روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران) در مورد این موضوع که هکرها با گذشت زمان ماهرانه تر عمل می کنند و با هوشمند شدن اشیاء روند حمله ی آن ها هم هوشمندانه تر می شود، شکی نداریم. آن ها حمله های جدید خود را با روش های مخفیانه انجام میدهند و کدهای خود را با شیوه های موذیانه وارد سیستم می کنند.
مسلما مجرمان دست روی دست نمیگذارند تا کارشناسان امنیتی بتوانند راه های مقابله با آن ها را منتشر کنند. اینطور که به نظر می رسد مجرمان در حال تغییر روش های سنتی حمله هستند تا تشخیص دادن آن ها به این سادگی ها نباشد.
اما محققان امنیتی به تازگی یک باج افزار fileless جدید را کشف کرده اند که آن را "Sorebrect " نامیده اند. روند عملکرد این باج افزار به گونه ای است که کد مخرب را در یک فرآیند قانونی سیستم مانند svchost.exe بر روی سیستم مورد هدف تزریق کرده و برای فرار از تشخیص داده شدن و شناسایی نشدن به صورت خودکار خود را نابود میکند.
برخلاف بیشتر باج افزارها، Sorebrect به گونه ای طراحی شده است تا سرور سازمان ها و نود شبکه ها را مورد هدف قرار بدهد. پس از آلوده شدن سیستم، کد تزریق شده در سیستم شروع به رمزنگاری فایل بر روی سیستم محلی و سیستمهای متصل به آن در شبکه می کند.
این باج افزار fileless ابتدا اعتبارنامه های مدیریتی را با روشی خشونت آمیز به خطر می اندازد و سپس از ابزار command-line مایکروسافت با نام " Sysinternals PsExec" برای رمزنگاری فایل ها استفاده می کند.
کمپانی Trend Micro برای استفاده از PsExec می گوید: به جای آنکه مجرمان یک login session را آماده و از آن استفاده کنند، یا اینکه به صورت دستی بدافزار مورد نظر را مانند RDPها به سیستم مورد هدف انتقال دهند، آن ها با به کار گیری این ابزاردستورات را از راه دور اجرا و عملی می کنند.
رمزنگاری فایل های به اشتراک گذاشتهشده در یک شبکه توسط Sorebrect
باج افزار Sorebrect ریزکانه عمل می کند. این گونه از بدافزارها تمامی شبکه های داخلی را جستجو میکند تا دیگر کامپیوترهای متصل را که دارای فایلهای به اشتراک گذاشته هستند پیدا کند و این فایلها را نیز قفل کند.
محققان میگویند: "اگر فولدر به اشتراک گذاشته شده گزینه دسترسی به صورت خواندن و نوشتن را برای همه افراد فعال کرده باشد، این فایل ها نیز رمزگذاری خواهند شد".
اما این باج افزار در مرحله نهایی تمامی logها را بر روی سیستم آلوده شده توسط wevtutil.exe و shodow copy ها با استفاده از vssadmin پاک میکند. این logها میتوانند شواهد قانونی مانند اجرا شدن یک فایل بر روی سیستم و زمان اجرای آنها را در اختیار قرار دهند که این باجافزار با پاک کردن این logها به سختی تشخیص داده میشود و به گونه ای ردی از خود باقی نمی گذارد.
علاوه براین Sorebrect از پروتکل شبکه Tor استفاده میکند تا ارتباطات خود را با سرور C&C خود به صورت مخفیانه انجام دهد که این کارش مشابه روش استفاده شده در دیگر بدافزارها است.
گسترش Sorebrect در سراسر جهان
این باج افزار به طور کلی با هدف سیستم های متعلق به صنایع مختلف ازجمله تولیدکننده ها، فنآوری و ارتباطات طراحی شده است. بر طبق گفته شرکت Trend Micro، باج افزار Sorebrect در ابتدا کشورهایی در خاورمیانه مانند کویت و لبنان را مورد هدف قرار داده بود اما از ماه گذشته، این تهدید شروع به آلوده کردن سیستم ها در کانادا، چین، کرواسی، ایتالیا، ژاپن، مکزیک، روسیه، تایوان و ایالات متحده کرده است.
طبق گفته ی محققان امنیتی، با توجه به سودی که این روزها باج افزارها از حمله های خود کسب می کنند، نباید تعجب کنیم که چرا باجافزارSorebrect راه خود را به دیگر کشورهای جهان و یا حتی بهعنوان سرویس دهنده به مجرمان سایبری دیگر نیز باز کرده است.
این اولین باری نیست که مجرمان باج افزارهای fileless را کشف می کنند. حدود دو ماه گذشته، محققان شرکت Talos یک حمله از نوع DNSMessenger را کشف کردند که به طور کامل fileless بود و از تواناییهای پیام رسان DNS TXT استفاده میکرد تا سیستمها را به خطر بیندازد.
همچنین در فوریه 2017، محققان لابراتوار کسپرسکی یک بدافزار fileless را کشف کردند که به تنهایی در حافظه کامپیوترهای مورد هدف قرار میگرفت و بانکها، شرکتهای مخابراتی و سازمانهای دولتی را در ۴۰ کشور مختلف هدف قرار داده بود.
چگونه در برابر باج افزارSorebrect از خود محافظت کنیم؟
به خاطر این که این باج افزار تنها سازمان ها و مدیران سیستم را مورد هدف قرار داده است؛ جای نگرانی برای کاربران معمولی نیست. برای سازمان ها موارد زیر توصیه می شود:
- محدود کردن مجوز نوشتن کاربران: یکی از مهمترین عامل هاکه فایل های به اشتراک گذاشته شده در شبکه را در معرض آلوده شدن توسط این باج گیر افزار قرار میدهد این است که به تمامی کاربران اجازه کامل برای خواندن و نوشتن فایلها بر روی شبکه داده شود.
- محدود کردن اختیارات PsExe:PsExe را محدود کنید و اجازه اجرا شدن آن را فقط به مدیران سیستم بدهید.
- شبکه و سیستم خود را بروزرسانی کنید: بروزرسانی سیستمهای عامل، نرمافزارها و دیگر برنامه ها اقدامات مهمی است که نباید آن را دست کم گرفت.
- بک آپ گیری را فراموش نکنید:به منظور حفظ و سالم نگه داشتن فایلهای مهم و پرونده های دیجیتالی، همیشه و به صورت مرتب از آنها و در یک محل ذخیره خارجی که همیشه به سیستم متصل نیست، بک آپ بگیرید.
- نیروهای خود را نسبت به مسائل امنیت سایبری آگاه کنید: آموزش کارمندان در ارتباط با بدافزارها، شاخصهای تهدید و اقدامات امنیتی همیشه نقش مهمی در سازمانها به منظور جلوگیری از به وجود آمدن چنین تهدیداتی دارد.
- از راهکارهای امنیتی برای سازمان و کسب و کارهای کوچک استفاده کنید: راهکارهای امنیتی لابراتوار کسپرسکی برای کسب و کارها کوچکترین نشانه ی مشکوکی را شناسایی و فورا آن را مسدود می کند.
منبع: کسپرسکی آنلاین(ایدکو)
* کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.
