بدافزار Shamoon محصولات مجازی‌سازی را هدف قرار داده است

نسخه‌ی دوم بدافزار Shamoon توسط محققان امنیتی شبکه‌ی پالوآلتو کشف شده است. این بدافزار در نسخه‌ی جدید خود محصولات مجازی‌سازی را هدف قرار داده تا تأثیرات و تخریب‌های خود را افزایش داده و فرآیند بازیابی را برای سازمان‌ها مشکل کند.

بدافزار Shamoom که با نام مستعار Disttrack نیز شناخته می‌شود، یک بدافزار پاک‌کننده‌ی دیسک است و در سال ۲۰۱۲ زمانی‌که ۳۵ هزار رایانه متعلق به بخش نفت و گاز در شرکت آرامکو در عربستان سعودی را هدف قرار داد، شناخته شد. نسخه‌ی جدیدی از این بدافزار با نام Shamoon ۲ سازمان‌های مختلفی در خلیج فارس از جمله اداره‌ی هواپیمایی عربستان سعودی را هدف قرار داده است.

محققان امنیتی ۲ نسخه‌ از بدافزار Shamoon ۲ را مشاهده کرده‌اند. نسخه‌ی اولیه طوری پیکربندی شده که در تاریخ ۲۷ آبان شروع به پاک‌کردن پرونده‌ها بر روی ماشین آلوده می‌کند. این تاریخ برابر با پایان هفته‌ی کاری در عربستان سعودی است.
نسخه‌ی دوم نیز طوری پیکربندی شده که در تاریخ ۹ آذر در ساعت ۱:۳۰ بامداد به وقت عربستان سعودی، شروع به پاک کردن پرونده‌ها بر روی ماشین قربانی می‌کند. این ساعت موقعی است که بسیاری از کارکنان سازمان‌ها در عربستان سعودی در خانه‌های خود هستند.

بار داده‌ی بدافزار در نسخه‌ی دوم شبیه به بار داده در نمونه‌ی اولیه است و محققان نتوانستند تفاوت‌هایی را در آن‌ها پیدا کنند. مانند حمله‌ی اول این بدافزار از طریق شبکه‌ی محلی و با استفاده از گواهی‌نامه‌های حساب‌های دامنه‌ها توزیع شده است. این گواهی‌نامه‌ها مربوط به کاربران و مدیران شبکه بوده است. باتوجه به اینکه گذرواژه‌ها در این شبکه بسیار پیچیده بودند، محققان معتقدند که مهاجمان این گواهی‌نامه‌ها را در حملات قبلی بدست آورده‌اند.

محققان همچنین اشاره کردند در نمونه‌ی دوم بدافزار Shamoon ۲ گواهی‌نامه‌های محصولات مجازی‌سازی هوآوی به‌ویژه محصول زیرساخت رومیزی مجازی (VDI) مانند FusionCloud به چشم می‌خورد.
این گواهی‌نامه‌ها در اسناد رسمی شرکت‌های تولیدکننده‌ی محصولات مجازی‌سازی وجود دارد. مهاجمان نیز از این موضوع مطلع بوده و از آن استفاده کرده‌اند. همچنین این احتمال وجود دارد مهاجمان در حمله‌ی قبلی خود متوجه این قضیه شده باشند و یا اینکه امیدوار باشند سازمان‌ها این گواهی‌نامه‌های پیش‌فرض را تغییر ندهند.

در وبلاگ شبکه‌ی پالوآلتو آمده است: «راه‌حل‌های VDI می‌توانند با تهیه‌ی تصویری از سامانه‌ی حذف‌شده، در برابر بدافزارهایی همچون Disttrack محافظت کنند. همچنین به‌خاطر اینکه سامانه‌ی FusionCloud بر روی سامانه عامل لینوکس اجرا می‌شود، در معرض حذف پرونده‌ها توسط بدافزار ویندوزی Disttrack قرار ندارد و این یک اقدام متقابلِ معقول در برابر بدافزار Shamoon محسوب می‌شود.»

محققان در ادامه گفتند: «اگر مهاجمان بتوانند با استفاده از گواهی‌نامه‌های پیش‌فرض وارد رابط‌های مدیریتی VDI شوند، می‌توانند دستی فعالیت‌های تخریبی خود را انجام داده و حتی تغییراتی در تصویرهای تولیدشده از سامانه اعمال کنند.»

منبع: asis

کانال اخبار فناوری اطلاعات نماد امن

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap