سرورهای Exchange هدف باج‌افزار Epsilon Red

بر اساس گزارشی که شرکت امنیتی Sophos آن را منتشر کرده گردانندگان باج‌افزار Epsilon Red با هدف قرار دادن سرورهای آسیب‌پذیر Exchange اقدام به رخنه به شبکه قربانی و رمزگذاری فایل‌ها می‌کنند.

چکیده گزارش مذکور در ادامه این مطلب توسط شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده ارائه شده است.

در جریان حملات این باج‌افزار از چندین اسکریپت و یک ابزار تجاری دسترسی از راه دور بهره گرفته شده است.

احتمال داده می‌شود که مهاجمان، ProxyLogon را به‌منظور سوءاستفاده از چندین آسیب‌پذیری حیاتی در Exchange به خدمت گرفته باشند.

ProxyLogon مجموعه آسیب‌پذیری‌هایی در سرویس‌دهنده ایمیل MS Exchange است که Microsoft در 12 اسفند اصلاحیه‌هایی اضطراری برای ترمیم آنها منتشر کرد. از زمان انتشار اصلاحیه‌ها و افشای جزییات آن، هکرهای مستقل و گردانندگان APT متعددی، ProxyLogon را به فهرست تکنیک‌های نفوذ خود اضافه کرده‌اند.

Epsilon Red به زبان Golang یا همان Go نوشته شده و با استفاده از مجموعه‌ای از اسکریپت‌های منحصربه‌فرد PowerShell اقدامات زیر را انجام می‌دهد:

• از کار انداختن پروسه‌ها و سرویس‌های مرتبط با ابزارهای امنیتی، پایگاه‌های داده، برنامه‌های مدیریت نسخ پشتیبان، مجموعه نرم‌افزاری Office و برنامه‌های مدیریت ایمیل
• حذف اطلاعات مربوط به Volume Shadow Copies
• سرقت فایل Security Account Manager – به اختصار SAM – که شامل درهم‌ساز رمزهای عبور است
• حذف سوابق رویدادها در Windows
• غیرفعال کردن Windows Defender
• حذف ابزارهای امنیتی با هر یک از برندهای Sophos، Trend Micro، Cylance، MalwareBytes، Sentinel One، Vipre و Webroot
• گسترده کردن سطح دسترسی بر روی دستگاه

نام اکثر اسکریپت‌های مذکور عددی بین 1 تا 12 است. اما نام برخی از آنها نیز شامل تنها یک کاراکتر الفبایی است. به نظر می‌رسد یکی از آنها با نام c.ps1 رونوشتی از ابزار تست نفوذ Copy-VSS است.

پس از رخنه به شبکه، مهاجمان تلاش می‌کنند تا از طریق پودمان RDP به دستگاه‌های دیگر دسترسی یافته و با بکارگیری Windows Management Instrumentation، ابزارها و اسکریپت‌های مورد نظر خود و در نهایت باج‌افزار Epsilon Red را بر روی آنها اجرا کنند.

بررسی محققان Sophos نشان می‌دهد که مهاجمان از یک ابزار تجاری با نام Remote Utilities نیز برای برقراری ارتباطات از راه دور در کنار Tor Browser استفاده می‌کنند. با این رویکرد حتی در صورت مسدود شدن نقطه رخنه اولیه همچنان یک درگاه، باز باقی خواهد ماند.

همچنینEpsilon Red  از Godirwalk جهت پویش دیسک و معرفی مسیرها به پروسه‌های فرزند و در ادامه رمزگذاری مستقل زیرپوشه‌ها استفاده می‌کند. به همین خاطر تا خاتمه کار، رونوشت‌های متعددی از پروسه های باج‌افزار بر روی دستگاه اجرا می‌شوند.

این باج‌افزار به فایل‌های رمزگذاری شده پسوند epsilonred را الصاق می‌کند. ضمن آن که بر خلاف بسیاری از باج‌افزارها که برای جلوگیری از بروز اشکال در فرایند بالا آمدن دستگاه، از رمزگذاری فایل‌های با پسوند EXE و DLL پرهیز می‌کنند،Epsilon Red  این فایل‌ها را نیز مورد دست‌درازی قرار می‌دهد.

مشابه سایر باج افزارها،Epsilon Red  نیز در پوشه پردازش شده، فایل موسوم به اطلاعیه باج‌گیری (Ransom Note) را که متن آن از اطلاعیه باج‌گیری REvil الگوبرداری شده کپی می‌کند.

علیرغم جدید بودن این باج‌افزار، تاکنون شرکت‌های مختلفی هدف آن قرار گرفته‌اند.

تحقیقات Sophos نشان می‌دهد که حداقل یکی از قربانیان در تاریخ 25 اردیبهشت مبلغ 4.28 بیت‌کوین را به گردانندگان این باج افزار پرداخت کرده.

Epsilon Red برگرفته شده از شخصیتی با همین نام در دنیای مارول است که نقش یک ابرسرباز روسی دارای چهار شاخک با توانایی تنفس در فضا را ایفا می‌کند.

Sophos معتقد است که حداقل این نسخه از Epsilon Red، محصول برنامه‌نویسان حرفه‌ای نیست؛ به‌خصوص آن که بجز رمزگذاری، قابلیت‌های بسیار محدودی در آن به چشم می‌خورد. اما در هر صورت اجرای موفق آن در هر شبکه‌ای می‌تواند موجب رمزگذاری بدون محدودیت فایل‌ها و در نهایت بروز اختلالات جدی شود.

مشروح گزارش Sophos در لینک زیر قابل مطالعه است:

https://news.sophos.com/en-us/2021/05/28/epsilonred/

نشانه‌های آلودگی این باج‌افزار نیز در لینک زیر در دسترس قرار گرفته است:

https://github.com/sophoslabs/IoCs/blob/master/Ransomware-EpsilonRed.csv

منبع

https://www.bleepingcomputer.com/news/security/new-epsilon-red-ransomware-hunts-unpatched-microsoft-exchange-servers/