علی سالم پناه

علی سالم پناه

متخصص شبکه و امنیت شبکه

پست الکترونیکی: spambots

در اواخر سال 2016 حمله ای گسترده علیه آژانس حمل و نقل شهری سانفرانسیسکو انجام شد که مهاجمان، این حمله را توسط باج افزار Mamba طراحی کرده بوده اند. این باج افزار از یک ابزار قانونی به نام DiskCryptor برای رمزگذاری دیسک استفاده می کند که اخیرا پس از بررسی های کارشناسان امنیت گروه Kaspersky Lab  متوجه شده اند که گروه مخربی که در بکراند ماجرای باج افزار Mamba قرار دارند حملات خود را علیه شرکت ها مجددا از سر گرفته اند.

Mamba attack train agency of Sonfrankiskö

در حال حاضر شرکت های دو کشور زیر قربانی این باج افزار مخرب شده اند :

  • برزیل
  • عربستان

موفقیت های که در این حمله نصیب مهاجمان شده است این گونه می باشد که مهاجمان پس از دسترسی پیدا کردن به شبکه داخلی یک شرکت از طریق اجرا کردن ابزار  Pexec اقدام به اجرا کردن باج افزار کرده اند. ذکر این نکته مهم می باشد که برای هر ماشین قربانی موجود در شبکه مهاجم به شکل جداگانه ای رمز عبور را برای ابزار DiskCryptor تولید می کند و این رمز ازطریق خط فرمان به باج افزار منتقل می شود.

password of incrypted disk

تحلیل های تکنیکی :

به طور خلاصه فعالیت های مخرب به دو بخش تقسیم می شوند:

بخش اول (Stage1) آماده سازی :

  • ایجاد کردن فولدر "C:\xampp\http"
  • انتقال اجزای DiskCryptor به فولدر ایجاد شده
  • نصب شدن درایور های DiskCryptor
  • ثبت کردن سرویس سیستمی به نام DefragmentService
  • راه اندازی مجدد سیستم قربانی

بخش دوم (Stage2) رمزگذاری اطلاعات

  • تنظیم Bootloader در MBR دیسک و کد کردن پارتیشن های دیسک توسط ابزار DiskCryptor
  • اقدامات پاک سازی یا Clean Up
  • راه اندازی مجدد سیستم قربانی

در زیر به شرح کامل این دو مرحله می پردازیم:

Stage 1 :

همانطور که تروجان ها از ابزار DiskCryptor در کار های مخرب خود استفاده می کنند در این باج افزار نیز در مرحله اول این ابزار بر روی دیسک قربانی نصب می شود. در مرحله بعد Dropper مخرب، ماژول های DiskCryptor را در منابع خود ذخیره می کند.

mamba dropper

نکته :

            Dropper یک برنامه راه انداز (Installer) مخربی می باشد که به طور مخفیانه ویروس ها، Backdoorها و دیگر نرم افزارهای مخرب را حمل می کند تا بتوانند روی دستگاه آسیب دیده قربانی اجرا شوند. Dropper به طور مستقیم به سیستم قربانی آسیب نمی رساند، بلکه می تواند بدون اینکه توسط سیستم های امنیتی تشخیص داده شود بدافزارهای مخرب را بر روی ماشین قربانی انتقال دهد به عبارت دیگر وظیفه اصلی Dropper انتقال نرم افزار های مخرب از سمت مهاجم به سمت سیستم قربانی می باشد.

 

بسته به نوع سیستم عامل، این بد افزار می تواند ماژول های DiskCryptor را از بین نسخه های 32  بیتی و یا 64  بیتی انتخاب کند

DiskCryptor Modules

در مرحله بعد DiskCryptor Installer اجرا می شود :

mamba installer

پس از نصب شدن کامل DiskCryptor بد افزار Mamba دو سرویس SERVICE_ALL_ACCESS و SERVICE_AUTO_START را ایجاد می کند.

SERVICE_ALL_ACCESS

و در مرحله اخر Stage 1 سیستم قربانی مجددا راه اندازی (Reboot) می شود.

