موج بازی باجافزارها!
برخلاف بیشتر باجافزارها، Sorebrect به گونهای طراحی شده است تا سرور سازمانها و نود شبکهها را مورد هدف قرار بدهد. پس از آلوده شدن سیستم، کد تزریق شده در سیستم شروع به رمزنگاری فایل بر روی سیستم محلی و سیستمهای متصل به آن در شبکه میکند.
باج افزارها، گونه ای از بدافزارها هستند که دسترسی به فایل های کامپیوتر قربانی را با رمزکردن غیر ممکن می سازد.سرعت رشد و توزیع باج افزارها که بصورت پیاپی به جهت شناسایی نشدن توسط آنتی ویروس ها خود را آپدیت می کنند به شدت در حال افزایش و رشد چشمگیریست و در نتیجه مقابله با آنها اگر نگوییم غیر ممکن ولی بشدت مشکل و سخت است.
روند باجافزار Sorebrect به گونهای است که کد مخرب را در یک فرآیند قانونی سیستم مانند svchost.exe بر روی سیستم مورد هدف تزریق کرده و برای فرار از تشخیص داده شدن و شناسایی نشدن به صورت خودکار خود را نابود میکند.
گسترش باج افزار Sorebrect با قابلیت تزریق کد در سراسرجهان
در مورد این موضوع که هکرها با گذشت زمان ماهرانهتر عمل میکنند و با هوشمند شدن اشیاء روند حمله آنها هم هوشمندانهتر میشود، شکی نداریم. آنها حملههای جدید خود را با روشهای مخفیانه انجام میدهند و کدهای خود را با شیوههای موذیانه وارد سیستم میکنند.
مسلما مجرمان دست روی دست نمیگذارند تا کارشناسان امنیتی بتوانند راههای مقابله با آنها را منتشر کنند. اینطور که به نظر میرسد مجرمان در حال تغییر روشهای سنتی حمله هستند تا تشخیص دادن آنها به این سادگیها نباشد.
اما محققان امنیتی به تازگی یک باجافزار fileless جدید را کشف کردهاند که آن را "Sorebrect " نامیدهاند. روند عملکرد این باج افزار به گونهای است که کد مخرب را در یک فرآیند قانونی سیستم مانند svchost.exe بر روی سیستم مورد هدف تزریق کرده و برای فرار از تشخیص داده شدن و شناسایی نشدن به صورت خودکار خود را نابود میکند.
برخلاف بیشتر باجافزارها، Sorebrect به گونهای طراحی شده است تا سرور سازمانها و نود شبکهها را مورد هدف قرار بدهد. پس از آلوده شدن سیستم، کد تزریق شده در سیستم شروع به رمزنگاری فایل بر روی سیستم محلی و سیستمهای متصل به آن در شبکه میکند.
این باجافزار fileless ابتدا اعتبارنامههای مدیریتی را با روشی خشونت آمیز به خطر میاندازد و سپس از ابزار command-line مایکروسافت با نام " Sysinternals PsExec" برای رمزنگاری فایل ها استفاده میکند.
به منظور حفظ و سالم نگه داشتن فایلهای مهم و پرونده های دیجیتالی، همیشه و به صورت مرتب از آنها و در یک محل ذخیره خارجی که همیشه به سیستم متصل نیست، بک آپ بگیرید.
کمپانی Trend Micro برای استفاده از PsExec میگوید: به جای آنکه مجرمان یک login session را آماده و از آن استفاده کنند، یا اینکه به صورت دستی بدافزار مورد نظر را مانند RDPها به سیستم مورد هدف انتقال دهند، آنها با به کار گیری این ابزاردستورات را از راه دور اجرا و عملی میکنند.
رمزنگاری فایل های به اشتراک گذاشتهشده در یک شبکه توسط Sorebrect
باج افزار Sorebrect زیرکانه عمل میکند. این گونه از بدافزارها تمامی شبکههای داخلی را جستجو میکند تا دیگر کامپیوترهای متصل را که دارای فایلهای به اشتراک گذاشته هستند پیدا کند و این فایلها را نیز قفل کند.
محققان میگویند: "اگر فولدر به اشتراک گذاشته شده گزینه دسترسی به صورت خواندن و نوشتن را برای همه افراد فعال کرده باشد، این فایل ها نیز رمزگذاری خواهند شد".
اما این باج افزار در مرحله نهایی تمامی logها را بر روی سیستم آلوده شده توسط wevtutil.exe و shodow copy ها با استفاده از vssadmin پاک میکند. این logها میتوانند شواهد قانونی مانند اجرا شدن یک فایل بر روی سیستم و زمان اجرای آنها را در اختیار قرار دهند که این باجافزار با پاک کردن این logها به سختی تشخیص داده میشود و به گونهای ردی از خود باقی نمی گذارد.
علاوه براین Sorebrect از پروتکل شبکه Tor استفاده میکند تا ارتباطات خود را با سرور C&C خود به صورت مخفیانه انجام دهد که این کارش مشابه روش استفاده شده در دیگر بدافزارها است.
گسترش Sorebrect در سراسر جهان
این باج افزار به طور کلی با هدف سیستم های متعلق به صنایع مختلف ازجمله تولیدکننده ها، فنآوری و ارتباطات طراحی شده است. بر طبق گفته شرکت Trend Micro، باج افزار Sorebrect در ابتدا کشورهایی در خاورمیانه مانند کویت و لبنان را مورد هدف قرار داده بود اما از ماه گذشته، این تهدید شروع به آلوده کردن سیستمها در کانادا، چین، کرواسی، ایتالیا، ژاپن، مکزیک، روسیه، تایوان و ایالات متحده کرده است.
طبق گفته محققان امنیتی، با توجه به سودی که این روزها باج افزارها از حملههای خود کسب میکنند، نباید تعجب کنیم که چرا باجافزارSorebrect راه خود را به دیگر کشورهای جهان و یا حتی بهعنوان سرویس دهنده به مجرمان سایبری دیگر نیز باز کرده است.
این اولین باری نیست که مجرمان باجافزارهای fileless را کشف می کنند. حدود دو ماه گذشته، محققان شرکت Talos یک حمله از نوع DNSMessenger را کشف کردند که به طور کامل fileless بود و از تواناییهای پیام رسان DNS TXT استفاده میکرد تا سیستمها را به خطر بیندازد.
همچنین در فوریه ۲۰۱۷، محققان لابراتوار کسپرسکی یک بدافزار fileless را کشف کردند که به تنهایی در حافظه کامپیوترهای مورد هدف قرار میگرفت و بانکها، شرکتهای مخابراتی و سازمانهای دولتی را در ۴۰ کشور مختلف هدف قرار داده بود.
رایج ترین راه های مقابله با باج افزار
بهترین راه مقابله با این باج افزارها، همانطور که در مقالات قبلی هم مکرر تکرار کردم، روش های پیشگیرانه می باشد. روش هایی از قبیل:
- تهیه نسخه پشتیبان بصورت منظم و مدون در بازه های زمانی از اطلاعات کاری و حساس
- نصب آنتی ویروس و حتما به روز رسانی آن در بازه های زمانی کوتاه
- نصب آنتی اسپای در کنار آنتی ویروس و البته به روز رسانی
- راه اندازی فایروال و پیکربندی مناسب
- رفتار صحیح در محیط اینترنت و عدم مراجعه به سایت های نامطمئن
- عدم کلیک بر روی لینک های نامعتبر
- عدم باز کردن پیوست های ایمیل های ناشناس
- نصب مرورگر مناسب و البته به روز رسانی مناسب
- نصب نرم افزارهای مطمئن و از سایت های معتبر و در ضمن به روز رسانی آنها
- عدم نصب رسانه های ذخیره ساز قابل حمل و نامطمئن
منابع : ایتنا / همشهری آنلاین