کشف پیوندهایی میان باج‌افزار‌های معروف

محققان پیوندهایی میان باج‌افزارهای Rokku و Chimera و همین‌طور میان PowerWare و PoshCoder پیدا کرده‌اند.

PowerWare و PoshCoder
در اواخر ماه مارس بود که وجود باج‌افزار PowerWare توسط شرکت Carbon Black اثبات شد. این تهدید به این علت توجه محققان را برانگیخت که از ماکروهای اسناد مایکروسافت ورد و همینطور از PowerShell در ویندوز سوء‌استفاده می‌کرد.
PowerWare که مشخص شد به سازمان‌‌های بهداشت و درمان حمله می‌کند، دارای ضعفی بود که می‌توانستند از آن برای بازیابی پرونده‌ها بدون پرداخت باج به گردانندگان آن استفاده کنند.
در اوایل این ماه، AlienVault پستی منتشر کرد و شباهت‌های میان PowerWare و PoshCoder را در بخش‌های قدیمی این باج‌افزار انتشار داد که از PowerShell استفاده می‌کند و شامل نقصی منطقی است که موجب صدمه دیدن داده‌های رمزگشایی شده می‌شود.
AlienVault مشخص کرد که PowerWare به شدت بر پایه PoshCoder است. سبک برنامه‌نویسی و نقایص آن‌ها بسیار به هم شبیه است به حدی که ممکن است برخی تصور کنند که PowerWare نوعی از PoshCoder است تا اینکه یک خانواده جدید باج‌افزار باشد.
یکی از شباهت‌های مهم آن‌ها به استفاده از کلاس RijndaelManaged مربوط می‌شود. این کلاس غیرمعمول نیست، اما روشی که هر دو باج افزار PoshCoder و PowerWare از آن استفاده می‌کنند، نشان دهنده ارتباطی میان این تهدیدها وجود دارد. البته محققان دریافته‌اند که استثنائاتی نیز در این میان وجود دارد. هر دو این خانواده باج افزار تلاش می‌کنند تا انواع پرونده یکسانی را رمزگذاری کنند- تنها پنج مورد از ۴۵۱ نوع پرونده‌هایی که مورد حمله قرار گرفته‌اند، تطابق ندارند.
از طرف دیگر، تفاوت‌هایی نیز در پایه کدها وجود دارد که موجب ایجاد نقص در PowerWare می‌شد ولی این نقص‌های منطقی در PoshCoder وجود نداشت تا بتوان برخی از پرونده‌ها را دوباره بازیابی کرد.

Rokku و Chimera
روز دوشنبه، محققان شرکت ضدبدافزار Malwarebyte گزارش دادند که یک پیوند ممکن را مابین باج‌افزارهای Rokku و Chimera پیدا کرده‌اند.
Rokku در ماه گذشته بعد از اینکه کارشناسان متوجه شدند که باج افزار به قربانیان اجازه می‌دهد تا با پویش یک QR اطلاعاتی را در مورد چگونگی پرداخت باج به دست بیاورند، به سر تیتر اخبار تبدیل شد. Chimera در دسامبر سال ۲۰۱۵ کشف شد و از آن برای حمله شرکت‌های کوچک استفاده شده است.
این بدافزار به این دلیل مورد توجه محققان قرار گرفت که قربانیان را تهدید می‌کرد که پرونده‌ها و اعتبارنامه‌های آن‌ها را در شبکه اینترنت قرار خواهد داد، مگر اینکه آن‌ها باج را بپردازند؛ اگر چه این تهدید یک تهدید توخالی بود، چرا که این باج‌افزار Chimera در واقع پرونده‌ها را به کارگزار خود نمی‌فرستاد.
تجزیه و تحلیلی که به وسیله Malwarebyte صورت گرفته است، نشان می‌دهد که پرونده‌های DLL که شامل عملکرد آلوده هسته در هر دو باج‌افزار Rokku و Chimera هستند، از تابع ReflectiveLoader استفاده می‌کنند که برای تزریق DLL انعکاسی استفاده می‌شود، تکنیکی که می‌تواند برای این استفاده شود که یک کتابخانه را از حافظه به فرایند میزبان بارگیری کند.
یکی دیگر از شباهت‌ها میان Rokku و Chimera این است که هر دو باج‌افزار رمزنگاری را به صورت محلی اجرا می‌کنند و در هر دو مورد ابزار رمزگشایی می‌تواند به وسیله قربانیان قبل از اینکه باج را پرداخت کنند، بارگیری شود.
تحلیلگر بدافزار شرکت Malwarbyte hasherezade در وبلاگ خود توضیح می‌دهد: «شباهت‌های یافته شده ما را به این نتیجه می‌رساند که Rokku ممکن است ساخت همان نویسندگان باشد؛ که با همان طرح تهیه شده ولی با توجه به نیازهای متفاوتی اجرا شده است».

باج افزارهایی که با استفاده از کدهایِ در دسترسِ عموم نوشته شده‌اند
با وجودی که در برخی از موارد یک نویسنده بدافزار چندین قطعه مختلف بدافزاری را می‌نویسد، برخی از خانواده بدافزارها به هم شبیه هستند چرا که توسعه‌دهندگان آن‌ها از کدهای عمومی در دسترس یکسانی استفاده می‌کنند. مثالی از این مورد را می‌توان Hidden Tear دانست، یک بدافزار که کد منبع آن توسط یک نفوذگر کلاه سفید برای اهداف آموزشی در دسترسی عموم قرار داده شده است.
چندین نوع بدافزار بر پایه Hiden Tear ساخته شده‌اند و بیش‌تر آن‌ها شامل همان نقص رمزگذاری هستند که توسعه‌دهنده اصلی برای جلوگیری از سوء‌استفاده در آن قرار داده بود.
فهرست بدافزارهایی که بر پایه Hidden Tear قرار دارند عبارتند از Cryptear و Linux.Encoder Magic و تعدادی بدافزار مشتق شده که به وسیله آزمایشگاه کسپرسکی به عنوان تروجان Trojan-Ransom.MSIL.Tear کشف شده‌اند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap