به گزارش شرکت مهندسی شبکه گستر، محققان شرکت Trend Micro باجافزار پیشرفتهای با ویژگی Fileless (بدون فایل) شناسایی کردهاند که در بستر شبکه منتشر شده و پس از دسترسی یافتن از راه دور به دستگاه قربانی، کد مخرب خود را در یکی پروسههای سیستمی تزریق میکند. این باجافزار پس از پایان خرابکاری، با هدف پاکسازی ردپای خود، از روی سیستم حذف میشود.
بر اساس بررسیهای انجام شده، این باجافزار که Sorebrect نامگذاری شده بر خلاف باجافزارهای رایج هر دو سیستمهای سرور و ایستگاه کاری را هدف قرار میدهد.
Sorebrect در اولین مرحله با اجرای حملات سعی و خطا (Brute Force) و برخی روشهای دیگر میکوشد تا با حق دسترسی Administrator به دستگاه قربانی متصل شود. در ادامه با بهرهگیری از ابزار مجاز Sysinternals PsExec – که امکان اجرای از راه دور کد را فراهم میکند – کد مخرب خود را در یکی از پروسههای سیستمی نظیر svchost.exe تزریق کرده و فایلهای بر روی دستگاه و فایلهای ذخیره شده در پوشههای اشتراکی متصل شده به آن را که کاربر هک شده به آنها دسترسی نوشتن دارد رمزگذاری میکند.
این باجافزار به فایلهای رمزگذاری شده پسوند pr0tect. را الصاق میکند.
از دیگر اقدامات انجام شده توسط این باجافزار، حذف سوابق Event Logs و نسخههای Shadow Copy بترتیب با استفاده از پروسههای wevtutil.exe و vssadmin است.
Sorebrect با استفاده از شبکه مخرب Tor ارتباطات خود را با سرورهای فرماندهی مخفی میکند.
هر چند نخستین آلودگیها به Sorebrect در منطقه خاورمیانه گزارش شده اما به نظر میرسد که آلودگی به این باجافزار به سرعت در نقاط دیگر جهان در حال گسترش است.
لازم به ذکر است، یکی از تکنیکهای مورد استفاده بدافزارهای پیشرفته، استفاده از روشی موسوم به Fileless است. هدف، ماندگار کردن کد مخرب بدافزار بدون ذخیره آن بهصورت فایل بر روی دیسک سخت است. با توجه به اینکه نرمافزارهای ضدویروس سنتی صرفاً اقدام به بررسی فایلها در زمان نوشته شدن بر روی دیسک سخت و خوانده شدن از روی آن میکنند این روش میتواند براحتی این سد دفاعی را در هم بشکند. جزییات بیشتر در خصوص بدافزارهای Fileless در اینجا قایل دریافت و مطالعه است.