ساخت ابزاری برای استخراج اطلاعات پیکربندی از باج‌افزار Locky

۲محققان سیسکو تالوس ابزاری را توسعه داده‌اند که به کاربران اجازه می‌دهد اطلاعات پیکربندی را از باج‌افزار Locky استخراج کنند.
این ابزار با نام LockyDump، یک ابزار متن‌باز است که از تمامی نسخه‌های باج‌افزار Locky (که از پسوندهای Locky ،.zepto. و odin. استفاده می‌کنند) پشتیبانی می‌کند. با کمک این ابزار، محققان می‌توانند نمونه‌هایی از باج‌افزار Locky را در محیط مجازی اجرا کرده و پارامترهای پیکربندی آن مانند پارامتر AffilID در آن نمونه را بدست آورند.

برای اولین بار بود که در ماه فوریه باج‌افزار Locky مشاهده شد و به یکی از فعال‌ترین خانواده‌های باج‌افزاری تنبدیل شد که در هرزنامه‌ها نیز از پسوندهای مختلفی برای توزیع خود استفاده می‌کرد. مجرمان سایبری با استفاده از ماکرو در اسناد آفیس، ضمیمه‌های جاوا اسکریپت و پرونده‌های WSF و حتی استفاده از DLL ها تلاش داشتند از تشخیص فرار کنند.

براساس گفته‌های محققان با استفاده از این ابزار اطلاعاتی مانند شناسه وابستگی باینری Locky که یک مقدار اولیه مبتنی بر الگوریتم تولید دامنه (DGA) است و برای ارتباط با کارگزار دستور و کنترل استفاده می‌شود را می‌توان استخراج کرد. همچنین پرچم‌هایی که برای ذخیره بر روی سامانه‌ی آلوده، برای حفظ پایداری و پایان دادن به فرآیندها استفاده می‌شوند را می‌توان استخراج کرد.

همچنین ابزار LockyDump برای یافتن آدرس URL ی که درخواست‌ها از طریق آن به کارگزار دستور و کنترل ارسال می‌شوند، آدرس‌های IP هاردکدشده‌ی کارگزار C&C برای بازیابی اطلاعات DGA، کلیدهای RSA که برای رمزنگاری استفاده می‌شود همراه با طول کلید و اعداد اولی که استفاده می‌کند، پیام باج‌خواهی که پس از رمزنگاری نمایش داده می‌شود و بدست آوردن آدرس دروازه‌ی پرداخت باج (که تحت شبکه‌ی Tor کار می‌کند) استفاده می‌شود.

محققان امنیتی سیکو تالوس می‌گویند: «بدست آوردن اطلاعات وابستگی مربوط به نمونه‌های باج‌افزار Locky امکان ردیابی تاریخی وابستگی‌های مختلف را می‌دهد و همچنین اجازه می‌دهد اطلاعاتی مانند نحوه‌ی توزیع مثل استفاده از کیت‌های بهره‌برداری یا رایانامه‌های فیشینگ یا هرزنامه آشکار شود.»
باتوجه به اینکه باج‌افزار Locky در دو قالب اجرایی Win۳۲ و DLL توزیع شده، ابزار LockyDump می‌تواند در دو نسخه با دو تحلیل متفاوت ارائه شود. با ایجاد یک برنامه باینری ویندوز PE۳۲ که برای فرآیند استخراج موفق نیاز به اجرای نمونه‌ای از بدافزار دارد، این ابزار به بستر ویندوز محدود شده و تنها برای مواردی قابل بررسی است که سامانه ویندوزی توسط Locky آلوده شده باشد.

این ابزار می‌تواند طوری تنظیم شود که خروجی مشروح داشته و باج‌افزار را Unpack کند و این تنظیمات قبل از اجرای LockyDump از طریق متغیرهای محیطی ویندوز قابل تنظیم است. اولین گزینه، تصویری از پیام باج‌خواهی و HTML مربوط به آن را نمایش خواهد داد و دومین گزینه باج‌افزار Unpack شده را تحت عنوان DUMPED_IMAGE.DLL در دایرکتوری جاری ذخیره خواهد کرد.

محققان سیسکو تالوس اکیداً توصیه می‌کنند برای اجرای Locky و LockyDump و استخراج پیکربندی‌ها از حافظه، کاربران حتماً از محیط مجازی استفاده کنند. این استخراج‌کننده بر روی گیت‌هاب قابل دسترسی است و از طریق خط فرمان قابل اجرا است و گزینه‌های مختلف آن نیز از طریق خط فرمان تنظیم می‌شود.

سیسکو تالوس در نتیجه‌گیری اعلام کرد: «انتشار این ابزار با کاهش توزیع باج‌افزار Locky از طریق هرزنامه همزمان شد که در هفته‌ی گذشته شاهد آن بودیم. باید این نکته را در ذهن داشت که Locky دیر یا زود با گنجاندن پیکربندی‌های مختلف باز خواهد گشت و خواهد توانست این ابزار را از کار بیندازد. در این حالت ما نیز این ابزار را به‌روزرسانی خواهیم کرد تا بتواند به درستی تحت این شرایط عمل نماید.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.