روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ باجافزار Ryuk اکنون در انبار مهمات خود ترفند جدیدی جاگذاری کرده است: خودتکثیری[1] از طریق اشتراکگذاریهای بلوک پیام سرور[2] (SMB) و اسکن پورت[3]. طبق یافتههای محققین، نسخهی جدید باجافزار Ryuk قادر است در شبکهی اینترنت محلی همچون کرم خود را تکثیر کند. به نقل از آژانس ملی فرانسه برای امنیت سیستمهای اطلاعاتی[4] (ANSSI)، این مدل متغیر اوایل سال 2021 در کمپینهای ویندوز محور ظاهر شد. این آژانس در ادامه اظهار میکند خودتکثیریِ این نسخهی جدید با اسکن اشتراکگذاریهای شبکهای[5] و بعد کپی کردن نسخهی منحصر به فردی از فایل قابلاجرای باجافزار (با فایلنیم rep.exe یا lan.exe) در هر یک از آنها ممکن میشود. طبق آخرین گزارشات، «Ryuk به دنبال اشتراکگذاریهای شبکهی روی زیرساخت آیتی قربانی میگردد و برای اجرایی کردن آن، برخی دامنههای آیپی را اسکن میکند: 10.0.0.0/8; 172.16.0.0/16 و 192.168.0.0/16. وقتی اجرا شد، سپس خود را در هر دستگاه موجودی که دسترسیهای RPC[6] رویشان ممکن است توزیع و تکثیر میکند».
نسخهی جدید Ryuk همچنین جداول پروتکل تفکیک آدرس[7] (ARP) دستگاههای مبتلا را مورد بررسی قرار میدهد؛ جداولی که کارشان ذخیرهسازی آدرسهای آیپی و آدرسهای مک متعلق به هر دستگاه شبکه -که این دستگاهها با آنها در ارتباط هستند - است. این نسخه سپس –طبق گفتههای ANSSI– برای هر میزبان بستهی [8]Wake-On-LAN میفرستد تا کامپیوترهای خاموش را بیدار کند!. «واریانت باجافزار Ryuk هر چند تعداد آدرس آیپی ممکن را روی شبکههای اینترنتی محلی تولید و برای هر یک از آنها پینگ[9] ICMP ارسال میکند. همچنین آدرسهای آیپی کش[10] محلی ARP را نیز فهرست نموده و برایشان بسته (wake-up) ارسال میکند». Ryuk سپس با استفاده از SMB تلاش میکند برای هر میزبان شناساییشده شبکههای اینترنتی احتمالی سوار کند. SMB کارکرد ویندوزی است که اشتراکگذاری، باز کردن یا ویرایش کردن فایلها با/روی کامپیوترها و سرورهای ریموت را ممکن میسازد.
وقتی همه اشتراکگذاریهای موجود شبکه شناسایی یا ساخته شد، پیلود سپس روی تارگتهای جدید نصب شده و با استفاده از یک تسک برنامهریزیشده خودش را اجرا میکند؛ همین اجازه میدهد Ryuk محتوای تارگتها را رمزگذاری کرده و برای جلوگیری از ریکاوری، هر کپی Volume Shadow[11] را پاک کند. ANSSI چنین توضیح میدهد، «تسکِ برنامهریزیشده از طریق فراخوانی در ابزار سیستم schtasks.exe–ابزار بومی ویندوز- ساخته میشود». فایلها با استفاده از Microsoft CryptoAPI با الگوریتم AES256 رمزگذاری میشوند (از طریق کلید منحصر به فرد AES که برای هر فایل تولید میشود). کلید AES همچنین در کلید عمومی RSA پوشانیده دشه است؛ کلیدی ذخیرهشده در باینری کد. این بدافزار همچنین بر اساس لیستهای هاردکدشده (شامل فهرستی از 41 پروسه که باید بسته شوند و لیستی از 64 سرویس که باید متوقف گردند) چندین برنامه را قطع میکند.
چطور میشود عفونت کِرم Ryuk را مهار کرد؟
در خصوص جلوگیری از ابتلا، باجافزار Ryuk معمولاً توسط یک بدافزار اولیهی «دراپر» که حکم سرباز خط مقدم در هر حمله را دارد لود میشود؛ اینها عبارتند از Emotet، TrickBot، Qakbot و Zloader (تنها بعنوان چند نمونه). مهاجمین از آنجا برای تنظیم حرکت جانبی خود، به دنبال افزایش امتیازات و مزیتهای خود میگردند. از این رو دفاعی مؤثر باید شامل اقدامات متقابلی شود؛ اقداماتی که این حملات را در نطفه خفه کند. وقتی آلودگی صورت گرفت دیگر همهچیز پیچیدهتر از قبل میشود. طبق مشاهدات محققین ANSSI نقطه ابتلای اولیه در کمپین 2021 اکانت دامنه ممتاز بوده است. تحلیلها نشان میدهد نسخهی خود تکثیر و کرممانند Ryuk با خفه کردن نقطه اولیه آلودگی هم باز نمیتواند خنثی شود. بنابرگزارشات، «اکانت ممتاز دامنه برای تکثیر بدافزار استفاده میشود. اگر پسورد کاربر تغییر کند، این تکثیر مادامیکه کلیدهای احراز هویت منقضی نشدهاند ادامه خواهد داشت. اگر اکانت کاربر غیرفعال شود این مسئله مثل قبل باقی خواهد ماند». نسخههای قبلی این بدافزار از MUTEX[12] استفاده میکردد تا مطمئن شوند هر میزبان مورد نظر در آن واحد فقط به یک پروسه Ryuk دسترسی داشته است.
Ryuk : دیو چند سر
باجافزار Ryuk ابتدا در سال 2018 مشاهده شد؛ آن هم بعنوان واریانت باجافزار Hermes 2.1. اما برخلاف Hermes، این واریانت در بازارهای زیرزمینی همچون تالار گفتوگوی Exploit فروخته نمیشود. طبق گزارشات ANSSI، «هنوز در مورد خصوص خاستگاه Ryuk اجماع نظر صورت نگرفته است. ظاهر Ryuk میتواند در نتیجهی دریافت کد منبع Hermes 2.1 توسط گروه مهاجم دیگر باشد که شاید از همین نقطه آغاز اقدام به ساخت Ryuk کرده است». محققین اینطور نظریه خود را مطرح میکنند که Ryuk به عنوان یک کیتابزار برای گروههای مهاجم فروخته میشود. مهاجمین آن را برای ساخت باجافزار «باب دندان» خود به کار میگیرند. برای همین ممکن است به ازای هر گروه مهاجم که کد را بخرد، واریانت وجود داشته باشد.
[1] Self-Propagation
[2] Server Message Block
[3] Port Scanningیکی از محبوبترین روشهایی میباشد که نفوذگران برای تشخیص سرویسهای راهاندازی شده در یک میزبان هدف (host target) استفاده میکنند.
[4] French National Agency for the Security of Information Systems
[5] network shares
[6] Remote Procedure Call
[7] Address Resolution Protocol
[8] بیدارشدن از شبکه، یک سیستم استاندارد شبکه است که اجازه روشن یا همان بیدار شدن را با یک پیغام شبکه به کامپیوتر میدهد. این پیغام معمولاً توسط یک برنامه ساده بر روی سیستمی دیگر روی همان شبکه محلی ارسال میشود. بیدار شدن از شبکه یا همان Wake-on-LAN را به اختصار WOL نیز مینامند.
[9] یک ابزار شبکهای است که برای آزمایش میزان دسترسیپذیری یک میزبان در شبکهٔ پروتکل اینترنت به کار میرود و میتواند زمان رفت و برگشت برای بستههای فرستاده شده از میزبان تا یک رایانهٔ مقصد را بر حسب میلی ثانیه محاسبه کند.
[10] cache
[11] به قابلیت کپی گرفتن از فایلهایی که حاظر در محیط شبکه باز میباشند از جمله مواردی است که در صورتیکه کاربری بصورت اشتباهی فایلی را پاک کند و یا در آن تغییراتی بدهد سریعا میتوانیم تغییرات موجود را به حالت عادی برگرداندیم در این حالت تغییرات در داخل درایوی که فولدر مربوطه به اشتراک گذاشته شده است و در داخل System Volume Information ذخیره میشوند.
[12] Mutual Exclusion Objects
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
