بدافزار Shamoon دوباره عربستان سعودی را هدف قرار داده است

۶پس از گذشت ۵ سال که بدافزار Shamoon خرابی عظیمی را برای غول نفت دنیا، عربستان سعودی به بار آورد، این بدافزار دوباره بازگشته است. در سال ۲۰۱۲ بود که این بدافزار دیسک ۳۰ هزار رایانه در عربستان سعودی را از بین برد و تلاش داشت تولید نفت در این کشور را از بین ببرد. اینک این بدافزار دوباره پدیدار شده و ظاهراً چند سازمان در این منطقه را هدف قرار داده است.

شرکت FireEye دو روز پیش گزارش داد در اواسط ماه نوامبر گروه پاسخ به رویداد این شرکت و شرکت جرم‌شناسی Mandiant به وقوع اولین رخداد بدافزار Shamoon نسخه‌ی ۲.۰ در منطقه‌ی عربستان سعودی پاسخ داده‌اند. از آن موقع تاکنون این شرکت‌ها وقوع چند رخداد دیگر در این منطقه را گزارش داده‌اند.

همزمان سیمانتک نیز گزارش داد که بدافزار Shamoon که در سال ۲۰۱۲ در حملات علیه بخش انرژی عربستان سعودی استفاده شده بود، به‌طور شگفت‌آوری بازگشته و در موج جدیدی از حملات، برخی سازمان‌های این منطقه را هدف قرار داده است.

بدافزار Shamoon نسخه‌ی ۲.۰ یک نسخه‌ی جدید از بدافزار اصلی است و محققان حدس می‌زنند به دلیل شباهت روش این بدافزار با بدافزار قبلی، مهاجمان همان افراد قبلی باشند. در سال ۲۰۱۲ گروهی که خود را «برش شمشیر عدالت۱» می‌نامید، مسئولیت این حمله را به عهده گرفت ولی اجماع عمومی این بود که این حملات توسط نفوذگرانِ تحت حمایت دولت ایران انجام می‌شود.

مؤلفه‌های بدافزار Shamoon ۲.۰ همان مؤلفه‌های بدافزار اصلی است. این بدافزار از ابزار تجاری RawDisk برای از بین بردن دیسک‌ها استفاده می‌کند. این ابزار برای دسترسی مستقیم به پرونده‌ها، دیسک‌ها و پارتیشن‌های مختلف استفاده می‌شود. این ابزار بر روی یکی از روش‌های رونویسی، قابل پیکربندی است:
•در روش اول با استفاده از یک کلید تصادفی و RC۴ رمزنگاری انجام می‌شود.
•روش دوم رونویسی محتوا، با رشته‌های تصادفی یکسان است که این رشته‌ی تصادفی برای رمزنگاری نیز می‌تواند استفاده شود.
•در روش سوم پرونده‌ها و جداول پارتیشن با تصویر JPEG رونویسی می‌شود.

در هر دو حمله مربوط به سال ۲۰۱۲ و ۲۰۱۶ برای رونویسی و از بین بردن پرونده‌های دیسک از تصویر JPEG استفاده شده است. در سال ۲۰۱۲ تصویر مربوط به آتش کشیدن پرچم آمریکا بود و در سال ۲۰۱۶ یک تصویر نمادین از کودک سوری با نام آلن کردی که در دریا غرق شد، استفاده شده است.

بدافزار Shamoon ۲.۰ به سادگی ساعت سامانه را بازنشانی می‌کند. به گزارش محققان، این بدافزار منحصراً می‌خواهد کل دیسک را از بین ببرد چرا که نمونه‌های این بدافزار طوری پیکربندی شده تا داده‌ها دقیقاً در تاریخ ۲۷ آبان ۹۵ در ساعت ۲۰:۴۵ از بین برود. این تاریخ و ساعت زمان اتمام هفته‌ی کاری در عربستان سعودی است و نفوذگران در تلاش هستند تا در طول آخر هفته، خرابی حاصل از حمله‌ی خود را به حداکثر برسانند.

۱. Cutting Sword of Justice

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap