WastedLocker را میتوان نمونهای نسبتاً جدید از باجافزارهای هدفمند دانست که به نظر میرسد توسط گروه Evil Corp توسعه داده شده است. این گروه منتسب به مهاجمان روسی، پیشتر نیز در انتشار اسب تروای بانکی Dridex و باجافزار BitPaymer نقش داشته است. برخی منابع، درآمد Evil Corp از دو بدافزار مذکور را دهها میلیون دلار برآورد میکنند. دو نفر از گردانندگان این گروه در فهرست افراد تحت تعقیب وزارت دادگستری آمریکا قرار داشته و FBI در ازای هر گونه اطلاعاتی که منجر به دستگیری این متهمان شود پاداشی ۵ میلیون دلاری تعیین کرده است.
در این حملات از یک سازوکار مخرب مبتنی بر JavaScript، معروف به SocGholish بهره گرفته شده است.
چگونه آنتی ویروس ها میتوانند در حالت ناشناخته و اصطلاحا ZeroDay یک حمله باج افزاری از سمت کلاینت یا سرور را مسدود نمایند ؟
شرکت های امنیتی همانند ESET با بررسی رفتار چند صد باج افزار مختلف پالیسی های ضد باج افزاری را طراحی کرده اند که این نوع حملات را در نطفه خفه خواهد کرد. (ویدئوی تکنولوژی های چند لایه ضد باج افراری را حتما مشاهده نمائید) برای درک کامل این موضوع ابتدا نحوه حمله این باج افزار را مطالعه نموده و سپس پاراگراف آخر در مورد سامانه های ضدباج افزاری با مطالعه فرمائید.
شروع حمله : فریب کاربران عادی شرکت یا سازمان :
این هکرها با هک حداقل 150 سایت معتبر به نحوی در کدهای آنها دستدرازی کردهاند که در صورت باز شدن صفحه در مرورگر، کاربر به سایتی حاوی کد ناقل SocGholish هدایت شود. در آنجا با نمایش پیامی مشابه با آنچه که در تصویر زیر قابل مشاهده است کاربر تشویق به کلیک بر روی دکمه پنجره با پیغام جعلی می شود :
در صورت در دام افتادن کاربر ناآگاه، یک فایل ZIP بر روی دستگاه دریافت میشود. فایل ZIP مذکور حاوی کد JavaScript مخربی است که خود را بهعنوان بهروزرسانی مرورگر جا میزند. در ادامه از طریق wscript.exe فایل JavaScript دیگری فراخوانی و اجرا میشود. JavaScript در ابتدا مشخصههای دستگاه را با اجرای فرامین whoami،و net user و net group استخراج کرده و در ادامه با استفاده از PowerShell اسکریپتهای مخرب دیگری را دریافت میکند.
گسترش باج افزار در شبکه و غیر فعال کردن Windows Defender ها :
مرحله دوم حمله شامل توزیع Cobalt Strike است. بدینمنظور از PowerShell برای دریافت و اجرای یک فراخوانیکننده (Loader) که ناقل یک تزریقکننده (Injector) مبتنی بر NET. است استفاده میشود. به نظر میرسد که کدهای فراخوانیکننده و تزریقکننده بر پایه یک پروژه کد-باز با نام Donut که برای تزریق و اجرای کدهای مخرب در درون حافظه طراحی شده توسعه داده شدهاند.
مهاجمان با PsExec و mpcmdrun.exe که یک ابزار معتبر خط فرمان برای مدیریت Windows Defender است اقدام به غیرفعال کردن اسکن فایلها و پیوستهای دریافت شده، حذف بهروزرسانیها و در برخی موارد غیرفعال کردن کامل Windows Defender میکنند.
در ادامه با استفاده از PsExec، پروسه معتبر PowerShell اجرا گردیده و با فراخوانی کلاس win32_service سرویسها بازیابی شده و با فرمان net stop سرویسهای مورد نظر متوقف میشوند. پس از غیرفعال شدن Windows Defender و توقف سرویسها از PsExec برای اجرای باجافزار WastedLocker بهره گرفته شده و در ادامه فرایند رمزگذاری دادهها و حذف آغاز میشود.
باجافزار با انتخاب تصادفی یکی از فایلهای معتبر ذخیره شده در مسیر %SYSDIR%، نسخهای از آن را با نامی متفاوت در مسیر %APPDATA% ذخیره میکند. سپس ویژگی مخفی (Hidden) را به آن اعمال کرده و یک Alternate Data Stream را در قالب فایلی باعنوان bin: ایجاد میکند.
دادههای ذخیره شده در Alternate Data Stream – به اختصار ADS – بهسادگی توسط کاربر قابل شناسایی و روئیت نیستند. در ادامه باجافزار در فایل (در %APPDATA%) کپی شده و با پارامتر r- اجرا میشود.
بهمحض اجرای این ADS، فایل اصلی باجافزار در پوشه %SYSDIR% کپی شده و با ایجاد سرویسی برای این برنامه و در ادامه تنظیم خط فرمان آن با پارامتر s- پروسههای زیر اجرا میگردد:
vssadmin.exe
takeown.exe
icacls.exe
WastedLocker برای حذف نسخههای موسوم به Shadow با بهرهگیری از پروسه معتبر vssadmin.exe فرمان زیر را اجرا میکند:
vssadmin.exe Delete Shadows /All /Quiet
از icacls.exe در قالب اجرای دستور زیر نیز برای ترفیع سطوح دسترسی سرویس باجافزار استفاده میشود:
C:Windowssystem32icacls.exe C:Windowssystem32Id.exe /reset
همچنین Takeown.exe در قالب فرمان زیر اجرا میشود:
C:Windowssystem32 akeown.exe /F C:Windowssystem32Id.exe
برای رمزگذاری فایلها، WastedLocker از الگوریتمهای AES و RSA بهره میگیرد.
WastedLocker فایلهای موجود درایوهای زیر را هدف قرار میدهد:
- جداشدنی (Removable)
- ثابت (Fixed)
- به اشتراک گذاشته شده (Shared)
- از راه دور (Remote)
هر کدام از فایلها با کلید ۲۵۶ بیتی AES رمزگذاری میشوند. کلید مذکور خود نیز توسط کلید ۴۰۹۶ بیتی RSA رمزگذاری میشود.
به ازای هر فایل رمزگذاری شده، باجافزار فایل دیگری حاوی اطلاعیه باجگیری (Ransom Note) را ایجاد میکند. پسوند فایل رمزشده عبارتی شامل نام سازمان مورد هدف با پیشوند wasted است.
تصویر زیر نمونهای از فایلهای رمزگذاری شده و فایل اطلاعیه باجگیری آن را نمایش میدهد.
پس از پایان رمزگذاری، WastedLocker اقدام به حذف سرویسها و فایلهای با نام تصادفی میکند.
اطلاعیه باجگیری WastedLocker که نمونهای از آن در تصویر زیر قابل مشاهده است حاوی نشانی ایمیل مهاجمان و کلید عمومی RSA که برای رمزگذاری کلید AES مورد استفاده قرار گرفته است میباشد:
مبالغ اخاذی شده توسط این باجافزار از ۵۰۰ هزار دلار تا بیش از ۱۰ میلیون دلار گزارش شده است.
فایل های اصلی این باج افزار در زمان درج این خبر توسط 58 آنتی ویروس مختلف شناسائی میشود : گزارش اسکن
چرا این نوع حملات هدفمند حتی در حالت روز صفر - ZeroDay هم توسط ESET مسدود میشود :
همانطور که احتمالا پیش تر در ویدئوی معرفی تکنولوژی های ضدباج افزار ESET در این لینک مشاهده کردید در سامانه HIPS و Firewall سرویس های PowerShell و wscript.exe به صورت پیش فرض در کلاینت ها و سرور ها مسدود هستند و تنها با اجازه مدیر شبکه و از کنسول مدیریت آنتی ویروس این سرویس ها اجازه فعالیت دارند.
لذا این نوع حملات در همان نطفه بعد از دانلود کردن فایل Zip حاوی JavaScript توسط کاربر فریب خورده ، خفه خواهد شد. همچنین با توجه مسدود بودن ارتباط اینترنتی PowerShell یا Wscript در پالیسی های ضد باج افزاری فایروال آنتی ویروس ، هکر نمیتواند تزریق کننده ها و لودرهای مورد نیاز این نوع حملات را بر روی شبکه دانلود نماید.
توضیحات فنی نحوه کانفیگ شدن HIPS و Firewall برای جلوگیری از این حملات هدفمند را میتوانید در دو لینک مشاهده نمائید که کلیه این کانفیگ ها توسط واحد پشتیبانی فنی کامیران بر روی کنسول آنتی ویروس انجام شده است :
راهنمای پیکربندی HIPS و راهنمای پیکربندی Firewall برای پیشگیری از حملات روز صفر باج افزاری
منبع آنالیز رفتار باج افزار : سایت مکافی
برای دریافت سریع اخبار امنیتی در مورد ویروس ها و حملات جدید در کانال تلگرام مدیران شبکه شرکت کامیران عضو شوید :
آنتی ویروس تحت شبکه