Reboot Target System

 

Stage 2 :

با استفاده از ابزار DiskCryptor، این بدافزار Bootloader جدیدی در MBR دیسک ایجاد می کند.

Mamba Bootloader

 در این Bootloader پیام متنی وجود دارد که به قربانی نشان داده خواهد شد.

Mamba Context

پس از تنظیم Bootloader پارتیشن های دیسک توسط پسوردی که در مراحل ابتدای در CMD ایجاد شده بود رمزگذاری می شوند

Partition Encryption

پس از اتمام رمزنگاری اطلاعات دیسک، سیستم قربانی مجددا راه اندازی می شود و قربانی با چنین پیام متنی مواجه می شود مبنی بر اینکه اطلاعات سیستم کد شده است و برای بازگردانی اطلاعات به دو ادرس  spambots و spambots  مراجعه و با خریداری کردن KEY و وارد کردن آن در این صفحه اطلاعات بازگردانی می شوند.

MAMBA RANSOM

محصولات Kaspersky Lab این تهدید را با کمک مولفه سیستم Watcher موجو در محصولات امنیتی خود موفق به شناسایی کردن این باج افزار شده اند که Log آن به شکل زیر می باشد:

PDM:Trojan.Win32.Generic

متاسفانه در حال حاضر هیچ راهی برای رمز گشایی داده های که توسط ابزار DiskCryptor  کد شده اند وجود ندارد زیرا این ابزار قانونی از الگوریتم های رمزنگاری قوی استفاده می کند.

  • چرا مهاجمان باج افزاری اغلب شرکت ها را هدف حمله های خود قرار می دهند

دلیل این کار کاملا روشن می باشد، مهاجمان با در نظر گرفتن حملات باج افزاری علیه کسب و کار شرکت ها به طور بلقوه سودآور تر از حملات توده ای علیه کاربران عادی می باشد. در صورت موفقیت آمیز بودن حملات علیه یک شرکت می توان به راحتی چند ساعت و یا حتی چند روز فرایند های کسب و کار را متوقف ساخت و به دلیل حائز اهمیت بودن فاکتور زمان در اینگونه شرکت ها و سود لحظه ای از کسب و کار خود برای جلوگیری از ضرر های مالی نشات گرفته از این زمان در حال سپری اغلب صاحبان این شرکت ها اقدام به پرداخت خسارت وارده توسط باج افزار ها می کنند.

  • نحوه شکل گیری این حملات

به طور کلی تاکتیک ها، تکنیک ها و روش های استفاده شده توسط این دست حملات بسیار شبیه به هم می باشند. مهاجمان شرکت های قربانی را از طریق سرور های دارای آسیب پذیر و یا حملات فیشینگ به شبکه داخلی نفوذ می کنند. در مرحله، بعد نفوذ خود را با استفاده از روش های پیشرفته مانند نصب Backdoor و دیگر روش های مخرب موجود نفوذ خود را در شبکه قربانی پایدار یا stable  می کنند و در این زمان اقدام به شناسایی فایل های حساس شرکت می کنند و آنها را پس از انالیز رمزنگاری می کنند. در نتیجه پس از رمزنگاری کردن اطلاعات تقاضای بازپرداخت در برابر رمزگشایی اطلاعات می کنند.

  • راه حل های مناسب برای جلوگیری از از دست دادن اطلاعات
  • گرفتن نسخه پشتبان از فایل های حساس خود طی باز زمانی منظم و برنامه ریزی شده تا بتوان فایل های اصلی خود را پس از یک رویداد مخرب مانند اینگونه حملات بازگردانی کرد.
  • استفاده از یک راه حل امنیتی مناسب با تکنولوژی تشخیص رفتار (IPS-IDS)، که این سرویس توسط محصولات Kaspersky Lab قابل ارائه می باشد.
  • نصب برنامه های Auditing بر روی سیستم های کاربران و سرور های حساس و به روز نگه داشتن آنها.

