنامه راه انداز (Installer) مخربی می باشد که به طور مخفیانه ویروس ها، Backdoorها و دیگر نرم افزارهای مخرب را حمل می کند تا بتوانند روی دستگاه آسیب دیده قربانی اجرا شوند. Dropper به طور مستقیم به سیستم قربانی آسیب نمی رساند، بلکه می تواند بدون اینکه توسط سیستم های امنیتی تشخیص داده شود بدافزارهای مخرب را بر روی ماشین قربانی انتقال دهد به عبارت دیگر وظیفه اصلی Dropper انتقال نرم افزار های مخرب از سمت مهاجم به سمت سیستم قربانی می باشد.

 

بسته به نوع سیستم عامل، این بد افزار می تواند ماژول های DiskCryptor را از بین نسخه های 32  بیتی و یا 64  بیتی انتخاب کند

DiskCryptor Modules

در مرحله بعد DiskCryptor Installer اجرا می شود :

mamba installer

پس از نصب شدن کامل DiskCryptor بد افزار Mamba دو سرویس SERVICE_ALL_ACCESS و SERVICE_AUTO_START را ایجاد می کند.

SERVICE_ALL_ACCESS

و در مرحله اخر Stage 1 سیستم قربانی مجددا راه اندازی (Reboot) می شود.

Reboot Target System

 

Stage 2 :

با استفاده از ابزار DiskCryptor، این بدافزار Bootloader جدیدی در MBR دیسک ایجاد می کند.

Mamba Bootloader

 در این Bootloader پیام متنی وجود دارد که به قربانی نشان داده خواهد شد.

Mamba Context

پس از تنظیم Bootloader پارتیشن های دیسک توسط پسوردی که در مراحل ابتدای در CMD ایجاد شده بود رمزگذاری می شوند

Partition Encryption

پس از اتمام رمزنگاری اطلاعات دیسک، سیستم قربانی مجددا راه اندازی می شود و قربانی با چنین پیام متنی مواجه می شود مبنی بر اینکه اطلاعات سیستم کد شده است و برای بازگردانی اطلاعات به دو ادرس  spambots و spambots  مراجعه و با خریداری کردن KEY و وارد کردن آن در این صفحه اطلاعات بازگردانی می شوند.

MAMBA RANSOM

محصولات Kaspersky Lab این تهدید را با کمک مولفه سیستم Watcher موجو در محصولات امنیتی خود موفق به شناسایی کردن این باج افزار شده اند که Log آن به شکل زیر می باشد:

PDM:Trojan.Win32.Generic

متاسفانه در حال حاضر هیچ راهی برای رمز گشایی داده های که توسط ابزار DiskCryptor  کد شده اند وجود ندارد زیرا این ابزار قانونی از الگوریتم های رمزنگاری قوی استفاده می کند.

  • چرا مهاجمان باج افزاری اغلب شرکت ها را هدف حمله های خود قرار می دهند

دلیل این کار کاملا روشن می باشد، مهاجمان با در نظر گرفتن حملات باج افزاری علیه کسب و کار شرکت ها به طور بلقوه سودآور تر از حملات توده ای علیه کاربران عادی می باشد. در صورت موفقیت آمیز بودن حملات علیه یک شرکت می توان به راحتی چند ساعت و یا حتی چند روز فرایند های کسب و کار را متوقف ساخت و به دلیل حائز اهمیت بودن فاکتور زمان در اینگونه شرکت ها و سود لحظه ای از کسب و کار خود برای جلوگیری از ضرر های مالی نشات گرفته از این زمان در حال سپری اغلب صاحبان این شرکت ها اقدام به پرداخت خسارت وارده توسط باج افزار ها می کنند.

  • نحوه شکل گیری این حملات

به طور کلی تاکتیک ها، تکنیک ها و روش های استفاده شده توسط این دست حملات بسیار شبیه به هم می باشند. مهاجمان شرکت های قربانی را از طریق سرور های دارای آسیب پذیر و یا حملات فیشینگ به شبکه داخلی نفوذ می کنند. در مرحله، بعد نفوذ خود را با استفاده از روش های پیشرفته مانند نصب Backdoor و دیگر روش های مخرب موجود نفوذ خود را در شبکه قربانی پایدار یا stable  می کنند و در این زمان اقدام به شناسایی فایل های حساس شرکت می کنند و آنها را پس از انالیز رمزنگاری می کنند. در نتیجه پس از رمزنگاری کردن اطلاعات تقاضای بازپرداخت در برابر رمزگشایی اطلاعات می کنند.

  • راه حل های مناسب برای جلوگیری از از دست دادن اطلاعات
  • گرفتن نسخه پشتبان از فایل های حساس خود طی باز زمانی منظم و برنامه ریزی شده تا بتوان فایل های اصلی خود را پس از یک رویداد مخرب مانند اینگونه حملات بازگردانی کرد.
  • استفاده از یک راه حل امنیتی مناسب با تکنولوژی تشخیص رفتار (IPS-IDS)، که این سرویس توسط محصولات Kaspersky Lab قابل ارائه می باشد.
  • نصب برنامه های Auditing بر روی سیستم های کاربران و سرور های حساس و به روز نگه داشتن آنها.

در صورتی که شما کارشناس امنیت یک ارگانی مشغول به انجام وظیفه باشید یقینا درهنگام نوشتن قوانین در فایروال و یا در فایل های .htaccess موتور های جستجوی مانند بینگ، یاهو و غیره را مسدود نمی کنید و آنها را جزء منابع معتبر در شبکه خود معرفی می کنید  . حال در صورتی که شبکه شما مورد هجوم افراد خاصی واقع شود و شما قصد داشته باشید که متوجه بشوید که منبع حمله از کجا می باشد و از کجا به شما حمله شده است معمولا به سراغ فایل log ایجاد شده مراجعه می کنیم. در این سناریوی که در زیر به آن اشاره خواهیم کرد ممکن است در هنگام بررسی این فایل  با چیز غیر عادی و عجیبی مواجه شوید و از خود می پرسید آیا این را نیز باید مسدود کنیم ؟!! این دیگر چرا؟ ویا اینکه چرا این منبع حمله اقدام به چنین کاری کرده است ؟

درخواست GET :

تاچند روز اخیر این سناریو سری فاش نشده بود که  به شکل تصادفی این اطلاعات افشا شد. یک تحلیلگر امنیتی کشف کرده است که Google سعی در انجام برخی حملات SQL Injection بر روی وب سایت مشتری های خود دارد . این در حالی اتفاق افتاده است که این محقق ابتدا آدرس را مسدود کرده و گمان می کردند که این آدرس به طور اشتباهی در Log فایل خود ثبت شده است اما پس از بررسی دقیق متوجه چیز غیر عادی و عجیبی می شود زیرا که این آدرس کشف شده آدرس واقعی Google Bot است.

Google SQL Injection

 درواقع این ربات Google می باشد که اقدام به تزریق این کد در درخواست های Get  ایجاد شده می باشد. سوالاتی که پیش می آید این است که آیا Google هک شده است؟ آیا آدرس IP Google مورد هجوم واقع شده و هکر از این IP در حال استفاده کردن در سناریو خود می باشد؟ آیا این یک Clone Google Bot یا ربات گوگل شبیه سازی شده توسط هکر خاص می باشد؟ که در جواب تمام این سوالات باید گفته شود که خیر !!!. برای اثبات این قضیه کافی است در دستور تفکیک شده زیر دقیقتر بشویم...

Google SQL Injection

Google هیچ علاقه ای برای راه اندازی این حملات همانند هکر ها را ندارد .Google از Bot خود در کنار این حمله استفاده می کند در نتیجه نیازی به استفاده از منابع سرور ندارد و زمان را مانند هکره  صرف این گردآوری اطلاعات نمی کند و نیز بدون اینکه توسط IP  آن Trace شود دیده نمی شود.

در این سناریو Bot گوگل شروع به خزیدن در وب سایت A می کند این وب سایت لینک های زیادی را در خود جای داده که برخی از این لینک ها به سایت B اشاره می کنند که در اینجا سایت قربانی حساب می شود. که به راحتی هکر با استفاده از Google Bot و بازدید از این لینک ها و قرار دادن لینک های که برای استفاده از آسیب پذیری SQL Injection طراحی شده است کار های مخرب خود را انجام می دهد.

ما نمی توانیم گوگل را مسول این قضبه خطاب کرد زیرا که کار گوگل Crawling کردن در وب سایت شما و بازدید کردن از تک تک لینک هاست .برای مقابله با این موضوع نباید یک لیست سفید از سایت های معتبر را در سطح اول قرار دهیم در عوض باید تایید کنیم که در خواست شامل کلمات کلیدی عجیب مانند base64، Union، exec و غیره نباشد که برای این افزونه bbq وجود دارد که در خواست های مخرب را در نظر گرفت.

ما در جهانی زندگی می کنیم که افراد زیادی وجود دارند که خواهان آسیب رساندن به منابع حساس و حیاتی موجود در شبکه را دارند. امروزه اینترنت بخش ضروری و مهم زندگی ما و همچنین سازمان ها را تشکیل می دهد که این عامل باعث شده هکر ها نیز اینترنت را به عنوان بهترین هدف برای پیاده سازی هدف های سوء خود انتخاب کنند و به این منابع مهم موجود در دنیای اینترنت متصل شوند و آن را آلوده به ویروس، تروجان و سایر بد افزاره های مخرب کنند. بنابراین شما باید از برنامه های امنیتی پیشرفته ای برای محافظت از سیستم های خود در برابر این بد افزار ها استفاده کنید. محصولات امنیتی Kaspersky یکی از بهترین راه حل های می باشد که می توان با انواع و اقسام ویروس ها و حملات هکرها در دنیای اینترنت مقابله کرد زیرا که این محصولات علیرغم هزینه پایین آن امنیت بالای را برای شما به ارمغان می آورد. در زیر به 8 دلیل اشاره شده است که ما را مجاب می کند از محصولات Kaspersky Security برای ایمن کردن شبکه خود استفاده کنیم که به شرح زیر می باشند :

 SQL Injection یک روش تزریق کد است که برای حمله به برنامه های کاربری تحت وب استفاده می شود. این حمله با استفاده از آسیب پذیر های موجود در برنامه های تحت وب این قابلیت را به هکر میدهد به اطلاعات پایگاه داده برای استخراج اطلاعات حساس دست یابد . SQL Injection تکنیکی است که می تواند DataBase قربانی را از بین ببرد این حمله از جمله حملات متداول علیه وب سایت ها استفاده می شود که این حمله از طریق تزریق کد های مخرب SQL در ورودی های صفحه وب صورت می گیرد.

SQL Injection معمولا هنگامی رخ میدهد که شما از کاربر برای ورود به صفحه شخصی وبی کاربر نام کاربری و رمز عبور را حساب کاربری را در خواست کند که در این حمله هکر در صفحه ورودی برخی کد های SQL را وارد می کند کد های در پایگاه داده اجرا می شود.

به مثال زیر دقت کنید که یک عبارت Select را با اضافه کردن یک متغییر (txt Userid) به یک رشته انتخاب ایجاد می کند متغییر از ورودی کاربر (GetRequeststring) گرفته شده است.

sql injection

تزریق کد همیشه درست "1=1"

به مثال بلا دوبار نگاه کنید هدف اصلی کد ایجاد یک بیانیه ای SQL برای انتخاب یک کاربر با یک شناسه داده شده است حال اگر هیچ چیزی برای جلوگیری از کاربر در صورت وارد کردن اطلاعات اشتباه تنظیم نشده یاشد کاربر می تواند اطلاعات ورودی هوشمند دستوری وارد کند مانند :

 

که در نتیجه این ورودی به شکل SQL Statement به صورت زیر خواهد بود :

دستور SQL بالا معتبر است و تمام ردیف ها از جدول User باز می کند زیرا کد شرط OR 1=1  همیشه True  میباشد. SQL Statement اشاره شده در بالا همانند دستور زیر است.

که یک هکر ممکن است این توانایی را کسب کند به تمام حساب های کاربری و کلمه عبور آنها دسترسی یابد.

تزریق کد همیشه درست "="

در اینجا مثالی از ورودی یک کاربر به صفحه شخصی به یک  وب سایت می باشد

sql injection

درنتیجه :

هکر به راحتی می تواند حساب کاربری و رمز آنها را تنها با وارد کردن “or””=” در محل نام کاربری و یا رمز عبور به شکل زیر :

sql injection

این ورودی ها را سرور دریافت و آن را به شکل فرم دستوری SQL معتبر تبدیل می کند.

 فرم دستوری بالا کاملا معتبر می باشد که باعث می شود تمام ردیف های جدول User برگردانده شود زیرا که “Or”=” همیشه درست است.

SQL Injection بر اساس SQL Statement ها :

برای حفاظت از وب سایت در برابر حملات SQL Injection شما می توانید از پارامترهای SQL استفاده کنید. پارامترهای SQL عبارتند از مقادیری که به صورت کنترل شده به یک SQL Query در زمان اجرا اضافه می شود هستند.

توجه داشته باشد که پارامترها در SQL با نشان @  نشان داده شده اند. موتور SQL هر پارامتر را بررسی می کند تا اطمینان حاصل شود که ستون آن درست است و به معنای واقعی و نه به عنوان بخشی از SQL اجرا می شود. در زیر مثال دیگری آورده شده است :

مثال ها :

مثال های زیر نشان میدهد که چگونه در برخی از زبان های رایج پارامتری را ایجاد کنید.

INSERT INTO STATEMENT IN ASP.NET:

INSERT INTO STATEMENT IN ASP.NET:

Scripting :

XSS یکی از نقاط ضعف امنیتی میباشد که معمولا در Web Application ها یافت می شود. XSS این قابلیت را به هکر میدهد که اسکریپت های مخربی در سمت کلاینت، در هنگامی که کاربران درخواست اتصال به صفحه وب خاصی را داشته باشند تزریق می کند. از قابلیت دیگر این حمله ، هکر می تواند سطح دسترسی های خاص تعیین شده توسط برخی سیاست ها یا به عبارت دیگر Same-Origin-Policy را Bypass کند.

بر اساس گزارش های ارائه شده توسط سیستم امنیتی سیمانتک،89 درصد حملاتی که بر علیه وب سایت انجام میگیرد از این نوع حمله می باشد. اکثر کارشناسان امنیتی در شرکت های مختلف به این موضوع معتقد هستند که حملات XSS یکی از تهدیدات خطرناک به حساب می آید.

در صورتی که مهاجم  قادر به ارسال و دریافت پیام به یک سرور معتبر DNS باشد می تواند از طریق طراحی دقیق و ساختار یافته یک نام کلیدی معتبر TSIG درخواستهای احراز هویتی  AXFR را دور بزند و به راحتی اطلاعات سرور DNS را Transfer کند .

References

  •   CVE – 2017-3142

Solution

  • upgrade-isc-bind-latest

 باج افزار جدیدی در دنیای شبکه جهانی کار خود را آغاز کرده است که به نظر می رسد داستان WannaCry همچنان ادامه دارد ولی این بار بزرگتر و قدرتمند تر از گذشته می باشد. گزارش های متعددی وجود دارد که چندین شرکت بزرگ از کشورهای مختلف تحت تاثیر این حمله جدید قرار گرفته اند و خیلی از سازمان ها و ارگان های دولتی در معرض خطر ابتلا به این اپیدمی می باشند. برخی از محققان پس از بررسی باج افزار جدید گزارش کرده اند که Petya Ransomware همان WannaCry می باشد اما قدرتمندتر و دامنه گسترش وسیع تری دارد که نام های دیگر این باج افزار  Petya.A،Petya.D  یا  PetrWrapمی باشند.

از آنجای که کاربران اینترنتی و سازمان های دولتی گمان می کردند که باج افزار WannaCry به کار خود خاتمه داده است و دیگر به عنوان تهدید حساب نمی شود، اما بار دیگر شبکه جهانی اینترنت آلوده به باج افزار جدیدی همانند WannaCry شده است. این باج افزار که Petya نام دارد، اقدام به خاموش کردن سیستم ها و منابع تغذیه شرکت ها می کند. کشور هایی که تا کنون متضرر این حمله شده اند کشور های روسیه، اوکراین، اسپانیا، بریتانیا، هند و اروپا می باشند که همانند WannaCry از قربانیان این حمله در خواست می شود، مبلغ 300 دلار برای بازگردانی اطلاعات Decrypt شده از طریق bitcoin پرداخته کنند.

صفحه1 از9

مهندسین شبکه افزار سایان

  • اهواز - خیابان وهابی خ 19 شرقی پلاک 20
  • 061-33386011-13
  • 061-33374556
  • spambots

پیشنهادات خود را با ما در میان بگذارید

  ایمیل ارسال نشد   ایمیل با موفقیت ارسال شد