شركت كاميران نمایندگی ESET | Kaspersky | Bitdefender - آنالیز حمله باج افزاری WastedLocker
 
 

 
منوی اصلی

گواهینامه های کامیران










مرکز ارتباط کامیران

مرکز تماس کامیران :
شبانه روزی

47251 - 021
44007217 - 021
( 40 خط ويژه )

موارد اضطراری امور مشتریان
09302700800


کانال تلگرام کامیران:
KAMIRANChannel@

ارتباط از طریق پیامرسانها:
تلگرام فروش: @KAMIRANco
واتساپ فروش : 09302700800

  تلگرام واحد پشتیبانی:
@KAMIRANSupport
واتساپ واحد پشتیبانی:
09332050007

کامیران در سایر پیامرسانها:
(سروش ، گپ ، بله و ... )
KAMIRAN SocialMedia

سامانه پیامکی:
02147251

 

 


رادار ویروس ها


اطلاعات آخرین آپدیت ها
و لیست ویروس های جدید
از لابراتوار های ESET


اطلاعات شناسائی لحظه ای
از لابراتوآر Kaspersky
 
 

آنالیز حمله باج افزاری WastedLocker
اخبار باج افزاری

  آنالیز یک حمله باج افزاری هدفمند از WastedLocker :

هکرها در حال اجرای رشته حملاتی کاملاً هدفمند هستند که در جریان آنها با استفاده از باج‌افزار WastedLocker سرورها و کلاینت ها دچار اختلال شده و از قربانی مبالغ هنگفتی از ۵۰۰ هزار دلار تا بیش از ۱۰ میلیون دلار  اخاذی می‌شود. در این حمله هدفمند از ترکیب حملات مبتنی بر JavaScript و PowerShell استفاده شده است که در ادامه جزعیات کامل آنها را شرح خواهیم داد. سامانه های ضد باج افزاری ESET مبتنی بر HIPS و Firewall کلیه این نوع حملات را حتی در وضعیت روز صفر آنها مسدود میکند. براي اطلاعات بيشتر بر روي ادامه خبر كليك نمائيد.


WastedLocker را می‌توان نمونه‌ای نسبتاً جدید از باج‌افزارهای هدفمند دانست که به نظر می‌رسد توسط گروه Evil Corp توسعه داده شده است. این گروه منتسب به مهاجمان روسی، پیش‌تر نیز در انتشار اسب تروای بانکی Dridex و باج‌افزار BitPaymer نقش داشته است. برخی منابع، درآمد Evil Corp از دو بدافزار مذکور را ده‌ها میلیون دلار برآورد می‌کنند. دو نفر از گردانندگان این گروه در فهرست افراد تحت تعقیب وزارت دادگستری آمریکا قرار داشته و FBI در ازای هر گونه اطلاعاتی که منجر به دستگیری این متهمان شود پاداشی ۵ میلیون دلاری تعیین کرده است.

در این حملات از یک سازوکار مخرب مبتنی بر JavaScript، معروف به SocGholish بهره گرفته شده است.


چگونه آنتی ویروس ها میتوانند در حالت ناشناخته و اصطلاحا ZeroDay یک حمله باج افزاری از سمت کلاینت یا سرور را مسدود نمایند ؟

شرکت های امنیتی همانند ESET با بررسی رفتار چند صد باج افزار مختلف پالیسی های ضد باج افزاری را طراحی کرده اند که این نوع حملات را در نطفه خفه خواهد کرد. (ویدئوی تکنولوژی های چند لایه ضد باج افراری را حتما مشاهده نمائید) برای درک کامل این موضوع ابتدا نحوه حمله این باج افزار را مطالعه نموده و سپس پاراگراف آخر در مورد سامانه های ضدباج افزاری با مطالعه فرمائید.


شروع حمله : فریب کاربران عادی شرکت یا سازمان :

این هکرها با هک حداقل 150 سایت معتبر به ‌نحوی در کدهای آنها دست‌درازی کرده‌اند که در صورت باز شدن صفحه در مرورگر، کاربر به سایتی حاوی کد ناقل SocGholish هدایت شود. در آنجا با نمایش پیامی مشابه با آنچه که در تصویر زیر قابل مشاهده است کاربر تشویق به کلیک بر روی دکمه پنجره با پیغام جعلی می شود :





در صورت در دام افتادن کاربر ناآگاه، یک فایل ZIP بر روی دستگاه دریافت می‌شود. فایل ZIP مذکور حاوی کد JavaScript مخربی است که خود را به‌عنوان به‌روزرسانی مرورگر جا می‌زند. در ادامه از طریق wscript.exe فایل JavaScript دیگری فراخوانی و اجرا می‌شود. JavaScript در ابتدا مشخصه‌های دستگاه را با اجرای فرامین whoami،و net user و net group استخراج کرده و در ادامه با استفاده از PowerShell اسکریپت‌های مخرب دیگری را دریافت می‌کند.


