کشف راه جدیدی برای حمله به وب‌گاه‌ها توسط باج‌افزار CTB-Locker/Critroni

پس از ماه‌ها عدم فعالیت نسبی، باج‌افزار CTB-Locker یا Citroni دوباره بازگشته است و این‌بار وب‌‌گاه‌‌ها را هدف قرار می‌دهد. محققان این وضعیت را CTB-Locker برای وب‌گاه‌‌ها نامیده‌اند زیرا که به وب‌گاه‌‌ها حمله می‌کند، محتوای آن‌ها را رمزگذاری می‌کند و درخواست ۴ بیت‌کوین (معادل ۴۲۵ دلار) باج برای تحویل کلید رمزگشایی می‌کند.
در یک تحلیل فنی از CTB-Locker برای وب‌گاه‌‌ها لارنس آبرامز، که یک کارشناس جرم‌شناسی رایانه و پایه‌گذار BleepingComputer‌ است، نوشته شده که مهاجمان میزبان‌ کارگزارها را مورد نفوذ قرار می‌دهند و پرونده‌ی اصلی index.php یا index.html را با یک index.php جدید جایگزین می‌کنند.
آبرامز در پستی می‌نویسد: «index.php جدید برای رمزگذاری داده‌های وب‌گاه‌‌هایی استفاده می‌شود که از رمزگذاری AES-۲۵۶ استفاده می‌کنند و یک صفحه‌ی جدید را به نمایش می‌گذارد که اطلاعاتی را در مورد آنچه برای پرونده‌ها رخ داده است، بیان می‌کند و این‌که چگونه می‌توان باج درخواست شده را پرداخت روشن می‌سازد.»
بر اساس برآوردهایی که آبرامز در تحقیق خود انجام داده است، باج افزار CTP-Locker که در سال ۲۰۱۴ رواج داشت، در حال حاضر بر بیش از صد وب‌گاه تأثیر گذاشته است. بولتن امنیتی او به کشف باج‌افزار CTB-Locker برای وب‌گاه‌‌ها اختصاص دارد.
آبرامز می‌گوید که امروزه، CBT-Locker یا Critroni تقریباً به پرکاری دیگر باج‌افزارهای آلوده‌کننده نظیر TeslaCrypt ،CryptoWall و Locky نیست. او می‌گوید که با دیدن آخرین نوع از باج‌افزار CTB-Locker معتقد است که همان تأثیر مشابهی را که بر ویندوز می‌گذارد، ندارد. به عنوان دلیل ساده برای این ادعا، او می‌گوید که از پرونده‌‌های وب‌گاه‌‌ها می‌توان پشتیبان گرفت، و به آسانی آن‌ها را بازگرداند، او می‌گوید که به احتمال زیاد مدیران می‌توانند از پرداخت باج، امتناع کنند.
آبرامز می‌گوید که نوع آسیب‌پذیری که موجب می‌شود تا باج‌افزار CTB-Locker به آلود‌ه‌کردن وب‌گاه بپردازد، هنوز مشخص نیست. اما فکر می‌کند که مهاجمان وب‌گاه‌های آسیب‌پذیر وردپرس را مورد حمله قرار می‌دهند.
به محض این‌که پرونده‌ها رمزگذاری شوند، وب‌گاه‌ این پیغام را نمایش می‌دهد: «نوشته‌ها، اسناد، تصاویر و پایگاه‌های داده و دیگر اطلاعات مهم شما با یک رمزگذاری قدرتمند با الگوریتم AES-۲۵۶ رمزگذاری شده‌اند، و یک کلید منحصربه‌فرد برای رمزگشایی آن تولید شده است.»
یکی از قابلیت‌های منحصر‌به‌فرد این نرم‌افزار این است که به قربانی اجازه می‌دهد تا دو پرونده‌ی از پیش انتخاب شده را به صورت رایگان رمزگشایی کند. علاوه بر این باج‌افزار دارای این توانایی است که به قربانیان اجازه دهد تا با مهاجمان پشت این باج‌افزار پیام‌هایی را رد و بدل کنند.
آبرامز می‌گوید که صفحه‌ی index.php به وسیله‌ی CTB-Locker برای وب‌گاه‌‌ها از عمل‌کرد jQuery.post() برای ارتباط و ارسال داده به مرکز کنترل و فرمان‌دهی باج‌افزار استفاده می‌کند. کارگزارهای C۲ کنونی برای این باج‌افزار عبارتند از:

http://erdeni.ru/access.phpm/access.php
http://a۱hose.com/access.php
http://studiogreystar.com

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap