امروز: شنبه، 29 مهر 1396

 

از زمانی‌که گروه "کارگزاران سایه" آسیب‌پذیری‌ها و ابزار نفوذ نرم افزار روز صفر متعلق به گروه Equation  تیم نخبگان نفوذ آژانس امنیت ملی آمریکا را افشاء کردند، گروه‌های نفوذ و همچنین نفوذگر­های متعدد، هریک به شیوه‌ی خود از این ابزارها و آسیب‌پذیری‌ها بهره‌برداری کرده‌اند.

اطلاعاتی­ که کارگزاران سایه در ماه آوریل منتشر کردند، مخرب‌ترین داده‌هایی بوده که تاکنون توسط این گروه منتشر شده­است چرا که به بسیاری از ابزارهای نفوذ ویندوز رخنه می­کنند، که این امر شامل بهره برداری خطرناک از سرویس SMB ویندوز نیز می­شود.

پس از شیوع باج‌افزار "گریه"(wannaCry)  از هفته‌ی قبل، محققان امنیتی پویش‌های مختلفی را شناسایی کردند که از آسیب‌پذیری­های سرویس SMB ویندوز بهره‌برداری کرده‌اند. شناسه‌ی این آسیب‌پذیری (CVE-2017-0143) بوده و Eternalblue نام دارد که در اثر بهره‌برداری از این آسیب‌پذیری تاکنون صدها هزار کامپیوتر در سراسر جهان آلوده شده‌اند.

این مساله ثابت شده­است که اشخاص و گروه‌های نفوذ  متفاوتی با اهداف و انگیزه‌های مختلف از این آسیب‌پذیری بهره‌برداری کرده‌اند. به علاوه، آسیب‌پذیری در سرویس SMB ویندوز هم‌اکنون به چارچوب تست نفوذِ Metasploitاضافه شده­است که محققان امنیتی و نفوذگران را قادر می­سازد تا به‌راحتی از آسیب‌پذیری بهره‌برداری کنند.

 پلت فرم امنیت مجازی Secdo اخیرا به این مساله پی­برده که تقریباً ۳ هفته قبل از شیوع حملات عمومی باج‌افزار "گریه" دو کمپین نفوذ مجزا از یک آسیب‌پذیری Eternalblue مشترک برای بهره‌برداری از ویندوز استفاده کرده‌اند.

 بنابراین عنوان نمودن این مساله که گروه‌های نفوذ مختلف، نفوذگر های حمایت شده از سوی دولت و نفوذگر های کلاه خاکستری از Eternalblue  برای اهداف سازمان­دهی شده و یا انگیزه های شخصی استفاده کرده‌اند خیلی تعجب برانگیز نیست.




 


دو پویش جدید کشف شده به کشورهای روسیه و چین نسبت داده شده‌اند و بسیار پیچیده‌تر و پیشرفته تر از باج‌افزار "گریه" هستند. نفوذگران حرفه‌ای از Eternalblue برای نصب دربِ پشتی و بد افزار بات‌نت استفاده می­کنند و اطلاعات حساس و گواهی‌نامه‌های کاربران را سرقت .

به گزارش محققان امنیتی این دو پویش بسیار خطرناک تر از باج‌افزار گریه هستند چرا که حتی اگر جلوی باج افزار گریه را بگیرند و آسیب‌پذیری SMB ویندوز را ترمیم کنند، دربِ پشتی کماکان ماندگار خواهد بود و می‌تواند در هر زمان که دستگاه روشن بود، اطلاعات مهم کاربر را خارج کند.

 هر دو پویش‌ از جریان حمله‌ی مشابهی استفاده می­کنند. نفوذگران ابتدا از طریق بردارهای حمله‌ی مختلف، دستگاه هدف را به وسیله بد افزار تحت تاثیر قرار می­دهند. سپس از بهره‌برداری Eternalblue استفاده کرده و سایر دستگاه‌ها در سطح شبکه را تحت تاثیر قرار می­دهد. در نهایت کدهای مخرب در برنامه‌های کاربردی قانونی تزریق می‌کنند و در آینده به همراه دربِ پشتی، برای ماندگار شدن بر روی دستگاه و سرقت اطلاعات مورد استفاده قرار می‌گیرند.

پویش روسی: حملات سرقت گواهی‌نامه‌


 

 

پلت فرم امنیت مجازی Secdo به این مساله پی برده­است که مهاجمان با استفاده از Eternalblue، تهدیدات مخربی را در داخل فایل "lsass.exe" تزریق می‌کنند و پس از آلوده نمودن، چندین ماژول مخرب دیگر بارگیری می­کنند و برای بازیابی گواهی‌نامه‌های کاربر از روی مرورگر فایرفاکس، به پرونده‌ی SQLite DLL دسترسی پیدا می‌کنند.

در ادامه گواهی‌نامه‌های سرقت شده، برای مخفی کردن مکانِ سرور دستور و کنترل، از طریق شبکه‌ی رمزنگاری شده Tor به سمت همین سرور ارسال می‌شود. پس از ارسال داده‌ها، باج‌افزار CRY128 در داخل حافظه شروع به فعالیت کرده و پرونده‌ها را رمزنگاری می‌کند. این حمله در ماه آوریل انجام شده و از یک آدرس IP واقع در روسیه صورت گرفته­است ولی با این‌حال نمی‌توان گفت نفوذگران، روسی بوده‌اند.

پویش چینی : نصب روت‌کیت و بات‌نت حمله‌ی ممانعت از سرویس توزیع‌شده

 

این پویش نیز در اواخر ماه آوریل مشاهده شده­است. روند این حمله نیز مشابه پویش قبل است ولی بجای قرار گرفتن بار داده‌ی مخرب در داخل حافظه، بار داده‌ی اولیه به پورت ۹۹۸ یک سرور دستور و کنترل واقع در چین متصل می‌شود و یک روت‌کیت دربِ پشتی مبتنی بر Agony را بارگیری می­کند که برای حفظ ماندگاری بر روی دستگاه مورد استفاده قرار می‌گیرد. پس از نصب، بار داده یک بدافزار بات نت چینی را روی دستگاه قربانی نصب می‌کند که دارای قابلیت انجام حمله‌ی منع سرویس توزیع‌شده است.

از سایر نمونه­های بهره‌برداری‌ از آسیب‌پذیری ویندوز، میتوان به بدافزار و بات‌نتی به نام "Adylkuzz" اشاره کرد که به استخراج ارز مجازی می‌پردازد. این بات‌نت حداقل دو هفته قبل از ظاهر شدن باج‌افزار «گریه» فعال بوده است.

با این حال تمام این حملات و بهره‌برداری‌ها برای ابتدای کار هستند. گروه نفوذ "کارگزاران سایه"  قول داده است در ماه آینده آسیب‌پذیری‌ها و ابزارهای بیشتری از آژانس امنیت ملی آمریکا منتشر خواهد­کرد.

منبع: thehackernews.com