باجافزار بدون فایل Sorebrect کدهای مخرب را به درون سامانهها تزریق میکند
به گزارش سیناپرس به نقل از مجله شبکه، هکرها بهخوبی آگاه شدهاند که باید خود را با تغییرات عرصه فناوری هماهنگ سازند. در حالی که هر روز اشکال جدیدی از حملات سایبری شناسایی میشود، به نظر میرسد هکرها تکنیکهای سنتی را هنوز فراموش نکردهاند و الگوهای نفوذ سنتی را با رویکردی مدرن مورد استفاده قرار میدهند.
بر همین ارتباط، کارشناسان امنیتی موفق شدند باجافزار بدون فایل جدیدی را با قابلیت خودتخریبی شناسایی کنند. باجافزار مذکور Sorebrect نام دارد. این باجافزار قادر است کدهای مخرب را به ماشین هدف و به درون فرآیند معتبر و قانونی ویندوز svchost.exe تزریق و در ادامه بهمنظور فرار از دست مکانیسمهای امنیتی خود را نابود کند. برعکس باجافزارهای سنتی، Sorebrect تنها بهمنظور حمله به سرورهای سازمانی و نقاط پایانی طراحی شده است. زمانی که کد مخرب به درون سامانهای تزریق میشود، در ادامه پردازنده رمزنگار فایلها روی ماشین محلی و ماشینهای متصل به شبکه را مقداردهی اولیه میکند. این باجافزار بدون فایل ابتدا سعی میکند اعتبارنامههای سطح مدیریتی را از طریق یک حمله جستوجوی فراگیر یا دیگر روشهای رایج مورد تهدید قرار دهد و در ادامه از ابزار خط فرمان Sysinternals PsExec برای رمزنگاری فایلها استفاده کند. ترندمیکرو در این ارتباط گفته است: «PsExec به هکرها اجازه میدهد بهجای آنکه از یک نشست لاگین تعاملی یا انتقال دستی بدافزارها به یک ماشین راه دور استفاده کنند، فرمانهای خود را از راه دور به اجرا درآورند.»
Sorebrect این توانایی را دارد تا شبکه محلی را بهمنظور کامپیوترهایی که به آن متصل شدهاند مورد پویش قرار دهد. این کار با هدف پیدا کردن فایلهای به اشتراک گذاشته شده انجام میشود. پژوهشگران در این ارتباط گفتهاند: «باجافزار فوق اگر موفق شد هر پوشهای که از سوی هر کاربری در شبکه به اشتراک قرار گرفته و قابلیت دسترسی خواندن و نوشتن برای آن فعال شده است را پیدا کند، این فایل را رمزنگاری میکند.
در ادامه همه فایلهای گزارش و کپیهای سایهای(Shadow Copies) که بهمنظور ثبت اتفاقات مورد استفاده قرار میگیرند، از روی سامانه آلوده حذف میکند. این امر باعث میشود تا اطلاعات مهر زمانی (Timestamp) فایلها از بین بروند که همین موضوع شناسایی تهدید را مشکل میسازد.» Soreberct از شبکههای پنهانساز بهمنظور برقراری ارتباط با مرکز کنترل و فرماندهی خود استفاده میکند. شبیه به رویکردی که از سوی بدافزارهای مختلف مورد استفاده قرار میگیرد. گزارش منتشر شده از سوی کارشناسان امنیتی نشان میدهد این باجافزار قادر است گسترش جهانی پیدا کند.
باجافزار بدون فایل Soreberct بهمنظور نفوذ به انواع مختلفی از اهداف همچون تولیدکنندگان، شرکتهای فعال در حوزه فناوری و شرکتهای مخابراتی طراحی شده است. آن گونه که ترمندمیکرو گزارش داده است، باجافزار فوق نخستین بار کشورهای خاورمیانه را هدف خود قرار داد. در ادامه بهسراغ کشورهایی همچون کانادا، چین، کرواسی، ایتالیا، ژاپن، مکزیک، روسیه، تایوان و ایالات متحده رفت. پژوهشگران در بخشی از گزارش خود آوردهاند: «با توجه به تأثیر بالقوه و سودآوری باجافزار فوق جای تعجبی نخواهد بود، اگر این باجافزار بهسراغ صنایع دیگری همچون بهداشت و درمان و خدمات مالی برود. حتی این احتمال وجود دارد که هکرها در دنیای زیرزمینی این باجافزار در قالب سرویس در اختیار مشتریان خود قرار دهند.»
این اولین باری نیست که پژوهشگران موفق شدهاند یک باجافزار بدون کد را شناسایی کنند. دو ماه پیش، پژوهشگران امنیتی یک حمله DNSMessenger را شناسایی کردند. حملهای که بهطور کامل فاقد فایل بود و از ویژگی پیامهای DNS TXT بهمنظور حمله به سامانههای کامپیوتری استفاده میکرد.
با توجه به اینکه باجافزار فوق بهجای آنکه کاربران عادی را هدف قرار دهد سازمانها را بهعنوان اهداف خود برگزیده است، در نتیجه کارشناسان امنیتی به مدیران شبکه و متخصصان امنیت اطلاعات پیشنهاد دادهاند برای محافظت از خود و زیرساختهای سازمان مطبوعشان چهار اقدام اساسی را انجام دهند. اول آنکه تعداد کاربرانی را که مجوز نوشتن دارند محدود کنند. دوم آنکه مجوزهای مربوط به برنامه PsExec را محدود کنند، به طوری که تنها مدیران یک سامانه قادر باشند از این فایل استفاده کنند. سوم آنکه سیستمها و شبکههای خود را بهروز نگه دارند و چهارم اینکه بهطور منظم از فایلهای خود نسخه پشتیبان تهیه کنند. درنهایت، سازمانها نباید از آموزش کارمندان و آگاهسازی آنها در ارتباط با فعالیتهای مخرب و بردارهای حمله غافل شوند.
