روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛

مقدمه

اگر یکی از گوسفندان از روی خندق بپرد بقیه‌ هم دنبالش می‌کنند. این جمله در زبان‌های مختلف به حالت ضرب‌المثال بیان می‌شود و می‌شود برای توسعه‌دهندگان باج‌افزار نیز به کارش برد. در مقالات قبلی در مورد افزایش محبوبیت زبان‌های مستقل از پلت‌فرم و پشتیبانی ESXi گفته‌ایم و اخیراً هم توضیح داده‌ایم چطور باج‌افزارها دارند متودهای تکثیر را از همدیگر وام می‌گیرند. ماه گذشته گزارش شد متغیرهای باج‌افزار دارند به متودهای شخصی برای کپی کردن و اجرای بدافزار روی ماشین‌های دیگر داخل شبکه دست می‌یابند. همچنین خبرهایی هم می‌شنویم از سوءاستفاده از درایورهای آسیب‌پذیر که ممکن است در آینده نیز به محبوبیت برسند. در این مقاله قصد داریم گزیده‌ای بدهیم از همه این گزارشات اخیر. با ما همراه بمانید.

برخی آمارهای باج‌افزاری

در طول ده ماه اول سال 2022، سهم کاربرانی که تحت تأثیر باج‌افزار هدف‌‌دار قرار گرفته‌اند در میان همه کاربران تحت‌الشعاع، تقریباً دو برابر شده و به 0.026 درصد رسیده است.

LockBit

LockBit یکی از محبوب‌ترین، مبتکرانه‌ترین و در حال توسعه‌ترین عضو خانواده‌های باج افزار فعلی است. اخیراً متوجه شدیم که گزینه جدیدی به سایت سازنده LockBit اضافه شده است. علاوه بر PsExec، شایع‌ترین روش توزیع باج‌افزار به طور کلی، LockBit اکنون از «خودتکثیری» پشتیبانی می‌کند. ما همیشه به جزئیات مکانیزم خودتکثیری علاقه داشته‌ایم خصوصاً این چطور کار می‌کند. این باج افزار به عنوان یک سرویس بر روی دستگاه آلوده نصب می‌شود. با netapi32.DsGetDcNameW تماس می گیرد تا جزئیات دامنه‌ای را که دستگاه آلوده به آن تعلق دارد دریافت کند و سپس یک لوله با نام ایجاد می‌کند. به محض تکمیل عملیات، ماژول اعتبار سیستم عامل را تخلیه و دسته ها را از explorer.exe و lsass.exe با کمک لوله نامگذاری شده که قبلاً ایجاد شده است، دریافت می‌کند. اینجاست که خود را متوقف می‌کند. اساساً هیچ خودتکثیری وجود ندارد - این بیشتر به معنای دامپینگ اعتبار است. اگرچه این روزها بسیار ترند شده – کارکردهای بیشتری برای کاهش اتکا به سایر ابزارها در این باج‌افزار جاسازی می‌شود- اما خودتکثیری شکل نگرفته زیرا دیگر نیازی به استفاده از ابزارهایی مانند Mimikatz نیست.

Play

Play سویه جدید باج‌افزار است که اخیراً بدان برخورده‌ایم. هیچ شباهت کدی با سایر نمونه‌های باج‌افزاری ندارد. این باج‌افزار به شدت مبهم‌سازی شده و از این رو تحلیل آن به شدت پیچیده است. Play در فاز اولیه توسعه‌ است. برای مثال هیچ سایت افشاگری وجود ندارد و قربانیان باید از طریق آدرس ایمیل موجود در یادداشت باج با مجرمان تماس بگیرند. با وجود این، Play همچنین دارای قابلیت‌هایی است که اخیراً در سایر انواع باج افزار یافت شده است: خود انتشاری. Play آی‌پی‌های مختلف را روی یک زیرشبکه جمع آوری می‌کند و سعی می‌کند منابع SMB را با کمک NetShareEnum  کشف کند، که منجر به ترافیک ARP می‌شود. ایده پس این فعالیت، توزیع باج‌افزار به سایر دستگاه‌های یک شبکه واحد است.

وقتی منبع SMB پیدا شد، باج‌افزار کانکشن برقرار کرده و سعی دارد نصبش کند و در ادامه خود را در سیستم ریموت توزیع و اجرا می‌کند.

اکسپلویتِ درایور

درایورها می‌توانند حاوی آسیب‌پذیری‌هایی باشند که شاید مهاجمین بتوانند آن‌ها را اکسپلویت کنند. یکی از همین درایورها Anti Rootkit توسط Avast است. گرچه قبلاً هم این درایور توسط  AvosLocker اکسپلویت شده بود اما آسیب‌پذیری‌هایی که اکنون دارند اکسپلویت می‌شوند  (CVE-2022-26522،  CVE-2022-26523) قبلاً از دید مهاجمین دور مانده بود. با این اکسپلویت‌ها، مهاجمین می‌توانند مزایای خود را به سیستم هدف بالا برده و یا فرار سندباکس داشته باشند. این آسیب‌پذیری‌ها اوایل سال 2022 فیکس شدند. حداقل دو خانواده باج افزار AvosLocker و Cuba را می‌شناسیم که از این باج افزارها سوء استفاده می‌کنند. استفاده از این ترفند با درایورهای آسیب پذیر چند مزیت دارد.  در مرحله اول، سایر محصولات امنیتی در سیستم غیرفعال می‌شوند. ثانیاً، این یک راهکار امنیتی است در حال نصب است که منجر به هشدارهای کمتری می‌شود. سو اینکه با اکسپلویت درایور، مهاجمین می‌توانند فرآیندهای در حال اجرا بر روی دستگاه را از بین ببرند.

نتیجه‌گیری

توسعه‌دهندگان باج‌افزار کار رقبای خود را حسابی زیر نظر می‌گیرند. اگر یکی از آن‌ها کارکرد خاصی را پیاده‌سازی کرد که موفقیت‌آمیز بود احتمال اینکه آن‌ها هم رویه را ادامه دهند زیاد است. برای همین است که می‌گوییم متود خودتکثیری محبوب شده و ممکن است شاهد نمونه‌های بیشتری از آن باشیم. درایورهای آسیب‌پذیر هم می‌توانند ترندی برای مهاجمین باشند.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.