Sorebrect؛ باج‌افزاری بدون فایل!

به گزارش شرکت مهندسی شبکه گستر، محققان شرکت Trend Micro باج‌افزار پیشرفته‌ای با ویژگی Fileless (بدون فایل) شناسایی کرده‌اند که در بستر شبکه منتشر شده و پس از دسترسی یافتن از راه دور به دستگاه قربانی، کد مخرب خود را در یکی پروسه‌های سیستمی تزریق می‌کند. این باج‌افزار پس از پایان خرابکاری، با هدف پاکسازی ردپای خود، از روی سیستم حذف می‌شود.

بر اساس بررسی‌های انجام شده، این باج‌افزار که Sorebrect نامگذاری شده بر خلاف باج‌افزارهای رایج هر دو سیستم‌های سرور و ایستگاه کاری را هدف قرار می‌دهد. 

Sorebrect در اولین مرحله با اجرای حملات سعی و خطا (Brute Force) و برخی روش‌های دیگر می‌کوشد تا با حق دسترسی Administrator به دستگاه قربانی متصل شود. در ادامه با بهره‌گیری از ابزار مجاز Sysinternals PsExec – که امکان اجرای از راه دور کد را فراهم می‌کند – کد مخرب خود را در یکی از پروسه‌های سیستمی نظیر svchost.exe تزریق کرده و فایل‌های بر روی دستگاه و فایل‌های ذخیره شده در پوشه‌های اشتراکی متصل شده به آن را که کاربر هک شده به آنها دسترسی نوشتن دارد رمزگذاری می‌کند.

این باج‌افزار به فایل‌های رمزگذاری شده پسوند pr0tect. را الصاق می‌کند.

از دیگر اقدامات انجام شده توسط این باج‌افزار، حذف سوابق Event Logs و نسخه‌های Shadow Copy بترتیب با استفاده از پروسه‌های wevtutil.exe و vssadmin است.

Sorebrect با استفاده از شبکه مخرب Tor ارتباطات خود را با سرورهای فرماندهی مخفی می‌کند.

هر چند نخستین آلودگی‌ها به Sorebrect در منطقه خاورمیانه گزارش شده اما به نظر می‌رسد که آلودگی به این باج‌افزار به سرعت در نقاط دیگر جهان در حال گسترش است.

لازم به ذکر است، یکی از تکنیک‌های مورد استفاده بدافزارهای پیشرفته، استفاده از روشی موسوم به Fileless است. هدف، ماندگار کردن کد مخرب بدافزار بدون ذخیره آن به‌صورت فایل بر روی دیسک سخت است. با توجه به اینکه نرم‌افزارهای ضدویروس سنتی صرفاً اقدام به بررسی فایل‌ها در زمان نوشته شدن بر روی دیسک سخت و خوانده شدن از روی آن می‌کنند این روش می‌تواند براحتی این سد دفاعی را در هم بشکند. جزییات بیشتر در خصوص بدافزارهای Fileless در اینجا قایل دریافت و مطالعه است.