تاریخچه‌ی WannaCry

02 شهریور 1401 تاریخچه‌ی WannaCry

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ همه‌گیریِ کریپتووُرمِ[1] WannaCry در تاریخ 12 می 2017 شروع شد. قربانیان آن با این پیام روی صفحه نمایش تمام امورشان مختل شد:

درست بعد از آن، قربانیان پی بردند که همه داکیومنت‌هایشان رمزگذاری و به همه افزونه‌های نرمال فایل مانند  .doc یا .mp3 افزونه‌ی .wnry اضافه شده است. اگر کسی پنجره را بدون خواندن آن پیام می‌بست، بدافزار با این پیام، عکس زمینه دسکتاپ را عوض می‌کرد:

این برنامه برای رمزگشایی فایل‌ها درخواست انتقال 300 دلار به بیت‌کوین را داشت و این مبلغ باید به کیف‌پول مجازی مهاجمین انتقال داده می‌شد. بعدها این رقم به 600 دلار بیت‌کوین افزایش پیدا کرد. ظرف یک روز این کرم اینترنتی که سرعت توزیعش بسیار بالا بود بیش از 200 هزار سیستم را در سراسر جهان از جمله کامپیوترهای خانگی و نیز شبکه‌های سازمانی را آلوده کرد: بیمارستان‌ها، شرکت‌های حمل و نقل، سرویس‌های بانکی و اپراتورهای گوشی از جمله سازمان‌های آلوده بودند. شرکت تراشه‌ساز تایوانی به نام TSMC مجبور شده بود به دلیل آلودگی همگانی دستگاه‌هایش پروسه تولید خود را به حالت تعلیق درآورد.

این اتفاق چطور افتاد؟

توزیع به شدت سریع واناکرای از طریق آسیب‌پذیری‌های داخل پروتکل Server Message Block (یا همان SMB) در ویندوز میسر شده بود. این آسیب‌پذیری‌ها اجازه‌ی اجرای کد دلخواه را روی کامپیوتری پچ‌نشده می‌دادند (با استفاده از یک درخواست روی پروتکل SMBv1). این نسخه‌ی قدیمی SMB است که از دهه 90 میلادی کاربرد دارد. نسخه پیش‌فرض پروتکل از سال 2006 بکار رفته در ویندوز SMBv2 یا بالاتر بوده است اما پشتیبانی پروتکل قدیمی برای سازگاری با کامپیوترهایی که نرم‌افزارهای قدیمی را استفاده می‌کردند حفظ شده است. وقتی این مشکل کشف شد و در مارس 2017 آپدیت‌هایی منتشر گشت (تقریباً دو ماه پیش از همه‌گیری واناکرای) آسیب‌پذیری‌های  SMBv1 روی همه نسخه‌های پچ‌نشده این سیستم عامل اثر گذاشت؛ از ویستا گرفته تا ویندوز 10 که آن زمان بسیار جدید بود. نسخه‌ی منسوخ ویندوز XP و ویندوز 8 نیز در خطر بودند. مایکروسافت برای ویندوز XP پچی منتشر کرد علی‌رغم اینکه رسماً سال 2014 پشتیبانی خود را از روی آن برداشته بود. اکسپلویتی که آسیب‌پذیری‌های SMBv1 را مورد هدف قرار داه بود EternalBlue نام داشت که به دلایلی باید جداگانه آن را مورد بررسی قرار داد.

اما ابتدا باید با اسم کد دیگری موسوم به DoublePulsar آشنا شوید که کد مخربی است طراحی‌شده برای ایجاد بک‌در در سیستم مورد هدف. هم اکسپلویت EternalBlue و هم بک‌در DoublePulsar به ترتیب در ماه مارس و آوریل 2017 توسط گروه ShadowBrokers عمومی شدند. گفته می‌شود آنها در کنار سایر ابزارهای مخرب از یکی از بخش‌های آژانس امنیت ملی آمریکا سرقت شده بودند. کرم WannaCry از هر دو اجزا استفاده می‌کند: ابتدا این توانایی را بدست می‌آورد که کد مخب را از طریق EternalBlue اجرا کند و بعد از ابزار سفارشی‌سازی‌شده‌ی  DoublePulsar برای لانچ کردن پی‌لود به منظور رمزگذاری فایل‌ها و نمایش یادداشت باج استفاده می‌کند. افزون بر رمزگذاری فایل، واناکرای با شبکه  Tor با سرور C2 مهاجم نیز در تعامل است. بدین‌ترتیب با ارسال درخواست‌های مخرب به آدرس‌های رندوم آی‌پی خود را منتشر می‌کند. این همان چیزی است که سرعت توزیع باورنکردنی کرم را افزایش داد - ده ها هزار سیستم آلوده در ساعت!

کیل سوئیچ[2]

همان روز -12 می- یک وبلاگ‌نویس امنیت سایبری به نام  MalwareTech (که البته آن زمان ناشناس بود) با دقت و جزئیات کد واناکرای را بررسی کرد. او کشف کرد که آدرسی از فرم <very_long_nonsensical_set_of_characters>.com داخل کد اصطلاحاً بخیه شده است. نام دامنه ثبت نشده بود، بنابراین MalwareTech آن را برای خود ثبت کرد، در ابتدا اینطور فرض کرد کامپیوترهای آلوده از این آدرس برای ارتباط بیشتر با سرورهای C2 استفاده می‌کنند. اینطور شد که او ناخواسته اپیدمی WannaCry را متوقف کرد. اگرچه معلوم شد که تا عصر 12 می، پس از ثبت دامنه، WannaCry همچنان کامپیوترها را آلوده می‌کرد، اما داده‌های موجود در آنها را رمزگذاری نکرد. کاری که بدافزار انجام می‌داد، در واقع دسترسی به نام دامنه و در صورت عدم وجود، رمزگذاری فایل‌ها بود. از آنجایی که دامنه اکنون در دسترس بود، همه موارد بدافزار به دلایلی تلاش خود را متوقف کردند. چرا سازندگان از بین بردن باج افزار خود را اینقدر آسان کردند؟ به گفته MalwareTech، این یک تلاش ناموفق برای فریب تجزیه و تحلیل سندباکس خودکار بود.

سندباکسینگ به این صورت عمل می‌کند:  برنامه‌ای مخرب در یک محیط مجازی ایزوله اجرا می‌شود که امکان تجزیه و تحلیل در زمان واقعی رفتار آن را فراهم می‌کند. این روشی رایج است که به صورت دستی توسط تحلیلگران ویروس یا به صورت خودکار انجام می‌شود. محیط مجازی طوری طراحی شده که به بدافزار اجازه می‌دهد به طور کامل اجرا شده و تمام اسرار خود را در اختیار محققین بگذارد. اگر بدافزار فایلی را درخواست کند، سندباکس وانمود می‌کند آن فایل وجود دارد. اگر به صورت آنلاین به یک سایت دسترسی پیدا کند، محیط مجازی می‌تواند پاسخ را تقلید کند. شاید نویسندگان WannaCry بر این باور بودند که می‌توانند از تجزیه و تحلیل sandbox دوری کنند: اگر کرم به دامنه‌ای که وجود ندارد دسترسی پیدا کرده و پاسخی دریافت کند، قربانی واقعی نیست و فعالیت مخرب باید پنهان شود. چیزی که آنها احتمالاً به ذهنشان خطور نمی‌کرد این بود که کد کرم فقط در سه ساعت از هم جدا شد و نام دامنه "مخفیِ" آن پیدا و ثبت شد.

MalwareTech: «هکری که اینترنت را نجات داد»

MalwareTech برای پنهان کردن هویت اصلی خود دلایلی داشت. اسم واقعی او مارکوس هاچینز است. موقع شروع همه‌گیری WannaCry او فقط 23 سال داشت. گرچه بسیار جوان بود اما با افراد شروری بُر خورد و سر از تالارهای جرایم سایبری درآورد. از جرایم او می‌توان به نوشتن برنامه‌ای برای سرقت پسوردهای مرورگر اشاره کرد. او همچنین برنامه‌ای نوشت تا از طریق تورنت‌ها، کاربران را آلوده کند و بعد از آن برنامه برای ساخت 8 هزار بات‌نت قوی استفاده کرد. اوایل 2000 مُهره‌های بزرگ‌تر او را کشف کردند و از او دعوت بعمل آوردند برای نوشتن یک تکه بدافزار Kronos. مارکوس برای کارش در هر فروش در بازار خاکستری پورسانت دریافت می‌کرد: سایر مجرمان سایبری این بدافزار را برای انجام حملات خود خریداری کردند. هاچینز فاش کرد که حداقل در دو نوبت نام واقعی و آدرس منزل خود را در بریتانیا به همدستانش داده است.

این اطلاعات بعداً به دست مجریان قانون ایالات متحده افتاد. مردی که «اینترنت را نجات داد» دیگر ناشناس نبود. دو روز بعد، خبرنگاران در خانه او را زدند: دختر یکی از روزنامه‌نگاران همان مدرسه مارکوس رفت و می‌دانست او از نام مستعار MalwareTech استفاده می‌کند. او ابتدا از صحبت با مطبوعات اجتناب می‌کرد، اما در نهایت با آسوشیتدپرس مصاحبه کرد. در آگوست 2017، اکنون به عنوان یک مهمان محترم، برای کنفرانس معروف هکر DEF CON به لاس وگاس دعوت شد. آنجا بود که دستگیر شد. هاچینز پس از گذراندن چندین ماه در حبس خانگی و اعتراف جزئی به اتهامات مربوط به کرونوس، براحتی با یک حکم تعلیقی کنار رفت. در یک مصاحبه بزرگ با مجله Wired، او گذشته جنایی خود را به عنوان یک اشتباه تاسف‌بار توصیف کرد: او این کار را بیشتر برای‌ نشان دادن مهارت‌های خود و به رسمیت شناخته شدنش در جامعه زیرزمینی انجام می‌داد و دغدغه‌ی پول نداشت. در زمان WannaCry، او به مدت دو سال هیچ تماسی با مجرمان سایبری نداشت و وبلاگ MalwareTech او مورد مطالعه و تحسین کارشناسان قرار گرفت.

آیا آن، آخرین همه‌گیری بود؟

همین تازگی‌ها از کرم ILOVEYOU برایتان نوشتیم که همه‌گیری بزرگی در سال 2000 ایجاد کرد. این کرم با واناکرای وجوه تشابه زیادی داشت: هر دو کرم‌ها از طریق آسیب‌پذیری در ویندوز که برایش از قبل پچی هم ارائه شده بود خود را توزیع کردند. اما همه کامپیوترها هم موقع این عفونت، آپدیت نشده بودند. نتیجه اینکه صدها هزار نفر در سراسر جهان قربانی شدند و خسارتی میلیون دلاری به شرکت‌ها وارد شد و کلی داده کاربری نیز در این میان از بین رفت. البته بین این دو کرم تفاوت‌هایی نیز وجود دارد: سازندگان واناکرای (فرض می‌شود از سوی دولت کره جنوبی بوده باشد) از ابزارهای هک موجود در دامنه عمومی استفاده کردند و این درحالیست که  ILOVEYOU صرفاً چندتایی فایل را پاک کرد. و البته واناکرای از کاربران که کل داکیومنت‌های خود را از دست داده بودند باج خواست. خوشبختانه، نویسندگان WannaCry با تعبیه یک کیل سوئیچ که بر علیه آنها کار می‌کرد، بامزگی به خرج دادند. داستان این اپیدمی همچنین در مورد نبوغ شکارچیان بدافزار است که می‌توانند کار کسی دیگر را بردارند، در کوتاه‌مدت آن را تجزیه و تحلیل نموده و یک مکانیسم دفاعی ایجاد کنند.

اپیدمی WannaCry توسط ده‌ها شرکت مورد مطالعه قرار گرفت و بیشترین توجه رسانه‌ها را به خود جلب کرد، که آن را به استثنای قاعده تبدیل می‌کند. این روزها بعید است که حمله باج افزار به یک تجارت خاص صفحه اول اخبار شود: در واقع، به اینگونه است که خودتان هستید و شکنجه‌گرتان!. بنابراین، مهم است که متخصصان برتر را در عملیات کنترل آسیب مشارکت دهید و تسلیم اخاذی نشوید. همانطور که مورد WannaCry نشان می‌دهد، حتی یک حمله بسیار پیچیده و موثر نیز می‌تواند پاشنه آشیل خود را داشته باشد.

 

[1] cryptoworm

[2] Kill Switch

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security

    ایمن بمانید- هرآنچه در محل کار و خانه انجام می‌دهید هرآنچه در محیط آنلاین انجام می‌دهید- روی دستگاه‌های پی‌سی، مک و اندروید- بسته‌ی امنیتی پیشرفته و تک‌لایسنسیِ ما به شما کمک ...

    5,825,650 ریال11,651,300 ریال
    خرید
  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    1,940,650 ریال3,881,300 ریال
    خرید
  • Kaspersky Total Security

    قوی‌ترین و پرفروش‌ترین مجموعه‌‌ امنیتی ما امنیت خانواده چنددستگاهه مجهز به آنتی‌ویروس، ضدباج‌افزار، امنیت وبکم، مدیر کلمه‌عبور و 87 فناوری دیگر، همگی با یک لایسنس. ...

    6,214,520 ریال15,536,300 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    5,823,800 ریال
    خرید
  • Kaspersky Safe Kids

    شما می توانید بر ارتباطات اینترنتی کودکان از قبیل فعالیتهای عمومی در فیسبوک، کنترل تماسها و پیامها از طریق دستگاههای اندرویدی نظارت داشته باشید. کمک شما به کودکان بهترین راهنمایی برای آنها ...

    5,823,800 ریال
    خرید
  • Kaspersky Antivirus

    بهترین آنتی‌ویروس ما برای ویندوز پی‌سی شما جدیدترین ویروس‌ها، باج افزارها، جاسوس‌افزارها، رمزگرها و غیره را بلاک کرده و کمک می‌کند جلوی بدافزار ماینینگِ رمزارز -که به ...

    3,883,150 ریال7,766,300 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    4,195,800 ریال13,986,000 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد