کشف باج‌افزار بدونِ پرونده با قابلیت تزریق کد در دنیای واقعی

این امر بسیار بدیهی است که مهاجمان سایبری و نفوذگران روزبه‌روز پیشرفته‌تر و خلاق‎تر می‌شوند. در حالی‌که شاهد هستیم روش‌های جدیدی برای حملات سایبری مورد استفاده قرار می‌گیرند ولی بردارهای حمله‌ی سنتی نیز رفته‌رفته در تلاش هستند تا عملیات خود را مخفی‌تر کرده و راه‌کارهای امنیتی را دور بزنند.

محققان امنیتی اخیراً باج‌افزار بدون پرونده‌ی جدیدی را با نام Sorebrect شناسایی کرده‌اند که کدهای مخرب را در داخل پردازه‌های قانونی بر روی ماشین هدف تزریق می‌کند و برای فرار از روش‌های تشخیص بدافزار، دارای قابلیت خود تخریبی نیز هست. برخلاف باج‌افزارهای سنتی، بدافزار Sorebrect برای هدف قرار دادن کارگزارها و نقاط انتهایی در سازمان‌ها طراحی شده است. کدی که در داخل پردازه‌ها تزریق شده است، در ادامه رمزنگاریِ پرونده‌های محلی و هر اطلاعاتی که در سطح شبکه به اشتراک گذاشته شده را آغاز می‌کند.

این باج‌افزار بدون پرونده ابتدا با استفاده از حملات جستجوی فراگیر و یا با راه‌های دیگری، گواهی‌نامه‌های مدیریتی را آلوده کرده و در اختیار می‌گیرد و در ادامه با استفاده از ابزار خط فرمان Sysinternals PsExec مایکروسافت، رمزنگاری پرونده‌ها را شروع می‌کند. محققان ترندمیکرو گفتند: «ابزار PsExec نفوذگران را قادر می‌سازد تا دستورات اجرایی را از راه دور اجرا کنند به‌جای اینکه در یک نشست آماده و تعاملی اطلاعات ورود را ارائه کرده و دستورات را اجرا کنند. با استفاده از این ابزار، همچنین لازم نیست با استفاده از پروتکل‌هایی مانند RDP پرونده‌های بدافزار را به‌طور دستی به ماشین قربانی منتقل کرد.»

باج‌افزار Sorebrect پرونده‌های به اشتراک‌گذاشته شده در سطح شبکه را نیز رمزنگاری می‌کند
این باج‌افزار رایانه‌های موجود در سطح شبکه‌ی محلی را نیز پویش می‌کند و اگر پرونده‌ای پیدا کرد که در سطح شبکه به اشتراک گذاشته شده باشد، آن‌ها را نیز رمزنگاری می‌کند. این باج‌افزار در ادامه تمامی رکوردهای ثبت‌شده از رویدادهای رایانه را حذف می‌کند تا در آینده فرآیند جرم‌شناسی و تشخیص عملیات بدافزار مشکل شود. همچنین باج‌افزار Sorebrect مانند بقیه‌ی بدافزارها برای گمنامی ارتباطات خود با کارگزار دستور و کنترل از شبکه‌ی Tor بهره می‌برد.

باج‌افزار Sorebrect در سطح جهان گسترش یافته است
باج‌افزار Sorebrect برای هدف قرار دادن شرکت‌های مختلف در حوزه‌های صنعت، فناوری و ارتباطات و مخابرات طراحی شده است. به گفته‌ی محققان امنیتی از شرکت ترندمیکرو، این باج‌افزار کشورهای خاورمیانه از جمله کویت و لبنان را هدف قرار داده است اما از ماه گذشته این تهدید آلوده کردن سامانه‌ها در کشورهایی مانند چین، کانادا، ایتالیا، ژاپن، مکزیک، روسیه، تایوان و آمریکا را آغاز کرده است.

این اولین بار نیست که محققان امنیتی شاهد بدافزارهای بدونِ پرونده هستند. دو ماه قبل محققان تالوس حملات DNSMessenger را شناسایی کردند که از هیچ پرونده‌ای استفاده نکرده و برای آلوده کردن دستگاه هدف، از پیام‌های DNS TXT بهره می‌برد. در ماه فوریه نیز محققان امنیتی از شرکت کسپرسکی بدافزار بدون پرونده‌ای را شناسایی کردند که خود را در داخل حافظه‌ی ماشین آلوده مخفی می‌کرد. این بدافزار سعی داشت بانک‌ها، سازمان‌های ارتباطی و مخابراتی و نهادهای دولتی را هدف قرار دهد.

راه‌هایی برای حفاظت در برابر حملات باج‌افزارها
از آنجایی که باج‌افزارها فقط افراد را هدف قرار نمی‌دهند و به سازمان‌ها نیز حمله می‌کنند، مدیران سامانه‌ها و کارشناسان امنیتی برای حفاظت از سازمان می‌توانند راه‌کارهای زیر را اجرا کنند:
محدود کردن مجوزهای نوشتن برای کاربران: یکی از معیارهای مهمی که پرونده‌های اشتراکی در سطح شبکه را در معرض حملات باج‌افزار قرار می‌دهد این است که به کاربران تمامی مجوزها اعطا می‌شود.
محدود کردن امتیازات در ابزار PsExec: مجوزهای اجرای ابزار PsExec را محدود کنید و پیکربندی را طوری انجام دهید که تنها مدیران سامانه‌ها قادر به اجرای این ابزار باشند.
سامانه‌ها و شبکه‌های خود را به‌روز نگه دارید: همواره سامانه عامل، نرم‌افزارها و برنامه‌های کاربردی بر روی سامانه‌ی خود را به‌روزرسانی کنید.
مرتب از داده‌های خود نسخه‌ی پشتیبان تهیه کنید: برای جلوگیری از هرگونه از بین رفتن داده‌ها، یک روال منظم برای تهیه‌ی نسخه‌ی پشتیبان از پرونده‌ها و داده‌های مهم خود داشته باشید. سعی کنید این نسخه‌ی پشتیبان را بر روی یک سامانه‌ی خارجی قرار دهید که به‌طور مستقیم به رایانه‌ی شما متصل نباشد.

کانال اخبار فناوری اطلاعات نماد امن

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.