گسترش باج افزار در شبکه و غیر فعال کردن Windows Defender ها :

مرحله دوم حمله شامل توزیع Cobalt Strike است. بدین‌منظور از PowerShell برای دریافت و اجرای یک فراخوانی‌کننده (Loader) که ناقل یک تزریق‌کننده (Injector) مبتنی بر NET. است استفاده می‌شود. به نظر می‌رسد که کدهای فراخوانی‌کننده و تزریق‌کننده بر پایه یک پروژه کد-باز با نام Donut که برای تزریق و اجرای کدهای مخرب در درون حافظه طراحی شده توسعه داده شده‌اند.

مهاجمان با PsExec و mpcmdrun.exe که یک ابزار معتبر خط فرمان برای مدیریت Windows Defender است اقدام به غیرفعال کردن اسکن فایل‌ها و پیوست‌های دریافت شده، حذف به‌روزرسانی‌ها و در برخی موارد غیرفعال کردن کامل Windows Defender می‌کنند.

در ادامه با استفاده از PsExec، پروسه معتبر PowerShell اجرا گردیده و با فراخوانی کلاس win32_service سرویس‌ها بازیابی شده و با فرمان net stop سرویس‌های مورد نظر متوقف می‌شوند. پس از غیرفعال شدن Windows Defender و توقف سرویس‌ها از PsExec برای اجرای باج‌افزار WastedLocker بهره گرفته شده و در ادامه فرایند رمزگذاری داده‌ها و حذف آغاز می‌شود.

باج‌افزار با انتخاب تصادفی یکی از فایل‌های معتبر ذخیره شده در مسیر %SYSDIR%، نسخه‌ای از آن را با نامی متفاوت در مسیر %APPDATA% ذخیره می‌کند. سپس ویژگی مخفی (Hidden) را به آن اعمال کرده و یک Alternate Data Stream را در قالب فایلی باعنوان bin: ایجاد می‌کند.

داده‌های ذخیره شده در Alternate Data Stream – به اختصار ADS – به‌سادگی توسط کاربر قابل شناسایی و روئیت نیستند. در ادامه باج‌افزار در فایل (در %APPDATA%) کپی شده و با پارامتر r- اجرا می‌شود.

به‌محض اجرای این ADS، فایل اصلی باج‌افزار در پوشه %SYSDIR% کپی شده و با ایجاد سرویسی برای این برنامه و در ادامه تنظیم خط فرمان آن با پارامتر s- پروسه‌های زیر اجرا می‌گردد:

vssadmin.exe
takeown.exe
icacls.exe

WastedLocker برای حذف نسخه‌های موسوم به Shadow با بهره‌گیری از پروسه معتبر vssadmin.exe فرمان زیر را اجرا می‌کند:

vssadmin.exe Delete Shadows /All /Quiet

از icacls.exe در قالب اجرای دستور زیر نیز برای ترفیع سطوح دسترسی سرویس باج‌افزار استفاده می‌شود:

C:Windowssystem32icacls.exe C:Windowssystem32Id.exe /reset

همچنین Takeown.exe در قالب فرمان زیر اجرا می‌شود:

    C:Windowssystem32 akeown.exe /F C:Windowssystem32Id.exe

برای رمزگذاری فایل‌ها، WastedLocker از الگوریتم‌های AES و RSA بهره می‌گیرد.

WastedLocker فایل‌های موجود درایوهای زیر را هدف قرار می‌دهد:

  • جداشدنی (Removable)
  • ثابت (Fixed)
  • به اشتراک گذاشته شده (Shared)
  • از راه دور (Remote)

هر کدام از فایل‌ها با کلید ۲۵۶ بیتی AES رمزگذاری می‌شوند. کلید مذکور خود نیز توسط کلید ۴۰۹۶ بیتی RSA رمزگذاری می‌شود.

به ازای هر فایل رمزگذاری شده، باج‌افزار فایل دیگری حاوی اطلاعیه باج‌گیری (Ransom Note) را ایجاد می‌کند. پسوند فایل رمزشده عبارتی شامل نام سازمان مورد هدف با پیشوند wasted است.

تصویر زیر نمونه‌ای از فایل‌های رمزگذاری شده و فایل اطلاعیه باج‌گیری آن را نمایش می‌دهد.

پس از پایان رمزگذاری، WastedLocker اقدام به حذف سرویس‌ها و فایل‌های با نام تصادفی می‌کند.

اطلاعیه باج‌گیری WastedLocker که نمونه‌ای از آن در تصویر زیر قابل مشاهده است حاوی نشانی ایمیل مهاجمان و کلید عمومی RSA که برای رمزگذاری کلید AES مورد استفاده قرار گرفته است می‌باشد:






مبالغ اخاذی شده توسط این باج‌افزار از ۵۰۰ هزار دلار تا بیش از ۱۰ میلیون دلار گزارش شده است.

فایل های اصلی این باج افزار در زمان درج این خبر توسط 58 آنتی ویروس مختلف شناسائی میشود : گزارش اسکن



چرا این نوع حملات هدفمند حتی در حالت روز صفر - ZeroDay هم توسط ESET مسدود میشود :

همانطور که احتمالا پیش تر در ویدئوی معرفی تکنولوژی های ضدباج افزار ESET در این لینک مشاهده کردید در سامانه HIPS و Firewall سرویس های PowerShell و wscript.exe به صورت پیش فرض در کلاینت ها و سرور ها مسدود هستند و تنها با اجازه مدیر شبکه و از کنسول مدیریت آنتی ویروس این سرویس ها اجازه فعالیت دارند.

لذا این نوع حملات در همان نطفه بعد از دانلود کردن فایل Zip حاوی JavaScript توسط کاربر فریب خورده ، خفه خواهد شد. همچنین با توجه مسدود بودن ارتباط اینترنتی PowerShell یا Wscript در پالیسی های ضد باج افزاری فایروال آنتی ویروس ، هکر نمیتواند تزریق کننده ها و لودرهای مورد نیاز این نوع حملات را بر روی شبکه دانلود نماید.

توضیحات فنی نحوه کانفیگ شدن HIPS و Firewall برای جلوگیری از این حملات هدفمند را میتوانید در دو لینک مشاهده نمائید که کلیه این کانفیگ ها توسط واحد پشتیبانی فنی کامیران بر روی کنسول آنتی ویروس انجام شده است :

راهنمای پیکربندی HIPS و راهنمای پیکربندی Firewall برای پیشگیری از حملات روز صفر باج افزاری



منبع آنالیز رفتار باج افزار : سایت مکافی



برای دریافت سریع اخبار امنیتی در مورد ویروس ها و حملات جدید در کانال تلگرام مدیران شبکه شرکت کامیران عضو شوید :
کانال مدیران فناوری اطلاعات شرکت کامیران:
KAMIRANChannel@



لابراتوآر ويروس شناسی شركت مهندسي كاميران
____________________________________________________

   


کلمات کليدي : باج افزار WastedLocker حمله هدفمند Ransomware

ارسال شده در مورخه : جمعه، 3 مرداد ماه ، 1399 توسط administrator  چاپ مطلب

 

مرتبط با موضوع :

 آسیب پذیری بحرانی در ConnectWise ScreenConnect  [پنجشنبه، 3 اسفند ماه ، 1402]
 آسیب پذیری خطرناک در فایروالهای Fortigate  [پنجشنبه، 3 اسفند ماه ، 1402]
 هک فایروال Sophos در ده ثانیه  [جمعه، 21 مرداد ماه ، 1401]
 اطلاعیه افتا برای حمله سایبری مهر99  [يكشنبه، 4 آبان ماه ، 1399]
 ESET حملات Zerologon را مسدود میکند  [جمعه، 25 مهر ماه ، 1399]
 حمله باج افزاری Makop  [سه شنبه، 27 اسفند ماه ، 1398]
 آنالیز یک حمله باج افزاری Phobos  [سه شنبه، 17 ارديبهشت ماه ، 1398]
 آنالیز یک حمله باج افزاری RDP  [شنبه، 10 فروردين ماه ، 1398]
 سومین ابزار رمزگشایی GandCrab  [چهارشنبه، 1 اسفند ماه ، 1397]
 ابزار رمزگشایی باج افزار DesuCrypt  [سه شنبه، 27 آذر ماه ، 1397]

امتیاز دهی به مطلب
امتیاز متوسط : 4.6
تعداد آراء: 5


لطفا رای مورد نظرتان را در مورد این مطلب ارائه نمائید :

عالی
خیلی خوب
خوب
متوسط
بد


اشتراک گذاري مطلب


انتخاب ها

 نمایش تمام صفحه این مقاله نمایش تمام صفحه این مقاله


صفحه اصلي |  آنتی ویروس اورجینال |  نمایندگان ما |  برخی از مشترکین کامیران |  تماس با کامیران
كليه حقوق اين وب سايت متعلق به شركت ایمن کارا کام ایرانیان ( صاحب امتیاز برند کامیران ) مي باشد - 2023-2011

  


وقت بخیر، کاربر عزیز
از مشاوره آنلاین ما استفاده کنید!



مشاوره خرید و پشتیبانی
نمایندگی قویترین آنتی ویروسهای جهان
( شبانه روزی )