آسیبپذیری SMB همچنان قربانی میگیرد
محققان شرکت ترند مایکرو از شناسایی بدافزار جدیدی متشکل از دو ابزار هک معروف و یک استخراجکننده ارز رمز مونرو خبر دادهاند.
این بدافزار با پویش شبکه و اینترنت اقدام به بهرهجویی از یک ضعف امنیتی نسبتا قدیمی کرده و سپس بهصورت از راه دور و بدون هر گونه دخالت کاربر، خود را بر روی دستگاه آسیبپذیر نصب میکند.
آسیبپذیری مورد بهرهجویی توسط این بدافزار ضعفی در بخش SMB سیستم عامل Windows است که مایکروسافت دو سال قبل آن را در اصلاحیه MS17-010 ترمیم کرد. تعداد قابلتوجهی از بدافزارها از جمله باجافزار WannaCry، بهرهجویی از این آسیبپذیری را در کارنامه دارند.
بدافزار پس از آلودهسازی، اطلاعاتی را در خصوص مشخصات دستگاه جمعآوری کرده و آنها را به سرور فرماندهی خود ارسال میکند. بسته به اطلاعات ارسالی، سرور فرماندهی نیز کدهای مخرب دیگری را در اختیار بدافزار قرار میدهد.
از جمله این کدهای مخرب، ابزار معروف MIMIKATZ است که با زبان برنامهنویسی Python کامپایل شده است. وظیفه MIMIKATZ در این حمله بدافزاری، گردآوری دادههای مورد نظر مهاجمان و پویش دستگاههای قابل دسترس با هدف شناسایی دستگاههای با آسیبپذیری SMB است.
دیگر کد مخرب استفاده شده توسط این بدافزار، ابزار هک معروف Radmin است که امکان ارسال فرامین را به دستگاه فراهم میکند.
همچنین در جریان اجرای بدافزار، MIMIKATZ یک ماژول psexec را دریافت میکند تا از طریق آن فرامین ارسالی از سوی مهاجمان را بر روی دستگاه قربانی به اجرا درآورد.
به گزارش شرکت مهندسی شبکه گستر، مهاجمان در هر زمان این امکان را دارند تا با ارسال کد یک ابزار استخراجکننده (Miner)، از طریق Radmin دستگاه را وادار به استخراج ارز رمز (Cryptocurrency) مونرو کنند.
گفته میشود که تلاش شده تا فرایند آلودهسازی دستگاهها در روزهای تعطیل انجام شود تا از این طریق شناسایی آنها به تأخیر بیفتد.
اجرای چنین حملاتی که در آنها نه از ابزارهای اختصاصی و ناشناخته و نه از ضعفهای امنیتی روز صفر بهره گرفته شده است یادآور این واقعیت است که تعداد دستگاههای بدون ضدویروس و آسیبپذیر آنقدر هست که مهاجمان بدون نیاز به خلاقیت و اختراع بدافزارهای پیشرفته، بسادگی از آنها به نفع خود بهرهبرداریهای کلان کنند.
مشروح گزارش ترند مایکرو در لینک زیر قابل دریافت و مطالعه است:
