حمله بدافزار باجگیری دروپال با نام Rex

در ماههای اخیر چندین گزارش از جمله بدافزار باجگیری بر روی CMS های معروف ارسال شده است که البته در خصوص Drupal  حجم بیشتری را تشکیل داده بود. این بدافزار بصورت رسمی نامی نداشته اما به آن لقب Rex داده شده است. در می ۲۰۱۶ گزارشی مبنی بر آلوده شدن ۴۰۰ وب سایت دروپال به اسکنر های Acunetix داده شده که احتمال افزایش فعالیت این بدافزار می رود و البته تحقیقات اخیر شرکت اکیونتیکس حاکی از آن است که این بدافزار سامانه های مدیریت محتوای wordpress و سایر CMSهای معروف را نیز آلوده می کند.

Rex چگونه کار می کند؟

نحوه عملکرد این بدافزار بسیار قدیمی و مشخص بوده و مرتبط با آسیب پذیری تزریق SQL دروپال ۷ پیش از افزونه امنیتی ۷٫۳۲ می باشد (CVE-2014-3704).  در ابتدای عملکرد این بدافزار فایل های درون میزبانی را همانند changelog.txt بررسی نموده و در صورتی که نسخه آن به فرض برای دروپال زیر نسخه ۷ باشد، وب سایت را آلوده نموده و اعتبار کاربر مدیریت را دزدیده و پیغام  زیر را چاپ می کند.

Website is locked. Please transfer 1.4 BitCoin to address XXXXXXXX to unlock content.

این بدافزار امکان ارتباط با سرور C&C توسط P2P را دارد. گاها ایمیلی نیز برای تمامی ایمیل های معرفی شده درون وب سایت ارسال نموده که در صورتی که مبلغ درخواستی پرداخت نشود به وب سایت حمله DDoS اعمال می گردد.

تشخصی و برطرف نمودن

به منظور جلوگیری از درج این بدفزار در وب سایت می بایستی آخرین نسخه و آخرین افزونه های امنیتی CMS دروپال برای وب سایت اعمال شود که البته این اسیب پذیری به راحتی توسط اسکنر های امنیتی Acunetix قابل شناسایی می باشد همچنین در صورتی که وب سایت شما آلوده به این بدافزار شد، کارشناسان امنیتی نماد امنیت وب حداکثر طی مدت ۲۴ ساعت موارد را برطرف نموده و درصورتی که وب سایت دارای تغییرات امنیتی دیگری باشد آن را به حالت اول باز می گردانند.

image00-3

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.