باج افزار گند کرب

انتشار باج‌افزار مخرب GandCrab از طریق بسته بهره‌جوی Fallout

شرکت امنیتی فایرآی در گزارشی از انتشار باج‌افزار معروف GandCrab از طریق بسته بهره‌جوی جدید Fallout خبر داده است.

به گزارش شرکت مهندسی شبکه گستر، Fallout نخستین بار حدود دو هفته قبل توسط یک محقق امنیتی شناسایی شد. این بسته بهره‌جو، از آسیب‌پذیری CVE-2018-8174 در بخش مدیریت‌کننده کدهای VBScript و از آسیب‌پذیری CVE-2018-4878 در محصول Adobe Flash Player سواستفاده کرده و کد مخرب مورد نظر مهاجمان را بر روی دستگاه قربانی به‌صورت از راه دور نصب و اجرا می‌کند.

مهاجمان معمولا بسته‌های بهره‌جو را در سایت‌های با محتوای جذاب یا سایت‌های معتبر هک شده تزریق می‌کنند تا از این طریق در زمان مراجعه کاربر به سایت از آسیب‌پذیری‌های موجود در سیستم عامل و نرم‌افزارهای نصب شده بر روی دستگاه سواستفاده شود.

Fallout در ابتدا تلاش می‌کند تا از آسیب‌پذیری VBScript بهره‌جویی کند. در صورت آسیب‌پذیر نبودن آن (به دلیل نصب بودن اصلاحیه مربوطه) و یا غیرفعال بودن VBScript به سراغ بهره‌جوی دوم به منظور سواستفاده از نرم‌افزار Flash Player می‌رود.

در صورت موفقیت‌آمیز بودن فرآیند بهره‌جویی، یک اسب تروا بر روی دستگاه نصب می‌شود. یکی از وظایف این اسب تروا بررسی وجود هر یک از پروسه‌های زیر است:

vmwareuser.exe
vmwareservice.exe
vboxservice.exe
vboxtray.exe
Sandboxiedcomlaunch.exe
procmon.exe
regmon.exe
filemon.exe
wireshark.exe
netmon.exe
vmtoolsd.exe

از آنجا که پروسه‌های مذکور معمولا توسط تحلیلگران بدافزار مورد استفاده قرار می‌گیرند، در صورت مشاهده هر یک از آنها، اسب تروا وارد یک Loop بی‌پایان شده و عملا هیچ اقدام مخربی را از خود بروز نمی‌دهد. در غیر این صورت یک فایل DLL دریافت شده و باج‌افزار GandCrab بر روی دستگاه نصب می‌شود.

در نسخه استفاده شده در این کارزار، پسوند KRAB به فایل‌های رمزگذاری شده الصاق شده و در ازای آن چه که نویسندگان GandCrab فراهم نمودن ابزار رمزگشایی فایل‌ها می‌خوانند مبلغ 499 دلار از قربانی اخاذی می‌شود.

با توجه به این که بسته بهره‌جوی Fallout صرفا بر روی دستگاه‌های با سیستم عامل Windows قابل اجراست، مهاجمان کارزار اخیر آن دسته از مراجعه‌کنندگان به سایت حاوی بهره‌جو را که سیستم عامل آنها MacOS است به صفحه‌ای دیگر هدایت کرده و در آن کاربر تشویق به دریافت فایلی در ظاهر یک نرم‌افزار ضدویروس و یا نرم‌افزار Flash Player می‌گردد. با دریافت و نصب هر یک از فایل‌های جعلی مذکور، دستگاه به GandCrab آلوده می‌شود.

 

توضیح این که نمونه‌های اشاره شده در گزارش فایرآی با نام‌های زیر قابل شناسایی هستند:

Bitdefender:
   – Trojan.AgentWDCR.NXA
   – Generic.Ransom.GandCrab4.21143E99

McAfee:
   – Generic.dyf
   – Ran-GandCrabv4!8DBAF2FDA5D1

Sophos:
   – Mal/Generic-L
   – Mal/Generic-S

مشروح گزارش فایرآی در لینک زیر قابل دریافت و مطالعه است:

https://www.fireeye.com/blog/threat-research/2018/09/fallout-exploit-kit-used-in-malvertising-campaign-to-deliver-gandcrab-ransomware.html

همچون همیشه، برای ایمن ماندن از گزند باج‌افزارها، رعایت موارد زیر توصیه می‌شود:

  • از ضدویروس قدرتمند و به‌روز استفاده کنید.
  • از اطلاعات سازمانی به‌صورت دوره‌ای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای داده‌های حیاتی توصیه می‌شود. بر طبق این قاعده، از هر فایل سه نسخه می‌بایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایل‌ها باید بر روی دو رسانه ذخیره‌سازی مختلف نگهداری شوند. یک نسخه از فایل‌ها می‌‌بایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
  • از نصب فوری آخرین اصلاحیه‌های امنیتی اطمینان حاصل کنید.
  • به دلیل انتشار برخی از باج‌افزارها از طریق سوءاستفاده از قابلیت Dynamic Data Exchange در Office، با استفاده از این راهنما نسبت به پیکربندی صحیح آن اقدام کنید.
  • با توجه به انتشار بخش قابل توجهی از باج‌افزارها از طریق فایل‌های نرم‌افزار Office حاوی ماکروی مخرب، تنظیمات امنیتی ماکرو را بنحو مناسب پیکربندی کنید. برای این منظور می‌توانید از این راهنما استفاده کنید.
  • ایمیل‌های دارای پیوست ماکرو را در درگاه شبکه مسدود کنید. بدین منظور می‌توانید از تجهیزات دیواره آتش، همچون Sophos بهره بگیرید. 
  • آموزش و راهنمایی کاربران سازمان به صرف‌نظر کردن از فایل‌های مشکوک و باز نکردن آنها می‌تواند نقشی مؤثر در پیشگیری از اجرا شدن این فایل‌ها داشته باشد. برای این منظور می‌توانید از این داده‌نمایی‌ها استفاده کنید.
  • با مطالعه این راهنما سازمان را در برابر باج افزارهای مبتنی بر پودمان RDP ایمن نگاه دارید.
  • از ابزارهای موسوم به بررسی کننده سایت استفاده شود.
  • دسترسی به پوشه‌های اشتراکی در حداقل سطح ممکن قرار داده شود.
  • سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باج‌افزار آلوده نمی‌شود.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *