مشاهده باج‌افزار Locky به عنوان یک پرونده کتابخانه پیوند پویا

باج‌افزارهای Locky یکی از معروف‌ترین گروه باج‌افزارهای موجود در حوزه رایانه و اینترنت هستند که چندی پیش به گروه‌های برزیلی فروخته شدند و از طریق عملیات بهره‌برداری مختلف، در بخش‌های مختلف اینترنتی پخش می‌شوند. این باج‌افزار که از چندی پیش به دلیل استفاده گسترده از روش‌های مختلف به منظور توزیع معروف است، از روش‌هایی مانند ماکروها، VBScript، پرونده‌های اسکریپت ویندوز استفاده می‌کند. این باج‌افزار اما به تازگی یک روش جدید دیگر را به مجموعه خود افزوده است: کتابخانه‌های پیوند پویا.

محققان حوزه رایانه به تازگی با نوع جدیدی از باج‌افزارهای Locky آشنا شده‌اند که با نام RANSOM_LOCKY.F۱۱۶HM فعالیت می‌کند و از روشی استفاده می‌کند که در ظاهر روشی قدیمی است، اما با بررسی‌ها مشخص می‌شود که تغییرات فنی اساسی در این روش انجام شده است. رایانامه‌های مورداستفاده توسط این باج‌افزار در این روش برای پخش آن، رایانامه‌های بسیار ساده‌ای بودند که البته بخشی از روش‌های کار پویش‌های کلاه‌برداری بزرگ بوده‌اند.

۱_۶۵
پرونده js. موجود در این فرآیند دارای پرونده‌های پیوست با قالب.ZIP بودند که کمی مبهم به نظر می‌رسیدند که در عکس زیر نمونه‌ای از آن‌ها را می‌بینید:

۲_۶۱
پس از انجام فرآیندهای ابهام‌زدایی، می‌توان مشاهده کرد که کدهای موجود در این فرآیند مجموعه‌ای از اقدامات را انجام می‌دهند:

۱. یک لیست کدهای سخت از نشانی‌های مخرب وب وجود دارد که تمامی آن‌ها میزبان باج‌افزارهای Locky هستند. برنامه جاواسکریپت نیز به صورت تصادفی یکی از این نشانی‌ها را انتخاب کرده و باج‌افزار را بارگیری می‌کند. در صورتی که این فرآیند ناموفق باشد، یک نشانی دیگر امتحان می‌شود.

۲. سپس محتوای پرونده بارگیری شده به پوشه %temp% منتقل می‌شود.

۳. باج‌افزار با استفاده از عملگر XOR و سامانه مولد اعداد شبه تصادفی، پرونده بارگیری شده را رمزگشایی می‌کند و سپس نتایج حاصل را به صورت پرونده xxxx.dll‌ ذخیره می‌کند.

۴. باج‌افزار سپس با استفاده از برنامه rundll۳۲.exe ، کتابخانه پیوند پویای مخرب را راه‌اندازی می‌کند. این اقدام منجر به تولید یک یادداشت باج‌افزاری می‌شود که این یادداشت سپس نمایش داده شده و پرونده‌های کاربر رمزنگاری می‌شوند.

در این فرآیند، نفوذگر زنجیره رمزی خود را به عنوان یک زنجیره کلید شبه تصادفی طراحی می‌کند. تمامی مولدهای اعداد شبه تصادفی در این فرآیند برای تنظیم حالت اولیه مولد، بستگی به مقدار اولیه دارند. در یک فرآیند رمزنگاری عادی تا هنگامی که این مقدار ثابت نباشد و مولد به خوبی عمل کند، زنجیره رمز به میزان کافی تصادفی خواهد بود.

در عین حال، اگر میزان اولیه به صورت یکسان استفاده شود، زنجیره کلید یکسان نیز تولید خواهد شد. این مقدار اولیه به عنوان نوعی از کلید رمزنگاری عمل می‌کند که مقادیر آن در کدهای جاواسکریپت فرآیند، هاردکد شده است.

طراحی یک مولد اعداد شبه تصادفی، در نوع خود عملی سخت است و به همین دلیل است که نفوذگر در این فرآیند به جای طراحی، از یک نمونه قرضی استفاده کرده است. این نفوذگر با استفاده از مرجع‌های موجود برای مولد اعداد شبه تصادفی Ultra-High Entropy، تغییرات کوچکی را در کد ایجاد کرده و سپس آن را در پرونده.js استفاده کرده است. کد مورد استفاده در این فرآیند با توجه به شواهد، یک رونوشت مستقیم از بخش‌های موجود در کدهای مولد بخش اجرایی اسکریپت ویندوز Ultra-High Entropy است که تابع این مولد را در زیر می‌بینید:

۳_۴۵
تصویر زیر نیز برنامه rundll۳۲.exe را نشان می‌دهد که با استفاده از پارامترها، کتابخانه پیوند پویای باج‌افزار را راه‌اندازی می‌کند:

۴_۳۱۵_۲۰

روش کار باج‌افزار اصلی در این فرآیند، تفاوتی با نمونه‌های قبلی خود ندارد. در شکل زیر یادداشت باج‌خواهی را مشاهده می‌کنید:

۶_۱۲
استفاده از پرونده dll. به این شکل نشان‌دهنده تلاش نفوذگر برای فرار از بخش‌های رصدکننده و روش کار باج‌افزار است که امروزه این بخش‌ها به عنوان محصولات امنیتی نقاط انتهایی مورد استفاده قرار می‌گیرند. اجرای این پرونده‌ها نیز از شروع یک فرآیند جدید جلوگیری می‌کند و شناسایی آن را امری سخت‌تر می‌کند. دیگر گروه‌های باج‌افزاری (‌مانند CrypMIC و CryptXXX) از این روش استفاده کرده‌اند، اما جدیدترین استفاده از این روش توسط باج‌افزار Locky رخ داده است.

استفاده از عملیات رمزنگاری نیز به منظور تقویت توانایی مخفی‌‌سازی توسط این باج‌افزار انجام شده است. با توجه به عدم دریافت پارامترهای درست از بخش بارگیری، هیچ‌گونه پرونده مخربی رمزگشایی نشده و بنابراین شناسایی نیز نشده است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap