امروز: سه شنبه، 4 مهر 1396

 

حمله به روزترین باج افزار شباهت­هایی با بحران wannacry دارد که چندین هفته پیش اتفاق افتاد. هردو به سرعت پخش شدند و سازمان­های بزرگی نظیر کمپانی­های چندملیتی بزرگ و تامین کنندگان زیرساخت­های حیاتی را هدف قرار دادند. اما درحالیکه خطاهای طراحی زیاد wannacry باعث شد که بعد از چند روز شعله­ اش فروکش کند، آخرین باج­ افزار موجود اشتباهات قبلی را تکرار نکرده است.

این باج افزار که به نام Petya شناخته شده، ابتدا در سال 2016 شروع به گردش کرد و حمله اخیر که به نظر می­رسد از نوع Petya باشد و بهبودهایی نظیر رمزگذاری قوی­ تر به آن افزوده شده است. برخی از محققان این حمله جدید را « NotPetya» یا « GoldenEye» نامیده­ اند درحالیکه سایرین همچنان از آن به عنوان Petya یاد می­ کنند. بدون در نظر گرفتن اسم این حمله، تاکنون 2000 تا از سیستم­های مهمی نظیر Danish shipping giant Maersk، شرکت داروسازی Merck در ایالات متحده و چندین نهاد خصوصی و عمومی در اکراین را قربانی خود کرده است.

درحالیکه Petya فراگیری سریع خود را به EternalBlue مدیون است، فاقد خصیصه­هایی است که wannacry را ـ که بعدها مشخص شد پروژه ناتمام کره شمالی بود ـ راحت­تر متوقف می­کند.

WannaBreak

بوگدان بوتزاوتو محقق شرکت امنیتی Bitdefender می­گوید: «کیفیت این کدها در هر تکرار بهبود می­ یابد ـ باج افزار GoldenEye خیلی قوی است، هیچ رخنه­ای در آن پیدا نمی­شود »  مکانیزم wannacry کیفیت پایینی داشت و احتمالا از ویژگی ناتمامی برای جلوگیری از تحلیل باج افزار بهره می­برد. اما نتیجه کاملا برعکسی داد. تاکنون GoldenEye هیچ نشانه­ ای از داشتن چنین خطایی ندارد. 

 

Wannacry بین شبکه­ های اینترنتی مانند یک کرم پخش می­شود و برای نفوذ کردن و آسیب­ رسانی به سیستم­ هایی که هنوز وصله مایکروسافت را برای این آسیب­ پذیری دانلود نکرده­ اند، کاملا به EternalBlue وابسته است. این باج افزار جدید دستگاه­هایی را هدف گرفته که در برابر EternalBlue امنیتی ندارند اما از گزینه­ های دیگری برای آلوده کردن بهره می­برند. برای مثال، به نظر می­رسد مهاجمان، باج افزار را از طریق آپدیت برنامه اکراینی به نام MeDoc و اسناد واژه پرداز مایکروسافت که به ماکروهای مخرب آلوده ­اند پخش می­ کند.
این باج افزار علاوه بر استفاده از EternalBlue، از EternalRomance (که توسط مایکروسافت در مارس وصله شد) برای دستیابی از راه دور بهره می­برد. برخی محققان شواهد تایید نشده ­ای یافتند که مبنی بر این است که باج افزار از ابزاری بهره می­برد که توسط ShadowBrokers منتشر شده و به نام EsteemAudit شناخته شده و کامپیوترهایی را هدف می­گیرد که از Windows XP و Windows Server 2003 استفاده می­کنند. مایکروسافت این آسیب­پذیری را 2 هفته پیش برای تامین امنیت سیستم ­عامل­ های قدیمی اش وصله کرد.

 

این باج افزار به محض ورود به شبکه، اعتبارنامه (credentials) اجرایی را می­دزدد و به آن توانایی کنترل ابزار مدیریتی قدرتمند سیستم نظیر PsExec و ابزار مدیریت ویندوز را می­دهد.

 

فابین ووسر، محقق شرکت امنیتی Emsisoft که در زمینه مخرب و باج افزار تخصص دارد می­گوید: «اگر سیستمی با اختیارات اجرایی کافی در معرض قرار گیرد، به تمامی کامپیوترهایی که به آن­ها دسترسی دارد دستور اجرای مخرب را می­دهد و به همین دلیل بسیاری از مدیران سیستم­­ها اینک ترسیده­اند».

 

از آنجایی که  GoldenEye هدفمندتر عمل می­کند، آلودگی­های کمتری داشته است: 2000 هدف دربرابر صدها هزار هدفی که Wannacry مورد حمله قرار داده است. اما آن را لزوما به عنوان ضعف در نظر نگیرید. پخش Wannacry در سراسر اینترنت باعث آلودگی­هایی خارج از کنترل شد

 

در حقیقت، مهاجمان WannaCry ثابت کردند که در ردیابی پرداختها ناتوان بوند. مهاجمانی که قربانیانی داشتند، به جای اختصاص دادن هر هدف به آدرس منحصر به فرد، باج ها را به یکی از چهار آدرس تنظیم بیت کوین ارسال می کردند. این امر باعث شد که ردیابی پرداخت های ورودی دشوار شود و وظیفه این که کدام قربانیان (از صدها هزار نفر) پرداخت را انجام داده اند و باید برایشان کلید رمزگشایی ارسال شود، به مجرمان واگذار شود.

 

پرداخت هایی که اتفاق می افتد ضعف فعلی GoldenEye را به خوبی مشخص میکند، اما این امر به دلیل عدم صلاحیت سطح WannaCry نمی باشد. این امر بر مبنای اعتبار سنجی دستی پرداخت ها است، یعنی پس از آن که قربانیان باج را پرداخت می کنند، میبایست مدرک پرداخت را به آدرس ایمیلی بفرستند؛ پس از آن هکرها یک کلید رمزگشایی ارسال می کنند. نه تنها یک سیستم دستی باعث می شود که پرداخت به مهاجمان سخت تر شود، بلکه ممکن است قربانیان به این امر معتقد شوند که پرداخت باج موجب رمزگشایی خواهد شد.

 

راه حل ساده ای وجود ندارد

 

این آخرین دور از باج افزاربه نظر می رسد آمده است که بماند. تنوع گزینه های تحویل به این معنی است که هیچ patch به تنهایی نمی تواند لزوما حفاظت کامل از آن را فراهم کند. با این وجود، مدیران می توانند اقداماتی برای محافظت از سیستم های خود انجام دهند. تحلیلگران بر این باورند که درحالیکه patch ها در این وضعیت همه موارد را حل نمی کنند، اما هنوز هم بسیار مهم هستند و دفاع واقعی را ارائه می دهند. MalwareHunter، یک محقق از گروه تجزیه و تحلیل MalwareHunterTeam می گوید: "خیلی خیلی مهم است که patch را انجام دهیم."

 

محققان همچنین یادآور می شوند که باج افزار در بوت اجرا می شود، بدین معنا که اگر شما بتوانید سیستم را قبل از بوت شدن ویندوز متوقف کنید، یا اگر با پیام "Check Disk" مواجه شدید، می توانید از داشتن فایل های رمزگذاری شده خود که سریعا فشرده سازی می شوند خودداری کنید.

 

علاوه بر این، برای نوع فعلی باج افزار، مدیران می توانند گسترش آن را در داخل شبکه از طریق ابزار مدیریت ویندوز به وسیله مسدود نمودن اجرای فایل C: \ Windows \ perfc.dat، متوقف کنند. مدیران همچنین می توانند با استفاده از Microsoft’s Local Administrator Password Solution دفاع خود را حفظ کنند تا از اعتبارهایی که امتیاز دهنده به شبکه محافظت کنند.

 

دیوید کندی، مدیر عامل شرکت تشخیص تهدید شرکت دفاع باینری می گوید: "مشکل این است که پچ فقط یک روش برای دفاع است." "برداشت اعتبارنامه و استفاده از آن برای حرکات جانبی، تأثیر بزرگی در این وضعیت بود."

 

تمامی این موارد برای کسانی که تحت تاثیر تهدیدات قرار می گیرند، آسودگی فراهم می کنند. و بر اساس اینكه چه تعداد شركت پچ EternalBlue را نادیده گرفته اند، حتی پس از تهدید WannaCry، ممكن است هیچ گاه این تهدیدات روند کاملا رو به کاهش و کندی پیدا نکنند.


منبع خبر : wired.com


 
 

ارسال نظر

ارسال نظر

عکس خوانده نمی شود