انتشار باج‌افزار GandCrab با سوءاستفاده از ضعف‌های امنیتی IE و Flash

در روزهای اخیر، گزارش‌هایی مبنی بر آلودگی برخی دستگاه‌ها به نسخه جدید باج‌افزار GandCrab به شرکت مهندسی شبکه گستر واصل شده است.

‌ باج‌افزار GandCrab فایل‌های با پسوندهای رایج را رمزگذاری کرده و به آنها پسوند CRAB را الصاق می‌کند.

نکته قابل توجه در مورد حمله اخیر، استفاده مهاجمان از بسته بهره‌جوی Magnitude به منظور آلوده نمودن دستگاه قربانیان به GandCrab است.

استفاده از این بسته بهره‌جو پیش‌تر تنها در انحصار باج‌فزار Magniber بود.

در حمله اخیر، مهاجمان با بکارگیری بسته بهره‌جوی Magnitude از آسیب‌پذیری‌های حیاتی CVE-2016-0189 و CVE-2018-4878 بترتیب در مرورگر Internet Explorer و نرم‌افزار Flash Player سوءاستفاده می‌کنند. این دو ضعف امنیتی، مهاجم را قادر به اجرای کد مخرب، بصورت از راه دور و بدون نیاز به هر گونه دخالت کاربر می‌کنند.

بنابراین باز شدن یک صفحه اینترنتی مخرب و دستکاری شده که حاوی بسته بهره‌جوی Magnitude است، سبب می‌گردد تا بدون آنکه کاربر بر روی لینکی کلیک کند یا فایلی را به اجرا در آورد، دستگاهی که دارای هر یک از آسیب‌پذیری‌های مذکور باشد به باج‌افزار GandCrab آلوده شود.

در این حمله نیز مهاجمان با ارسال ایمیل‌های حاوی عناوین و محتوای جذاب کاربران را تشویق به کلیک بر روی لینک درج شده در داخل ایمیل کرده و در ادامه کاربر را هدایت به صفحه اینترنتی حاوی بسته بهره‌جو می‌کنند.

به تمامی مدیران شبکه و کاربران توصیه می‌شود که از نصب بودن تمامی اصلاحیه‌های امنیتی برای مرورگر Internet Explorer از جمله MS16-051 و MS16-053 و نرم‌افزار Flash Player به ویژه APSA18-01 که در این حمله مورد سوء‌استفاده قرار گرفته‌اند اطمینان حاصل کنند.

البته خوانندگان اطلاع دارند که امکان به‌روزرسانی نرم‌افزارهای شرکت Adobe نظیر Flash Player با نشانی‌های IP ایرانی وجود نداشته و کاربران و مدیران شبکه باید با استفاده از روش‎ها و ابزارهای دیگر اقدام به این کار کنند. ذکر این نکته ضروری است که سالهاست که متخصصان امنیتی به کاربران توصیه می‌کنند که در صورت امکان از نصب نرم‌افزار Flash Player بر روی دستگاه‌های خود اجتناب کنند. دلیل این توصیه وجود آسیب‌پذیری‌ها و ضعف‌های امنیتی فراوان در این نرم‌افزار است. بنحوی که بسیاری از ویروس‌نویسان و هکرها، از جمله مهاجمان همین حمله، با بهره‌جویی از آسیب‌پذیری‌های آن اقدام به آلوده کردن دستگاه و رخنه به شبکه قربانیان خود می‌کنند. شرکت Adobe نیز اعلام نموده که پشتیبانی از این محصول معروف خود را در پایان سال 2020 متوقف خواهد کرد.

همچنین در این حمله، از روش موسوم به “بدون فایل” (File-less) برای فراخوانی و اجرای فایل اصلی باج‌افزار استفاده شده است. “بدون فایل” از جمله تکنیک‌های پیشرفته آلوده‌سازی است که شناسایی و تشخیص فایل مخرب را برای محصولات امنیتی دشوار و حتی در ضدویروس‌های سنتی غیرممکن می‌سازد.

برای مثال، در فرآیند اجرا، کد مخرب توسط یکی از فایل‌های مجاز سیستم عامل از اینترنت دریافت شده و بدون ذخیره شدن بر روی دیسک سخت به یکی دیگر از پروسه‌های مجاز تزریق می‌شود. بنابراین با توجه به عدم نوشته شدن کدهای آلوده بر روی دیسک سخت دستگاه، ضدویروس‌های موسوم به سنتی از اجرای بدافزار آگاه نشده و در نتیجه واکنشی به آن نشان نمی‌دهند.

لازم به ذکر است که در اسفند ماه سال گذشته شرکت ضدویروس Bitdefender اقدام به عرضه ابزاری برای بازگردانی فایل‌های رمز شده توسط باج‌افزار GandCrab کرد. با این حال متأسفانه در زمان انتشار این خبر، امکان رمزگشایی فایل‌های رمزگذاری شده توسط نسخه جدید GandCrab بدون در اختیار داشتن کلید فراهم نیست.

همچون همیشه، برای ایمن ماندن از گزند باج‌افزارها، رعایت موارد زیر توصیه می‌شود:

• از ضدویروس قدرتمند و به‌روز استفاده کنید. نمونه بررسی شده در این خبر توسط ضدویروس‌های McAfee و Bitdefender بترتیب با نام‌های Artemis!77841B2F0605 و Generic.Ransom.GandCrab.4C55CC39 شناخته می‌شود.
• از اطلاعات سازمانی به‌صورت دوره‌ای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای داده‌های حیاتی توصیه می‌شود. بر طبق این قاعده، از هر فایل سه نسخه می‌بایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایل‌ها باید بر روی دو رسانه ذخیره‌سازی مختلف نگهداری شوند. یک نسخه از فایل‌ها می‌‌بایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
• از نصب فوری آخرین اصلاحیه‌های امنیتی اطمینان حاصل کنید.
• به دلیل انتشار برخی از باج‌افزارها از طریق سوءاستفاده از قابلیت Dynamic Data Exchange در Office، با استفاده از این راهنما نسبت به پیکربندی صحیح آن اقدام کنید.
• با توجه به انتشار بخش قابل توجهی از باج‌افزارها از طریق فایل‌های نرم‌افزار Office حاوی ماکروی مخرب، تنظیمات امنیتی ماکرو را بنحو مناسب پیکربندی کنید. برای این منظور می‌توانید از این راهنما استفاده کنید.
• ایمیل‌های دارای پیوست ماکرو را در درگاه شبکه مسدود کنید. بدین منظور می‌توانید از تجهیزات دیواره آتش، همچون Sophos بهره بگیرید. 
• آموزش و راهنمایی کاربران سازمان به صرف‌نظر کردن از فایل‌های مشکوک و باز نکردن آنها می‌تواند نقشی مؤثر در پیشگیری از اجرا شدن این فایل‌ها داشته باشد. برای این منظور می‌توانید از این داده‌نمایی‌ها استفاده کنید.
• پودمان RDP را غیرفعال کرده یا حداقل کاربران محدود با گذرواژه‌های پیچیده را مجاز به استفاده از آن کنید.
• از ابزارهای موسوم به بررسی کننده سایت استفاده شود.
• دسترسی به پوشه‌های اشتراکی در حداقل سطح ممکن قرار داده شود.
• سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باج‌افزار آلوده نمی‌شود.
• در دوره های آگاهی رسانی شرکت مهندسی شبکه گستر، شرکت کنید. شرکت در این دوره‌ها برای مشتریان شرکت مهندسی شبکه گستر رایگان است.