متخصصین لابراتوآر ویروس شناسی کامیران در جدیدترین بررسی های خود سرور آلوده به باج افزاری را آنالیز کردند که توسط آسیب پذیری های Oracle WebLogic با شناسه CVE-2018-3245 به باج افزار آلوده شده است.
سرور مذکور به باج افزار GandCrab V5 آلوده شده و هکر توانسته از سد آنتی ویروس سازمانی بیت دیفندر و نرم افزار ضد باج افزاری کسپرسکی که بر روی این سرور نصب بوده عبور کند ! بررسی های جرم شناسی این نوع حمله حاکی از این است که هکر بدون نیاز به غیر فعال کردن آنتی ویروس قادر به عبور از سد امنیتی آنها به واسطه آسیب پذیری های اوراکل شده است.
بررسی های اولیه نشان از این دارد که حملات از پورت 7001 مربوط به Oracle WebLogic و آسیب پذیری های این سرویس انجام شده است.
در حال حاضر متخصصین امنیتی ISC SANS و Netlab در حال بررسی این نوع حملات هستند اما آنچه واضح است این مطلب است که هکر ها با استفاده از آسیب پذیری های CVE-2018-2893 یا موارد مشابه اراکل میتوانند با استفاده اتوماسیون های میزبانی شده روی پورت 7001 اقدام به آلوده کردن سرور ها نمایند. پیش تر این آسیب پذیری ها برای آلوده کردن سرور ها به CoinMiner استفاده شده است:
منبع :
https://goo.gl/5cvCPV
توصیه متخصصین امنیتی شرکت کامیران در این خصوص مثل همیشه آپدیت نمودن سرویس های اوراکل و همچنین ویندوز های سرور بوده و ترجیها از ارائه سرویس روی پورت 7001 روی اینترنت خودداری شود. بهتر است سرویس های اتوماسیون ها و پرتال ها روی بستر اینترانت و یا تنها به وسیله VPN ارائه گردد.
همانطور که در تصاویر فوق هم مشاهده کردید باج افزار جدید GandCrab با استفاده از آسیب پذیری های ویندوز دسترسی Powershell را در اختیار گرفته و سپس فایل JavaScript خود را دانلود و بر روی سرور قربانی اجرا میکند.
در پالیسی های ضد باج افزاری چند لایه ESET به صورت پیش فرض استفاده از Powershell و JavaScript توسط مدیر سیستم مسدود شده است. لذا این نوع باج افزارها حتی در صورت عدم شناسائی در محیط های تحت شبکه ESET قابل اجرا نیست. همچنین ماژول ضد باج افزاری فایروال ESET اجازه دانلود هر گونه فایل به PowerShell را نخواهد داد.
از آنجا که دسترسی هکر این باج افزار به سرور مذکور به خاطر وجود آسیب پذیری های نرم افزاری بوده، لذا برای جلوگیری از این نوع حملات اکیدا توصیه میکنیم در سرورهای متصل به اینترنت کلیه وصله های امنیتی نرم افزارهای مورد استفاده به خصوص وب سرور ها و بانک های اطلاعاتی نصب شوند.