در صورتی که شما کارشناس امنیت یک ارگانی مشغول به انجام وظیفه باشید یقینا درهنگام نوشتن قوانین در فایروال و یا در فایل های .htaccess موتور های جستجوی مانند بینگ، یاهو و غیره را مسدود نمی کنید و آنها را جزء منابع معتبر در شبکه خود معرفی می کنید  . حال در صورتی که شبکه شما مورد هجوم افراد خاصی واقع شود و شما قصد داشته باشید که متوجه بشوید که منبع حمله از کجا می باشد و از کجا به شما حمله شده است معمولا به سراغ فایل log ایجاد شده مراجعه می کنیم. در این سناریوی که در زیر به آن اشاره خواهیم کرد ممکن است در هنگام بررسی این فایل  با چیز غیر عادی و عجیبی مواجه شوید و از خود می پرسید آیا این را نیز باید مسدود کنیم ؟!! این دیگر چرا؟ ویا اینکه چرا این منبع حمله اقدام به چنین کاری کرده است ؟

درخواست GET :

تاچند روز اخیر این سناریو سری فاش نشده بود که  به شکل تصادفی این اطلاعات افشا شد. یک تحلیلگر امنیتی کشف کرده است که Google سعی در انجام برخی حملات SQL Injection بر روی وب سایت مشتری های خود دارد . این در حالی اتفاق افتاده است که این محقق ابتدا آدرس را مسدود کرده و گمان می کردند که این آدرس به طور اشتباهی در Log فایل خود ثبت شده است اما پس از بررسی دقیق متوجه چیز غیر عادی و عجیبی می شود زیرا که این آدرس کشف شده آدرس واقعی Google Bot است.

Google SQL Injection

 درواقع این ربات Google می باشد که اقدام به تزریق این کد در درخواست های Get  ایجاد شده می باشد. سوالاتی که پیش می آید این است که آیا Google هک شده است؟ آیا آدرس IP Google مورد هجوم واقع شده و هکر از این IP در حال استفاده کردن در سناریو خود می باشد؟ آیا این یک Clone Google Bot یا ربات گوگل شبیه سازی شده توسط هکر خاص می باشد؟ که در جواب تمام این سوالات باید گفته شود که خیر !!!. برای اثبات این قضیه کافی است در دستور تفکیک شده زیر دقیقتر بشویم...

Google SQL Injection

Google هیچ علاقه ای برای راه اندازی این حملات همانند هکر ها را ندارد .Google از Bot خود در کنار این حمله استفاده می کند در نتیجه نیازی به استفاده از منابع سرور ندارد و زمان را مانند هکره  صرف این گردآوری اطلاعات نمی کند و نیز بدون اینکه توسط IP  آن Trace شود دیده نمی شود.

در این سناریو Bot گوگل شروع به خزیدن در وب سایت A می کند این وب سایت لینک های زیادی را در خود جای داده که برخی از این لینک ها به سایت B اشاره می کنند که در اینجا سایت قربانی حساب می شود. که به راحتی هکر با استفاده از Google Bot و بازدید از این لینک ها و قرار دادن لینک های که برای استفاده از آسیب پذیری SQL Injection طراحی شده است کار های مخرب خود را انجام می دهد.

ما نمی توانیم گوگل را مسول این قضبه خطاب کرد زیرا که کار گوگل Crawling کردن در وب سایت شما و بازدید کردن از تک تک لینک هاست .برای مقابله با این موضوع نباید یک لیست سفید از سایت های معتبر را در سطح اول قرار دهیم در عوض باید تایید کنیم که در خواست شامل کلمات کلیدی عجیب مانند base64، Union، exec و غیره نباشد که برای این افزونه bbq وجود دارد که در خواست های مخرب را در نظر گرفت.

صفحه1 از9

مهندسین شبکه افزار سایان

  • اهواز - خیابان وهابی خ 19 شرقی پلاک 20
  • 061-33386011-13
  • 061-33374556
  • spambots

پیشنهادات خود را با ما در میان بگذارید

  ایمیل ارسال نشد   ایمیل با موفقیت ارسال شد