استفاده از ضمیمه‌های جدید برای حفظ تازگی در باج‌افزار Locky

۱۸۸۴عاملان تهدید پشت صحنه‌ی باج‌افزار Locky، این باج‌افزار را یک قدم نسبت به ساز و کارهای دفاعی قربانیان، جلو برده‌اند. این دست‌آورد برای مهاجمان با تغییر مداوم نوع پرونده‌ی ضمیمه‌شده در هرزنامه‌ها حاصل شده است. گفتنی است این باج‌افزار از طریق پویش‌های هرزنامه‌ای منتشر می‌شود.

براساس گزارشی که ترندمیکرو منتشر کرده است، در حالی‌که ساز و کار تحویل و انتشار باج‌افزار با استفاده از هرزنامه و ضمیمه‌های آلوده ثابت باقی مانده است، مهاجمان این فرآیند توزیع را با چندین نوع پرونده‌ی ضمیمه به گردش در آورده‌اند. در ابتدای سال و در ماه‌های ژانویه و فوریه، باج‌افزار Locky از طریق پرونده‌ doc. گسترش می‌یافت، اما در ماه‌های مارس و آوریل از پرونده‌ی rar. و در ماه‌های تابستان از ضمیمه‌های جاوا اسکریپت استفاده شد.

با توجه به گفته‌ی کریستوفر باد، مدیر ارتباطات تهدید ترندمیکرو، دلیل ترکیب مداوم چیزها با هم کاملاً مشخص است.

کریستوفر می‌گوید: «بازی موش و گربه بین مهاجم و مدافعان، دارای خطوط روشن و مشخصی نیست که مدافع در برابر مهاجم تسلیم شود. تاکتیک‌هایی که مهاجم استفاده می‌کند، بی‌اثر شده و مهاجم باید آن را تغییر دهد. مهاجم خوب در طول زمان به‌طور مداوم تاکتیک خود را تغییر می‌دهد تا مدافع را از حالت تعادل خارج کرده و دفاع را سخت‌تر کند.»

بدافزار Locky یکی از بدافزارهای به‌روزرسانی‌شده است که یکی از دلایل موفقیت این باج‌افزار نیز همین به‌روز بودن است. در حالت کلی تعداد باج‌افزارها سرسام‌آور است. ترمدمیکرو گزارش داد که در نیمسال اول، ۸۰ میلیون حمله‌ی باج‌افزاری را از نوع‌های مختلف شناسایی و مسدود کرده است.

کریستوفر می‌گوید: «در حالی‌که سایر گروه‌ها وقتی تغییری روی هوا در یک بدافزار ایجاد می‌کنند، آن را در قالب یک بدافزار جدید منتشر می‌کنند، مهاجم Locky بسیار باپشتکار و پیوسته به دنبال زوایای جدیدی برای حمله است.»

به هرحال تمامی این تغییرات می‌تواند به هیچ تبدیل شود اگر هدف مورد حمله، ساز و کار دفاع با آن را داشته باشد.

کریستوفر در ادامه گفت: «برای مدافعان که با محیط تهدید فعلی هماهنگ هستند و از تکنولوژی‌های حفاظتی بهره می‌برند، واقعا این مسئله پیچیده نیست: این موضوع بخشی از کسب و کار معمول است. تغییر دادن تاکتیک حمله، تاکتیک «تنظیم و فراموشی» در سمت مدافع را بی‌اثر می‌کند. محیط تهدیدی که در حال حاضر با آن مواجه هستیم با این رویکرد تغییر، بسیار خطرناک است.»

هرچند عاملان باج‌افزار Locky برای این تغییر آماده هستند و ویژگی‌ها و روش‌های جدیدی را اضافه کرده‌اند. این تغییرات شامل استفاده از پروند‌ه‌های جاوا اسکریپت در طول ماه‌های تابستان است و ترند میکرو نیز ضمیمیه‌های اسکریپت ویژوال بیسیک که در قالب پرونده‌های wsf. و پرونده‌های اسکریپت ویندوز توسعه داده شده بود را مشاهده کرده است. مواردی که در ادامه شاید مشاهده شود، می‌تواند خیلی خطرناک باشد.

پرونده‌های ضمیمه در قالب WSF دارای درجه‌ بالایی از انعطاف‌پذیری در حمله هستند چرا که مهاجم را قادر می‌سازند که از زبان‌های اسکریپت‌نویسی بیشتری استفاده کند و این موضوع، دفاع را بسیار چالش‌برانگیز می‌کند.

محققان ترندمیکرو دلایل زیادی دارند که معتقد هستند عاملان Locky همه چیز را تغییر خواهند داد. در این گزارش عنوان شده که: «ما حدس می‌زنیم عاملان پشت بدافزار Locky از سایر پرونده‌های اجرایی همچون COM ،.BIN. و CPL. برای توزیع این تهدید استفاده خواهند کرد.»

عجیب اینجاست که عاملان این بدافزار تمام توجه خود را بر روی ضمیمه‌ها متمرکز کرده و بخش مهندسی اجتماعی حمله را ثابت رها کرده‌اند. به منظور بررسی و تجدید نظر در این موضوع، ترندمیکرو رایانامه‌هایی با موضوعات ساده و معمول که روزانه توسط شرکت‌های بزرگ استفاده می‌شود، مانند گزارش حسابرسی، گزارش بودجه و رسید پرداخت مشاهده کرده است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap