باج‌افزار بدون فایل Sorebrect کدهای مخرب را به درون سامانه‌ها تزریق می‌کند
بر هیچ‌کس پوشیده نیست که مهارت‌های هکرها و مجرمان سایبری در سال‌های اخیر رشد چشم‌گیری داشته و اکنون خلافکاران سایبری از تکنیک‌های نوآورانه و پنهانی برای نفوذ به سامانه‌های کاربران استفاده می‌کنند. هکرها به‌خوبی آگاه شده‌اند که باید خود را با تغییرات عرصه فناوری هماهنگ سازند. در حالی که هر روز اشکال جدیدی از حملات سایبری شناسایی می‌شود، به نظر می‌رسد هکرها تکنیک‌های سنتی را هنوز فراموش نکرده‌اند و الگوهای نفوذ سنتی را با رویکردی مدرن مورد استفاده قرار می‌دهند.

بر همین ارتباط، کارشناسان امنیتی موفق شدند باج‌افزار بدون فایل جدیدی را با قابلیت خودتخریبی شناسایی کنند. باج‌افزار مذکور Sorebrect نام دارد. این باج‌افزار قادر است کدهای مخرب را به ماشین هدف و به درون فرآیند معتبر و قانونی ویندوز svchost.exe تزریق و در ادامه به‌منظور فرار از دست مکانیسم‌های امنیتی خود را نابود کند. برعکس باج‌افزارهای سنتی، Sorebrect تنها به‌منظور حمله به سرورهای سازمانی و نقاط پایانی طراحی شده است. زمانی که کد مخرب به درون سامانه‌ای تزریق می‌شود، در ادامه پردازنده رمزنگار فایل‌ها روی ماشین محلی و ماشین‌های متصل به شبکه را مقداردهی اولیه می‌کند. این باج‌افزار بدون فایل ابتدا سعی می‌کند اعتبارنامه‌های سطح مدیریتی را از طریق یک حمله جست‌وجوی فراگیر یا دیگر روش‌های رایج مورد تهدید قرار دهد و در ادامه از ابزار خط فرمان Sysinternals PsExec برای رمزنگاری فایل‌ها استفاده کند. ترندمیکرو در این ارتباط گفته است: «PsExec به هکرها اجازه می‌دهد به‌جای آنکه از یک نشست لاگین تعاملی یا انتقال دستی بدافزارها به یک ماشین راه دور استفاده کنند، فرمان‌های خود را از راه دور به اجرا درآورند.»

Sorebrect این توانایی را دارد تا شبکه محلی را به‌منظور کامپیوترهایی که به آن متصل شده‌اند مورد پویش قرار دهد. این‌ کار با هدف پیدا کردن فایل‌های به اشتراک گذاشته شده انجام می‌شود. پژوهشگران در این ارتباط گفته‌اند: «باج‌افزار فوق اگر موفق شد هر پوشه‌ای که از سوی هر کاربری در شبکه به اشتراک قرار گرفته و قابلیت دسترسی خواندن و نوشتن برای آن فعال شده است را پیدا کند، این فایل را رمزنگاری می‌کند. در ادامه همه فایل‌های گزارش و کپی‌های سایه‌ای(Shadow Copies) که به‌منظور ثبت اتفاقات مورد استفاده قرار می‌گیرند، از روی سامانه آلوده حذف می‌کند. این امر باعث می‌شود تا اطلاعات مهر زمانی (Timestamp) فایل‌ها از بین بروند که همین موضوع شناسایی تهدید را مشکل می‌سازد.» Soreberct از شبکه‌های پنهان‌ساز به‌منظور برقراری ارتباط با مرکز کنترل و فرمان‌دهی خود استفاده می‌کند. شبیه به رویکردی که از سوی بدافزارهای مختلف مورد استفاده قرار می‌گیرد. گزارش منتشر شده از سوی کارشناسان امنیتی نشان می‌دهد این باج‌افزار قادر است گسترش جهانی پیدا کند. 

باج‌افزار بدون فایل Soreberct به‌منظور نفوذ به انواع مختلفی از اهداف همچون تولیدکنندگان، شرکت‌های فعال در حوزه فناوری و شرکت‌های مخابراتی طراحی شده است. آن ‌گونه که ترمندمیکرو گزارش داده است، با‌ج‌افزار فوق نخستین بار کشورهای خاورمیانه را هدف خود قرار داد. در ادامه به‌سراغ کشورهایی همچون کانادا، چین، کرواسی، ایتالیا، ژاپن، مکزیک، روسیه، تایوان و ایالات متحده رفت. پژوهشگران در بخشی از گزارش خود آورده‌اند: «با توجه به تأثیر بالقوه و سودآوری باج‌افزار فوق جای تعجبی نخواهد بود، اگر این باج‌افزار به‌سراغ صنایع دیگری همچون بهداشت و درمان و خدمات مالی برود. حتی این احتمال وجود دارد که هکرها در دنیای زیرزمینی این با‌ج‌افزار در قالب سرویس در اختیار مشتریان خود قرار دهند.»

مطلب پیشنهادی

۷ اشتباه امنیتی مرگ‌بار که احتمالا شما هم مرتکب می‌شوید

این اولین باری نیست که پژوهشگران موفق شده‌اند یک باج‌افزار بدون کد را شناسایی کنند. دو ماه پیش، پژوهشگران امنیتی یک حمله DNSMessenger را شناسایی کردند. حمله‌ای که به‌طور کامل فاقد فایل بود و از ویژگی پیام‌های DNS TXT به‌منظور حمله به سامانه‌های کامپیوتری استفاده می‌کرد. با توجه به اینکه باج‌افزار فوق به‌جای آنکه کاربران عادی را هدف قرار دهد سازمان‌ها را به‌عنوان اهداف خود برگزیده است، در نتیجه کارشناسان امنیتی به مدیران شبکه و متخصصان امنیت اطلاعات پیشنهاد داده‌اند برای محافظت از خود و زیرساخت‌های سازمان مطبوعشان چهار اقدام اساسی را انجام دهند. اول آنکه تعداد کاربرانی را که مجوز نوشتن دارند محدود کنند. دوم آنکه مجوز‌های مربوط به برنامه PsExec را محدود کنند، به ‌طوری که تنها مدیران یک سامانه قادر باشند از این فایل استفاده کنند. سوم آنکه سیستم‌ها و شبکه‌های خود را به‌روز نگه دارند و چهارم اینکه به‌طور منظم از فایل‌های خود نسخه پشتیبان تهیه کنند. درنهایت، سازمان‌ها نباید از آموزش کارمندان و آگاه‌سازی آن‌ها در ارتباط با فعالیت‌های مخرب و بردارهای حمله غافل شوند. 

ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را می‌توانید از کتابخانه‌های عمومی سراسر کشور و نیز از دکه‌های روزنامه‌فروشی تهیه نمائید.

ثبت اشتراک نسخه کاغذی ماهنامه شبکه     
ثبت اشتراک نسخه آنلاین

 

کتاب الکترونیک +Network راهنمای شبکه‌ها

  • برای دانلود تنها کتاب کامل ترجمه فارسی +Network  اینجا  کلیک کنید.

کتاب الکترونیک دوره مقدماتی آموزش پایتون

  • اگر قصد یادگیری برنامه‌نویسی را دارید ولی هیچ پیش‌زمینه‌ای ندارید اینجا کلیک کنید.

ایسوس

نظر شما چیست؟