Sodin یک باج‌افزار معمولی نیست

23 تیر 1398 Sodin یک باج‌افزار معمولی نیست

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ اواخر ماه مارس سال جاری، خبری مبنی بر حمله‌ی باج‌افزاری موسوم به GandCrab به مشتریان «ارائه‌دهندگان خدمات مدیریت‌شده[1]» منتشر شد که از همان زمان احتمال می‌دادیم این تنها پرونده در نوع خود نخواهد بود. ارائه‌دهندگان خدمات مدیریت‌شده در حقیقت برای مجرمان سایبری آنقدر لقمه‌ی چرب و نرمی هستند که نمی‌شود نادیده‌شان گرفت. ظاهراً هم حق با ما بود. در ماه آوریل، باج‌افزاری تحت عنوان Sodin توجه متخصصین ما را جلب کرد. این باج‌افزار با باج‌افزارهای دیگر تفاوت داشت؛ تفاوتش هم این بود که علاوه بر استفاده از شکاف‌های امنیتی در سیستم MSP‌ها همچنین از آسیب‌پذیری‌ای در پلت‌فرم Oracle WebLogic نیز اکسپلویت می‌کرده است. و برخلاف معمول که همیشه باج‌افزار به داخلت کاربری نیاز دارد (برای مثال نیاز قربانی به اجرای یک فایل از ایمیل فیشینگ) در این مورد خاص هیچ مداخله‌ی کاربری‌ای نیز در کار نیست. از دیدگاه ما جالب‌ترین چیز در مورد این بدافزار، طریقه‌ی توزیعش است.

روش‌های توزیع Sodin

مهاجمین با هدف توزیع این بدافزار برای اجرای فرمان PowerShell روی سرور آسیب‌پذیرِ Oracle WebLogic بوسیله‌ی WebLogic از آسیب‌پذیری CVE-2019-2725 استفاده کردند. این کار بدان‌ها اجازه داد تا یک دراپر در سرور آپلود که بعداً هم نصب پی‌لود را به همراه داشت. پی‌لود چه بود: همان باج‌افزار Sodin. پچ‌های این باگ در تاریخ آوریل منتشر شدند اما اواخر ماه ژوئن باز آسیب‌پذیری مشابهی کشف شد- CVE-2019-2729.

در حملاتی که پای MSP‌ها وسط می‌آید، Sodin به طرق مختلف روی دستگاه کاربر می‌نشیند. کاربرانِ دست کم سه ارائه‌دهنده‌ی خدمات مدیریت‌شده همین الانش هم قربانی این تروجان شدند. گفته می‌شود در برخی موارد مهاجمین از کنسول‌های دسترسی ریموت Webroot و Kaseya برای تزریق این تروجان استفاده کرده بودند. در برخی موارد دیگر مهاجمین با استفاده از کانکشن RDP، امتیازات بالا، راه‌حل‌های امنیتی دی‌اکتیوشده و بک‌آپ‌ها توانستند به زیرساخت MSP نفوذ کنند. سپس آن‌ها باج‌افزار در کامپیوتر مشتری دانلود کردند.

چه کاری از دست ارائه‌دهندگان سرویس برمی‌آید؟ ‌

برای شروع، تا جایی که ممکن است ذخیره‌ی رمزعبور برای دسترسی ریموت و همچنین احراز هویت دو عاملی را جدی بگیرید. کنسول‌های ریموت Kaseya و Webroot هر دو از احراز هویت دو عاملی پشتیبانی می‌کنند. علاوه بر این، بعد از این رویداد، توسعه‌دهندگان شروع کردند به در اختیار گرفتنِ کارکردِ آن. ظاهراً مهاجمینی که Sodin را توزیع می‌کنند منتظر یک فرصت استثنائی نیستند؛ آن‌ها از قصد دنبال متودهای گوناگونند تا بتوانند این بدافزار را از طریق ارائه‌دهندگان MSP توزیع کنند. به همین دلیل مجبورند به دقت به تمام ابزار دیگر که در این حوزه مورد استفاده قرار می‌گیرند نگاه کنند.

MSP‌ها و خصوصاً آن‌هایی که خدماتی در راستای امنیت سایبری ارائه می‌دهند باید از زیرساخت‌های خود نهایت حراست را بکنند (حتی باید بیش از اینکه حواسشان به زیرساخت کلاینت است به زیرساخت خودشان باشد).

شرکت‌های دیگر باید چکار کنند؟

البته که آپدیت کردن نرم‌افزار هنوز هم از مهم‌ترین کارهاست. اینکه بدافزاری با آسیب‌پذیری‌هایی کشف‌شده به زیرساخت نفوذ کند و چند ماه پیش تازه بخواهد پچ شود نشان از سهل‌انگاری در اموری بسیار ساده دارد. شرکت‌هایی که از Oracle WebLogic استفاده می‌کنند ابتدا می‌بایست خود را با مشاوره‌های امنیتی Oracle (برای هر دو آسیب‌پذیری) آشنا کنند- CVE-2019-2725 و CVE-2019-2729. همچنین توصیه می‌کنیم از راه‌حل‌های امنیتی مطمئنی استفاده کنید که زیرمجموعه‌های مجهز به شناسایی باج‌افزار دارند و می‌توانند ایستگاه‌های کار را از گزند آن‌ها مصون نگه دارند.

 

[1] (Managedservices provider (MSP

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security

    هنگام خرید آنلاین و یا انجام تراکنش‌های بانکی از طریق اینترنت، از اطلاعات حساب بانکی و پولتان مراقبت می‌کنیم. وقتی در فضای سایبری مشغول معاشرت هستید از هویت‌تان حراست می‌کنیم... وقتی در اینترنت ...

    3,815,500 ریال
    خرید
  • Kaspersky Internet Security for Android

    تلفن هوشمند و تبلت شما نیز به اندازه ی کامپیوترتان در برابر حمله های دیجیتالی آسیب پذیرند. به همین خاطر هنگام وب گردی یا استفاده از شبکه های اجتماعی، باید از آنها مراقبت کنید. ...

    1,358,500 ریال
    خرید
  • Kaspersky Total Security

    خانواده، نهادی ارزشمند است؛ پس بالاترین سطح امنیتی خود را به آن اختصاص داده‌ایم. توتال سکیوریتی کسپرسکی به خانواده‌ی شما کمک می‌کند: وقتی دارند در اینترنت گشت می‌زنند، خرید ...

    5,453,500 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    2,046,200 ریال
    خرید
  • Kaspersky Safe Kids

    شما می توانید بر ارتباطات اینترنتی کودکان از قبیل فعالیتهای عمومی در فیسبوک، کنترل تماسها و پیامها از طریق دستگاههای اندرویدی نظارت داشته باشید. کمک شما به کودکان بهترین راهنمایی برای آنها ...

    2,046,200 ریال
    خرید
  • Kaspersky Antivirus

    ایجاد فضای امن سایبری ابتدا با محافظت از دستگاه پی‌سی‌تان شروع می‌شود. از همین رو آنتی‌ویروس کسپرسکی دستگاه پی‌سی شما را در برابر ویروس‌ها، باج‌افزارها، عملیات‌های فیشینگ، جاسوس‌افزار، وبسایت‌ها ...

    2,723,500 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد