آسیب‌پذیری SMB همچنان قربانی می‌گیرد

محققان شرکت ترند مایکرو از شناسایی بدافزار جدیدی متشکل از دو ابزار هک معروف و یک استخراج‌کننده ارز رمز مونرو خبر داده‌اند.

این بدافزار با پویش شبکه و اینترنت اقدام به بهره‌جویی از یک ضعف امنیتی نسبتا قدیمی کرده و سپس به‌صورت از راه دور و بدون هر گونه دخالت کاربر، خود را بر روی دستگاه آسیب‌پذیر نصب می‌کند.

آسیب‌پذیری مورد بهره‌جویی توسط این بدافزار ضعفی در بخش SMB سیستم عامل Windows است که مایکروسافت دو سال قبل آن را در اصلاحیه MS17-010 ترمیم کرد. تعداد قابل‌توجهی از بدافزارها از جمله باج‌افزار WannaCry، بهره‌جویی از این آسیب‌پذیری را در کارنامه دارند.

بدافزار پس از آلوده‌سازی، اطلاعاتی را در خصوص مشخصات دستگاه جمع‌آوری کرده و آنها را به سرور فرماندهی خود ارسال می‌کند. بسته به اطلاعات ارسالی، سرور فرماندهی نیز کدهای مخرب دیگری را در اختیار بدافزار قرار می‌دهد.

از جمله این کدهای مخرب، ابزار معروف MIMIKATZ است که با زبان برنامه‌نویسی Python کامپایل شده است. وظیفه MIMIKATZ در این حمله بدافزاری، گردآوری داده‌های مورد نظر مهاجمان و پویش دستگاه‌های قابل دسترس با هدف شناسایی دستگاه‌های با آسیب‌پذیری SMB است.

دیگر کد مخرب استفاده شده توسط این بدافزار، ابزار هک معروف Radmin است که امکان ارسال فرامین را به دستگاه فراهم می‌کند.

همچنین در جریان اجرای بدافزار، MIMIKATZ یک ماژول psexec را دریافت می‌کند تا از طریق آن فرامین ارسالی از سوی مهاجمان را بر روی دستگاه قربانی به اجرا درآورد.

به گزارش شرکت مهندسی شبکه گستر، مهاجمان در هر زمان این امکان را دارند تا با ارسال کد یک ابزار استخراج‌کننده (Miner)، از طریق Radmin دستگاه را وادار به استخراج ارز رمز (Cryptocurrency) مونرو کنند.

گفته می‌شود که تلاش شده تا فرایند آلوده‌سازی دستگاه‌ها در روزهای تعطیل انجام شود تا از این طریق شناسایی آنها به تأخیر بیفتد.

اجرای چنین حملاتی که در آنها نه از ابزارهای اختصاصی و ناشناخته و نه از ضعف‌های امنیتی روز صفر بهره گرفته شده است یادآور این واقعیت است که تعداد دستگاه‌های بدون ضدویروس و آسیب‌پذیر آنقدر هست که مهاجمان بدون نیاز به خلاقیت و اختراع بدافزارهای پیشرفته، بسادگی از آنها به نفع خود بهره‌برداری‌های کلان کنند.

مشروح گزارش ترند مایکرو در لینک زیر قابل دریافت و مطالعه است:

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *