تبیان، دستیار زندگی
برخلاف بیشتر باج افزارها، Sorebrect به گونه ای طراحی شده است تا سرور سازمان ها و نود شبکه ها را مورد هدف قرار بدهد. پس از آلوده شدن سیستم، کد تزریق شده در سیستم شروع به رمزنگاری فایل بر روی سیستم محلی و سیستم های متصل به آن در شبکه می کند.
بازدید :
زمان تقریبی مطالعه :

موج بازی باج‌افزارها!

برخلاف بیشتر باج‌افزارها، Sorebrect به گونه‌ای طراحی شده است تا سرور سازمان‌ها و نود شبکه‌ها را مورد هدف قرار بدهد. پس از آلوده شدن سیستم، کد تزریق شده در سیستم شروع به رمزنگاری فایل بر روی سیستم محلی و سیستم‌های متصل به آن در شبکه می‌کند.

فرآوری: آزاده مرنی -بخش ارتباطات تبیان
موج بازی باج‌افزارها!

باج افزارها، گونه ای از بدافزارها هستند که دسترسی به فایل های کامپیوتر قربانی را با رمزکردن غیر ممکن می سازد.سرعت رشد و توزیع باج افزارها که بصورت پیاپی به جهت شناسایی نشدن توسط آنتی ویروس ها خود را آپدیت می کنند به شدت در حال افزایش و رشد چشمگیریست و در نتیجه مقابله با آنها اگر نگوییم غیر ممکن ولی بشدت مشکل و سخت است.

روند باج‌افزار Sorebrect به گونه‌ای است که کد مخرب را در یک فرآیند قانونی سیستم مانند svchost.exe بر روی سیستم مورد هدف تزریق کرده و برای فرار از تشخیص داده شدن و شناسایی نشدن به ‌صورت خودکار خود را نابود می‌کند.

گسترش باج افزار Sorebrect با قابلیت تزریق کد در سراسرجهان

در مورد این موضوع که هکرها با گذشت زمان ماهرانه‌تر عمل می‌کنند و با هوشمند شدن اشیاء روند حمله آنها هم هوشمندانه‌تر می‌شود، شکی نداریم. آنها حمله‌های جدید خود را با روش‌های مخفیانه انجام می‌دهند و کدهای خود را با شیوه‌های موذیانه وارد سیستم می‌کنند.

مسلما مجرمان دست روی دست نمی‌گذارند تا کارشناسان امنیتی بتوانند راه‌های مقابله با آنها را منتشر کنند. اینطور که به نظر می‌رسد مجرمان در حال تغییر روش‌های سنتی حمله هستند تا تشخیص دادن آنها به این سادگی‌ها نباشد.

اما محققان امنیتی به تازگی یک باج‌افزار fileless جدید را کشف کرده‌اند که آن را "Sorebrect " نامیده‌اند. روند عملکرد این باج افزار به گونه‌ای است که کد مخرب را در یک فرآیند قانونی سیستم مانند svchost.exe بر روی سیستم مورد هدف تزریق کرده و برای فرار از تشخیص داده شدن و شناسایی نشدن به ‌صورت خودکار خود را نابود می‌کند.

برخلاف بیشتر باج‌افزارها، Sorebrect به گونه‌ای طراحی شده است تا سرور سازمان‌ها و نود شبکه‌ها را مورد هدف قرار بدهد. پس از آلوده شدن سیستم، کد تزریق شده در سیستم شروع به رمزنگاری فایل بر روی سیستم محلی و سیستم‌های متصل به آن در شبکه می‌کند.

این باج‌افزار fileless ابتدا اعتبار‌نامه‌‌های مدیریتی را با روشی خشونت آمیز به خطر می‌اندازد و سپس از ابزار command-line مایکروسافت با نام " Sysinternals PsExec" برای رمزنگاری فایل ها استفاده می‌کند.

به‌ منظور حفظ و سالم نگه‌ داشتن فایل‌های مهم و پرونده‌ های دیجیتالی، همیشه و به ‌صورت مرتب از آن‌ها و در یک محل ذخیره خارجی که همیشه به سیستم متصل نیست، بک آپ بگیرید.

کمپانی Trend Micro برای استفاده از PsExec می‌گوید: به ‌جای آنکه مجرمان یک login session را آماده و از آن استفاده کنند، یا اینکه به ‌صورت دستی بدافزار مورد نظر را مانند RDPها به سیستم مورد هدف انتقال دهند، آنها با به کار گیری این ابزاردستورات را از راه دور اجرا و عملی می‌کنند.

رمزنگاری فایل های به اشتراک گذاشته‌شده در یک شبکه توسط Sorebrect

باج‌ افزار Sorebrect زیرکانه عمل می‌کند. این گونه از بدافزارها تمامی شبکه‌‌های داخلی را جستجو می‌کند تا دیگر کامپیوترهای متصل را که دارای فایل‌های به اشتراک گذاشته هستند پیدا کند و این فایل‌ها را نیز قفل ‌کند.

محققان می‌گویند: "اگر فولدر به اشتراک گذاشته ‌شده گزینه دسترسی به‌ صورت خواندن و نوشتن را برای همه افراد فعال کرده باشد، این فایل‌ ها نیز رمزگذاری خواهند شد".

اما این باج افزار در مرحله نهایی تمامی logها را بر روی سیستم آلوده‌ شده توسط wevtutil.exe و shodow copy ها با استفاده از vssadmin پاک می‌کند. این logها می‌توانند شواهد قانونی مانند اجرا شدن یک فایل بر روی سیستم و زمان اجرای آن‌ها را در اختیار قرار دهند که این باج‌افزار با پاک کردن این logها به ‌سختی تشخیص داده می‌شود و به گونه‌ای ردی از خود باقی نمی گذارد.

علاوه براین Sorebrect از پروتکل شبکه Tor استفاده می‌کند تا ارتباطات خود را با سرور C&C خود به‌ صورت مخفیانه انجام دهد که این کارش مشابه روش استفاده شده در دیگر بدافزارها است.

گسترش Sorebrect در سراسر جهان

این باج افزار به طور کلی با هدف سیستم‌ های متعلق به صنایع مختلف ازجمله تولیدکننده‌ ها، فن‌آوری و ارتباطات طراحی شده است. بر طبق گفته شرکت Trend Micro، باج افزار Sorebrect در ابتدا کشورهایی در خاورمیانه مانند کویت و لبنان را مورد هدف قرار داده بود اما از ماه گذشته، این تهدید شروع به آلوده کردن سیستم‌‌ها در کانادا، چین، کرواسی، ایتالیا، ژاپن، مکزیک، روسیه، تایوان و ایالات‌ متحده کرده است.

طبق گفته محققان امنیتی، با توجه به سودی که این روزها باج افزارها از حمله‌های خود کسب می‌کنند، نباید تعجب کنیم که چرا باج‌افزارSorebrect راه خود را به دیگر کشورهای جهان و یا حتی به‌عنوان سرویس‌ دهنده به مجرمان سایبری دیگر نیز باز کرده است.

این اولین باری نیست که مجرمان باج‌افزارهای fileless را کشف می کنند. حدود دو ماه گذشته، محققان شرکت Talos یک حمله از نوع DNSMessenger را کشف کردند که به ‌طور کامل fileless بود و از توانایی‌های پیام‌ رسان DNS TXT استفاده می‌کرد تا سیستم‌ها را به خطر بیندازد.

همچنین در فوریه ۲۰۱۷، محققان لابراتوار کسپرسکی یک بدافزار fileless را کشف کردند که به ‌تنهایی در حافظه کامپیوترهای مورد هدف قرار می‌گرفت و بانک‌ها، شرکت‌های مخابراتی و سازمان‌های دولتی را در ۴۰ کشور مختلف هدف قرار داده بود.

رایج ترین راه های مقابله با باج افزار

بهترین راه مقابله با این باج افزارها، همانطور که در مقالات قبلی هم مکرر تکرار کردم، روش های پیشگیرانه می باشد. روش هایی از قبیل:

- تهیه نسخه پشتیبان بصورت منظم و مدون در بازه های زمانی از اطلاعات کاری و حساس

- نصب آنتی ویروس و حتما به روز رسانی آن در بازه های زمانی کوتاه

- نصب آنتی اسپای در کنار آنتی ویروس و البته به روز رسانی

- راه اندازی فایروال و پیکربندی مناسب

- رفتار صحیح در محیط اینترنت و عدم مراجعه به سایت های نامطمئن

- عدم کلیک بر روی لینک های نامعتبر

- عدم باز کردن پیوست های ایمیل های ناشناس

- نصب مرورگر مناسب و البته به روز رسانی مناسب

- نصب نرم افزارهای مطمئن و از سایت های معتبر و در ضمن به روز رسانی آنها

- عدم نصب رسانه های ذخیره ساز قابل حمل و نامطمئن


منابع : ایتنا / همشهری آنلاین