ردیاب باج‌افزار عمومی برای OS X

با هر باج‌افزار جدیدی که ظاهر می‌شود، محققان امنیتی می‌فهمند صرف‌نظر از این‌کهه ضدبدافزار چقدر سریع به‌روزرسانی می‌شود یا رمزگشاها چقدر سریع ساخته و به اشتراک گذاشته می‌شوند، راه‌های دفاعی هم‌چنان مورد رخنه قرار می‌گیرند.
مشکل این است که بیشتر راه‌های دفاعی برای نمونه‌های خاصی ساخته می‌شوند؛ آزمایشگاه کسپراسکی رمزگشای باج‌افزاری برای Cion Vault و Cryptor Bit ساخته است و سیسکو نیز ابزار مشابه‌ای برای رمزگشایی آلودگی‌های Tesla Crypt دارد.
تعداد سازوکارهای دفاعی عمومی اندک هستند. CryptoMonitor راهکار هم‌زمان آسان (Easy Sync Solutions) که در ماه ژانویه توسط MalwareBytes منتشر شد، برای مثال نمونه‌های بسیاری را روی ویندوز بیش از اینکه باج‌افزارها اجرا شوند و پرونده‌ها را رمزگذای کنند را شناسایی و مسدود می‌کند.
برای سامانه‌عامل OS X تعداد حملات باج‌افزارها به طور قابل توجهی اندک است و حتی سازو‌کار‌های شناسایی عمومی کمتر نیز می‌باشند.
محقق پاتریک واردل۱ که رهبر تیم تحقیقاتی در Synack است و به عنوان یک پژوهش‌گر در مورد مسائل امنیتی سامانه‌عامل شناخته شده است، امروز شناساگر باج‌افزار خود را با نام RansomWhere را عرضه کرد. این ابزار، راهنماهای خانگی روی دستگاه‌های OS X را برای فرآیندهای ناشناخته و نامطمئن کنترل می‌کند که پرونده‌ها را رمز گذاری می‌کنند.
این شناساگر هنگامی که فرآیندی را مسدود کرد به کاربر هشدار می‌دهد و منتظر می‌ماند تا کاربر به آن اجازه ادامه فرآیند دهد یا به آن پایان دهد.
واردل گفت: «من دیدم که راه‌های موجود کار نمی‌کنند و ضدبدافزارها هم نقص‌های خود را دارند. KeReg با یک اعتبارنامه‌ی ID اپل قانونی امضا شده است که از سد سامانه‌عامل به عنوان یک برنامه قانونی و معتبر می‌گذرد.
GateKeeper ابزار امنیتی OS X به نام GateKeeper هم آن را مسدود نمی‌کند. بنابراین باید فکری کنید و راه‌های انتخاب کنید که فقط برای یک نمونه خاص نباشد».
باج‌افزار KeRenger ماه گذشته منتشر شد و محققان شبکه‌های Palo Alto لقب اولین باج‌افزار OS X عملکردی به آن دادند. حقیقت این است که KeRenger با اعتبارنامه‌ی حقیقی اپل امضا شده است که به او اجازه می‌دهد از راه‌های حفاظتی OS X رد شود. اما این باج‌افزار یک دوره سه روزه دارد و این زمان به محققان فرصتی برای آگاهی دادن به اپل و Transmission می‌دهد تا گواهی را مسدود و بدافزار را از فهرست بارگیری‌های مشتری حذف کنند.
واردل گفت: «باج‌افزار یک راه خیلی خوب برای مجرمان است که بتوانند با آن پول بسیاری به جیب بزنند. اگر شما بتوانید به رایانه‌ای حمله کنید و حتی شماره کارت اعتباری کاربر را بدزدید، هیچ ایده‌ای برای استفاده از آن ندارید. در بهترین حالت باید کسی را پیدا کنید که بتواند پول را از این کارت بیرون بکشد.
حالا شما می‌توانید باج‌افزاری بنویسید و شاید بتوانید با آن یک نسخه از یک برنامه را باز کنید و آن را روی Pirate Bay (وب‌گاه به اشتراک‌گذاری پرونده‌های تورنت ) قرار دهید. همین روش کار باج‌افزارهاست که یک روش به دست آوردن و آسان پول است».
واردل توضیح داد که ابزار وی زمانی رفتاری را به عنوان باج‌افزار علامت گذاری می‌کند که تعدادی مشخصه داشته باشد، برای مثال تعیین کند که آیا به یک فرایند در حال اجرا اعتماد کند یا خیر. برای مثال فرآیندهای امضا شده توسط اپل یا فرآیندهایی که توسط کاربر تایید شوند. سپس این ابزار رفتار فرآیندهای غیر قابل اعتماد را کنترل می‌کند تا مشخص کند آیا پرونده‌های ساخته شده یا تغییر یافته، رمز گذاری شده‌اند یا خیر. اگر مشخص شد که این فرآیندها پرونده‌را رمزگذاری کرده‌اند، این ابزار سریعاً به کاربر هشدار می‌دهد و از کاربر می‌خواهد قدم بعدی را بر دارد .
واردل اعتراف کرد که نسخه ی ۱.۰ ابزار Ransome Where محدودیت‌هایی دارد و حتی ممکن است مورد حمله واقع شود.
او گفت این ابزار شناسایی در پاسخ به واکنشی صورت می‌گیرد و کاربر پیش از اینکه هشداری را دریافت کند ممکن است تعدادی پرونده را هم از دست دهد. این ابزار هم چنین عملیاتی که توسط اپل امضا شده باشد را قابل اعتماد دانسته و آلودگی‌های تزریق شده توسط یک عملیات امضا شده را شناسایی نمی‌کند. واردل جزییات فنی چگونگی کارکرد این ابزار را منتشر کرده است .
در ضمن واردل گفت که نسخه آینده‌ی Ransome Where ممکن است تمامی پرونده‌های دستگاه‌ها را نیز کنترل کنند. او همچنین مایل است که این ابزار شناسایی را در هسته مرکزی قرار دهد و بتواند در آن سطح نیز موثر باشد.
واردل گفت این اولین ابزاری است که زمان بندی در آن فوق العاده است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.