تاریخچه‌ی WannaCry

02 شهریور 1401 تاریخچه‌ی WannaCry

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ همه‌گیریِ کریپتووُرمِ[1] WannaCry در تاریخ 12 می 2017 شروع شد. قربانیان آن با این پیام روی صفحه نمایش تمام امورشان مختل شد:

درست بعد از آن، قربانیان پی بردند که همه داکیومنت‌هایشان رمزگذاری و به همه افزونه‌های نرمال فایل مانند  .doc یا .mp3 افزونه‌ی .wnry اضافه شده است. اگر کسی پنجره را بدون خواندن آن پیام می‌بست، بدافزار با این پیام، عکس زمینه دسکتاپ را عوض می‌کرد:

این برنامه برای رمزگشایی فایل‌ها درخواست انتقال 300 دلار به بیت‌کوین را داشت و این مبلغ باید به کیف‌پول مجازی مهاجمین انتقال داده می‌شد. بعدها این رقم به 600 دلار بیت‌کوین افزایش پیدا کرد. ظرف یک روز این کرم اینترنتی که سرعت توزیعش بسیار بالا بود بیش از 200 هزار سیستم را در سراسر جهان از جمله کامپیوترهای خانگی و نیز شبکه‌های سازمانی را آلوده کرد: بیمارستان‌ها، شرکت‌های حمل و نقل، سرویس‌های بانکی و اپراتورهای گوشی از جمله سازمان‌های آلوده بودند. شرکت تراشه‌ساز تایوانی به نام TSMC مجبور شده بود به دلیل آلودگی همگانی دستگاه‌هایش پروسه تولید خود را به حالت تعلیق درآورد.

این اتفاق چطور افتاد؟

توزیع به شدت سریع واناکرای از طریق آسیب‌پذیری‌های داخل پروتکل Server Message Block (یا همان SMB) در ویندوز میسر شده بود. این آسیب‌پذیری‌ها اجازه‌ی اجرای کد دلخواه را روی کامپیوتری پچ‌نشده می‌دادند (با استفاده از یک درخواست روی پروتکل SMBv1). این نسخه‌ی قدیمی SMB است که از دهه 90 میلادی کاربرد دارد. نسخه پیش‌فرض پروتکل از سال 2006 بکار رفته در ویندوز SMBv2 یا بالاتر بوده است اما پشتیبانی پروتکل قدیمی برای سازگاری با کامپیوترهایی که نرم‌افزارهای قدیمی را استفاده می‌کردند حفظ شده است. وقتی این مشکل کشف شد و در مارس 2017 آپدیت‌هایی منتشر گشت (تقریباً دو ماه پیش از همه‌گیری واناکرای) آسیب‌پذیری‌های  SMBv1 روی همه نسخه‌های پچ‌نشده این سیستم عامل اثر گذاشت؛ از ویستا گرفته تا ویندوز 10 که آن زمان بسیار جدید بود. نسخه‌ی منسوخ ویندوز XP و ویندوز 8 نیز در خطر بودند. مایکروسافت برای ویندوز XP پچی منتشر کرد علی‌رغم اینکه رسماً سال 2014 پشتیبانی خود را از روی آن برداشته بود. اکسپلویتی که آسیب‌پذیری‌های SMBv1 را مورد هدف قرار داه بود EternalBlue نام داشت که به دلایلی باید جداگانه آن را مورد بررسی قرار داد.

اما ابتدا باید با اسم کد دیگری موسوم به DoublePulsar آشنا شوید که کد مخربی است طراحی‌شده برای ایجاد بک‌در در سیستم مورد هدف. هم اکسپلویت EternalBlue و هم بک‌در DoublePulsar به ترتیب در ماه مارس و آوریل 2017 توسط گروه ShadowBrokers عمومی شدند. گفته می‌شود آنها در کنار سایر ابزارهای مخرب از یکی از بخش‌های آژانس امنیت ملی آمریکا سرقت شده بودند. کرم WannaCry از هر دو اجزا استفاده می‌کند: ابتدا این توانایی را بدست می‌آورد که کد مخب را از طریق EternalBlue اجرا کند و بعد از ابزار سفارشی‌سازی‌شده‌ی  DoublePulsar برای لانچ کردن پی‌لود به منظور رمزگذاری فایل‌ها و نمایش یادداشت باج استفاده می‌کند. افزون بر رمزگذاری فایل، واناکرای با شبکه  Tor با سرور C2 مهاجم نیز در تعامل است. بدین‌ترتیب با ارسال درخواست‌های مخرب به آدرس‌های رندوم آی‌پی خود را منتشر می‌کند. این همان چیزی است که سرعت توزیع باورنکردنی کرم را افزایش داد - ده ها هزار سیستم آلوده در ساعت!

کیل سوئیچ[2]

همان روز -12 می- یک وبلاگ‌نویس امنیت سایبری به نام  MalwareTech (که البته آن زمان ناشناس بود) با دقت و جزئیات کد واناکرای را بررسی کرد. او کشف کرد که آدرسی از فرم <very_long_nonsensical_set_of_characters>.com داخل کد اصطلاحاً بخیه شده است. نام دامنه ثبت نشده بود، بنابراین MalwareTech آن را برای خود ثبت کرد، در ابتدا اینطور فرض کرد کامپیوترهای آلوده از این آدرس برای ارتباط بیشتر با سرورهای C2 استفاده می‌کنند. اینطور شد که او ناخواسته اپیدمی WannaCry را متوقف کرد. اگرچه معلوم شد که تا عصر 12 می، پس از ثبت دامنه، WannaCry همچنان کامپیوترها را آلوده می‌کرد، اما داده‌های موجود در آنها را رمزگذاری نکرد. کاری که بدافزار انجام می‌داد، در واقع دسترسی به نام دامنه و در صورت عدم وجود، رمزگذاری فایل‌ها بود. از آنجایی که دامنه اکنون در دسترس بود، همه موارد بدافزار به دلایلی تلاش خود را متوقف کردند. چرا سازندگان از بین بردن باج افزار خود را اینقدر آسان کردند؟ به گفته MalwareTech، این یک تلاش ناموفق برای فریب تجزیه و تحلیل سندباکس خودکار بود.

سندباکسینگ به این صورت عمل می‌کند:  برنامه‌ای مخرب در یک محیط مجازی ایزوله اجرا می‌شود که امکان تجزیه و تحلیل در زمان واقعی رفتار آن را فراهم می‌کند. این روشی رایج است که به صورت دستی توسط تحلیلگران ویروس یا به صورت خودکار انجام می‌شود. محیط مجازی طوری طراحی شده که به بدافزار اجازه می‌دهد به طور کامل اجرا شده و تمام اسرار خود را در اختیار محققین بگذارد. اگر بدافزار فایلی را درخواست کند، سندباکس وانمود می‌کند آن فایل وجود دارد. اگر به صورت آنلاین به یک سایت دسترسی پیدا کند، محیط مجازی می‌تواند پاسخ را تقلید کند. شاید نویسندگان WannaCry بر این باور بودند که می‌توانند از تجزیه و تحلیل sandbox دوری کنند: اگر کرم به دامنه‌ای که وجود ندارد دسترسی پیدا کرده و پاسخی دریافت کند، قربانی واقعی نیست و فعالیت مخرب باید پنهان شود. چیزی که آنها احتمالاً به ذهنشان خطور نمی‌کرد این بود که کد کرم فقط در سه ساعت از هم جدا شد و نام دامنه "مخفیِ" آن پیدا و ثبت شد.

MalwareTech: «هکری که اینترنت را نجات داد»

MalwareTech برای پنهان کردن هویت اصلی خود دلایلی داشت. اسم واقعی او مارکوس هاچینز است. موقع شروع همه‌گیری WannaCry او فقط 23 سال داشت. گرچه بسیار جوان بود اما با افراد شروری بُر خورد و سر از تالارهای جرایم سایبری درآورد. از جرایم او می‌توان به نوشتن برنامه‌ای برای سرقت پسوردهای مرورگر اشاره کرد. او همچنین برنامه‌ای نوشت تا از طریق تورنت‌ها، کاربران را آلوده کند و بعد از آن برنامه برای ساخت 8 هزار بات‌نت قوی استفاده کرد. اوایل 2000 مُهره‌های بزرگ‌تر او را کشف کردند و از او دعوت بعمل آوردند برای نوشتن یک تکه بدافزار Kronos. مارکوس برای کارش در هر فروش در بازار خاکستری پورسانت دریافت می‌کرد: سایر مجرمان سایبری این بدافزار را برای انجام حملات خود خریداری کردند. هاچینز فاش کرد که حداقل در دو نوبت نام واقعی و آدرس منزل خود را در بریتانیا به همدستانش داده است.

این اطلاعات بعداً به دست مجریان قانون ایالات متحده افتاد. مردی که «اینترنت را نجات داد» دیگر ناشناس نبود. دو روز بعد، خبرنگاران در خانه او را زدند: دختر یکی از روزنامه‌نگاران همان مدرسه مارکوس رفت و می‌دانست او از نام مستعار MalwareTech استفاده می‌کند. او ابتدا از صحبت با مطبوعات اجتناب می‌کرد، اما در نهایت با آسوشیتدپرس مصاحبه کرد. در آگوست 2017، اکنون به عنوان یک مهمان محترم، برای کنفرانس معروف هکر DEF CON به لاس وگاس دعوت شد. آنجا بود که دستگیر شد. هاچینز پس از گذراندن چندین ماه در حبس خانگی و اعتراف جزئی به اتهامات مربوط به کرونوس، براحتی با یک حکم تعلیقی کنار رفت. در یک مصاحبه بزرگ با مجله Wired، او گذشته جنایی خود را به عنوان یک اشتباه تاسف‌بار توصیف کرد: او این کار را بیشتر برای‌ نشان دادن مهارت‌های خود و به رسمیت شناخته شدنش در جامعه زیرزمینی انجام می‌داد و دغدغه‌ی پول نداشت. در زمان WannaCry، او به مدت دو سال هیچ تماسی با مجرمان سایبری نداشت و وبلاگ MalwareTech او مورد مطالعه و تحسین کارشناسان قرار گرفت.

آیا آن، آخرین همه‌گیری بود؟

همین تازگی‌ها از کرم ILOVEYOU برایتان نوشتیم که همه‌گیری بزرگی در سال 2000 ایجاد کرد. این کرم با واناکرای وجوه تشابه زیادی داشت: هر دو کرم‌ها از طریق آسیب‌پذیری در ویندوز که برایش از قبل پچی هم ارائه شده بود خود را توزیع کردند. اما همه کامپیوترها هم موقع این عفونت، آپدیت نشده بودند. نتیجه اینکه صدها هزار نفر در سراسر جهان قربانی شدند و خسارتی میلیون دلاری به شرکت‌ها وارد شد و کلی داده کاربری نیز در این میان از بین رفت. البته بین این دو کرم تفاوت‌هایی نیز وجود دارد: سازندگان واناکرای (فرض می‌شود از سوی دولت کره جنوبی بوده باشد) از ابزارهای هک موجود در دامنه عمومی استفاده کردند و این درحالیست که  ILOVEYOU صرفاً چندتایی فایل را پاک کرد. و البته واناکرای از کاربران که کل داکیومنت‌های خود را از دست داده بودند باج خواست. خوشبختانه، نویسندگان WannaCry با تعبیه یک کیل سوئیچ که بر علیه آنها کار می‌کرد، بامزگی به خرج دادند. داستان این اپیدمی همچنین در مورد نبوغ شکارچیان بدافزار است که می‌توانند کار کسی دیگر را بردارند، در کوتاه‌مدت آن را تجزیه و تحلیل نموده و یک مکانیسم دفاعی ایجاد کنند.

اپیدمی WannaCry توسط ده‌ها شرکت مورد مطالعه قرار گرفت و بیشترین توجه رسانه‌ها را به خود جلب کرد، که آن را به استثنای قاعده تبدیل می‌کند. این روزها بعید است که حمله باج افزار به یک تجارت خاص صفحه اول اخبار شود: در واقع، به اینگونه است که خودتان هستید و شکنجه‌گرتان!. بنابراین، مهم است که متخصصان برتر را در عملیات کنترل آسیب مشارکت دهید و تسلیم اخاذی نشوید. همانطور که مورد WannaCry نشان می‌دهد، حتی یک حمله بسیار پیچیده و موثر نیز می‌تواند پاشنه آشیل خود را داشته باشد.

 

[1] cryptoworm

[2] Kill Switch

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    7,238,100 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    10,860,600 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    1,086,060 ریال10,860,600 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    72,443,100 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    10,246,500 ریال20,493,000 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    14,693,550 ریال29,387,100 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    15,718,200 ریال31,436,400 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    65,201,550 ریال130,403,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    78,242,550 ریال156,485,100 ریال
    خرید
  • Kaspersky Small Office Security

    250,670,100 ریال
    خرید
  • Kaspersky Small Office Security

    91,283,550 ریال182,567,100 ریال
    خرید
  • Kaspersky Small Office Security

    291,966,600 ریال
    خرید
  • Kaspersky Small Office Security

    104,324,550 ریال208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    333,987,600 ریال
    خرید
  • Kaspersky Small Office Security

    117,365,550 ریال234,731,100 ریال
    خرید
  • Kaspersky Small Office Security

    375,284,100 ریال
    خرید
  • Kaspersky Small Office Security

    119,539,050 ریال239,078,100 ریال
    خرید
  • Kaspersky Small Office Security

    382,529,100 ریال
    خرید
  • Kaspersky Small Office Security

    168,442,800 ریال336,885,600 ریال
    خرید
  • Kaspersky Small Office Security

    539,021,100 ریال
    خرید
  • Kaspersky Small Office Security

    217,346,550 ریال434,693,100 ریال
    خرید
  • Kaspersky Small Office Security

    695,513,100 ریال
    خرید
  • Kaspersky Small Office Security

    262,627,800 ریال525,255,600 ریال
    خرید
  • Kaspersky Small Office Security

    840,413,100 ریال
    خرید
  • Kaspersky Small Office Security

    498,090,300 ریال996,180,600 ریال
    خرید
  • Kaspersky Small Office Security

    1,593,893,100 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد