بررسی فرآیند آلودگی با باج‌افزار Locky

در ماه‌های اخیر، تعداد شبکه‌ها و کاربرانی که توسط باج‌افزاری به نام Locky آلوده شده‌اند، به طور قابل ملاحظه‌ای افزایش یافته است. این باج‌افزار پرونده‌های قربانی را قفل کرده و از وی می‌خواهد مبلغی را به عنوان باج به صورت بیت کوین بپردازد. اما این تهدید نرم افزاری چگونه به سامانه‌های کامپیوتری نفوذ کرده و اطلاعات را رمز می‌کند؟ در اینجا به نقل از آزمایشگاه تحقیقاتی ESET در آمریکای لاتین مراحل و روش‌‌هایی را توضیح می‌دهیم که مجرمان سایبری برای دور زدن لایه‌های امنیتی از آن‌ها استفاده می‌کنند. نمودار زیر نشان می‌دهد که چگونه فرآیند آلودگی با Locky منجر به بارگیری پرونده‌ی اصلی بدافزار می‌شود. در ابتدا، کاربر رایانامه‌ای را طبق یک موضوع و به چند زبان دریافت می‌کند. این رایانامه حاوی پیوستی به صورت یکی از اسناد آفیس مایکروسافت می‌باشد. این سند یک پرونده‌ی BAT می‌سازد که این پرونده هم پرونده دیگری به صورت کد VB اسکریپت (VBScript) ایجاد می‌کند. باج‌افزار که در واقع تهدید اصلی محسوب می‌شود بعداً توسط این پرونده‌ها بارگیری می‌شود. ESET این پرونده‌ها را تحت عنوان win۳۲/Filecoder.locky کشف کرده است.

۱_۵۵
در ادامه هرکدام از اجزای این نمودار را قدم به قدم توضیح داده و می‌گوییم که چگونه این عملیات مخرب را برای رسیدن به هدفشان انجام می‌دهند. و در پایان شناسایی کنش‌گرایانه که می‌تواند از کاربران محافظت کند را بررسی می‌کنیم.

اسناد با ماکروهای مخرب
اسناد مخرب حاوی ماکروهای مخربی هستند و هنگامی اجرا می‌شوند که کاربر بر روی «فعال کردن محتوا» کلیک کند. همان‌طور که در تصویر زیر نشان داده شده است، هنگامی که ماکروها فعال شوند کد به صورت خودکار آلودگی را شروع می‌کند.
این ماکروها را که اولین مرحله آلودگی را انجام می‌دهند می‌توان دقیق‌تر بررسی کرد. در بین آن‌ها، سه خط کد مخصوص مشخص شده است که پرونده‌ای با نام ugfdxafff.bat را ساخته‌اند. مطابق تصویر زیر دستور «نوشتن» (write) را می‌بینیم که کد قفل گذاری پایه ۶۴ را در این پرونده‌ می‌نویسد و در پایان دستورالعمل «پوسته» (shell) که فایل BAT را اجرا می‌کند.
Macro_EN-7osx3

اسکریپت‌های BAT و VBS
هدف پرونده‌ی ugfdxafff.bat ایجاد فایل اسکریپت VBS است که در امتداد آن کار می‌کند و شامل یک URL برای بارگیری محتوای بدافزار است که در این مورد asddddd.exe نام دارد.
در پایان پرونده‌ی BAT را با استفاده از فرمان « asddddd.exe را شروع کن» اجرا می‌کند و VBS را حذف می‌کند؛ خودش را نیز حذف می‌کند تا هیچ گونه مدرکی از سامانه باقی نماند. این عملیات را می‌توان در تصویر زیر مشاهده نمود.

Screen-Shot-2016-03-31-at-19.03.57

شناسایی کنش‌گرایانه
یکی از مهم‌ترین موردهایی که هنگام بررسی چگونگی عملکرد Locky باید به خاطر داشته باشید، این است که این مجموعه عملیات واسطه که در آن راهکار امنیتی با آگاهی و آموزش کاربر ترکیب می‌شود موجب می‌شود حمله مسدود شود، پیش از آن‌که به صندوق دریافتی رایانامه برسد و یا پیش از آن‌که ماکروها فعال شوند.
قبول هرزنامه‌ها توسط کاربران یا کارمندان شرکت یکی از راه‌های ورود این گونه تهدیدات به رایانه‌هاست، که این باج‌افزارها پس از ورود به سامانه‌های شرکت منجر به دردسارهای زیادی از جمله از دست رفتن اطلاعات می‌شوند.

نتیجه گیری
باید خطرهای ناشی از فعال شدن ماکروها در اسناد آفیس مایکروسافت را در نظر بگیریم، چرا که نه تنها باعث آلودگی کل شبکه شرکت‌می‌شوند بلکه باعث می‌شوند اطلاعات و پرونده‌های شخصی یا کاری نیز در معرض خطر قرار گیرند. بنابراین لازم است به کاربران درباره‌ی جرایم سایبری و تاثیرات تهدیداتی مثل باج‌افزارها آموزش‌هایی داده شود. کاربران باید بهترین اقدامات را برای امنیت رایانه‌ها به کار گیرند. البته پیش از همه این‌ها باید از محصولات ضدبدافزاری به‌روز استفاده کنند تا از ورود چنین کدهای مخربی جلوگیری شود.
ناکفته نماند که این روش یکی از روش‌های انتقال باج‌افزار Locky است و روش دیگر به کمک پرونده‌ی جاوااسکریپت قبلاً بررسی شده است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.