شرکت سوفوس (Sophos) در گزارشی جزئیات حمله سایبری به یک شرکت خودروسازی که در اردیبهشت 1401، توسط سه باجافزار به طور جداگانه صورت گرفته را شرح داده است.
مهاجمان هر سه این باجافزارها، به طور مشابه از یک پیکربندی نادرست بهرهجویی کردند – یکی از قواعد فایروال که پروتکل دسکتاپ از راه دور (Remote Desktop Protocol – به اختصار RDP) را در یک سرور مدیریت اجرا میکرد – اما هر یک از آنها از گونهها و تاکتیکهای باجافزاری متفاوتی استفاده کردند.
اولین باجافزار یعنی Lockbit دادهها را استخراج و به سرویس ذخیرهسازی ابری Mega منتقل کرد، از Mimikatz برای سرقت رمز عبور استفاده نمود و باجافزار خود را با بکارگیری PsExec منتشر کرد.
مهاجمان باجافزار دوم که Hive نام داشت، از RDP برای گسترش آلودگی در شبکه استفاده کرده و تنها دو ساعت پس از حمله باجافزار Lockbit، کد مخرب خود را منتشر کردند.
هنگامی که قربانی دادهها را از نسخ پشتیبان بازیابی میکرد، مهاجمان ALPHV/BlackCat به شبکه دسترسی پیدا کرده و ابزار Atera Agent را که یک ابزار دسترسی از راه دور معتبر و متداول است جهت ماندگاری در سیستم نصب کردند و اقدام به استخراج دادهها نمودند. دو هفته پس از حملات Lockbit و Hive، مهاجمان باجافزار خود را توزیع کرده و لاگهای Windows را پاک کردند.
محققان سوفوس به این نکته پی بردند که همانطور که در شکل نشان داده شده، مهاجمان اقدام به رمزگذاری چندگانه چندین فایل نمودند به گونهای که مشاهده شده برخی از این فایلها، پنج بار رمزگذاری شدهاند؛ هر کدام دو بار توسط Lockbit و Hive و یک بار توسط ALPHV/BlackCat.
سوفوس پیش از این نیز چندین حمله باجافزاری دوگانه را مورد بررسی قرار داده و اخیراً نیز حملات چندگانه را بهطور کلیتر بررسی نموده است زیرا به نظر میرسد که به طور فزایندهای این گونه تهدیدات متداول شده است. اما این اولین رویدادی است که در آن سه دسته مهاجم و باجافزار به طور مستقل از یک نقطه جهت ورود و حمله به یک سازمان واحد استفاده میکنند.
با این که حملات در اردیبهشت 1401 رخ داده، محققان مشاهده نمودند که یک مهاجم در دی 1400 یک پودمان RDP بر روی Domain Controller سازمان ایجاد کرده است؛ این فرد ممکن است مهاجم ایجاد کننده دسترسی اولیه (Initial Access Broker – به اختصار IAB) باشد؛ مهاجمی که سیستمهای آسیبپذیر را شناسایی کرده و دسترسی به آنها را در سایتهایی در Dark Web به فروش میگذارد یا ممکن است یک عملیات جستجو و شناسایی اولیه جهت نفوذ باشد که توسط یکی از مهاجمان این سه باجافزار صورت گرفته است.
در هر صورت، در اواخر فروردین 1401، یکی از مهاجمان Lockbit از طریق سرور مدیریتی متصل به پودمان RDP به شبکه یک سازمان دسترسی پیدا کرد. سپس، مهاجم با نفوذ به سیستمهای مجاور و متصل در شبکه به Domain Controller و سرورهای دیگر دست یافته و شروع به استخراج و انتقال دادهها به سرویس ذخیرهسازی ابری Mega نمود و همچنین دو اسکریپت PowerShell زیر را اجرا کرد:
- ps1 برای جمعآوری اطلاعات در خصوص پوشههای اشتراکی شبکه
- invoke-mimikatz.ps1 جهت استخراج رمزهای عبور از Local Security Authority Subsystem – به اختصار LSASS
در 11 اردیبهشت 1401، مهاجمان Lockbit دو اسکریپت دستهای (1.bat و 2.bat) را از طریق PsExec جهت توزیع فایلهای اجرایی مخرب LockBit_AF51C0A7004B80EA.exe و Locker.exe در سراسر شبکه بکار گرفتند.
به محض اجرا، باجافزار فایلهای موجود در 19 سرور را رمزگذاری کرده و اطلاعیههای باجگیری (Ransom Note) با نام Restore-My-Files.txt را در سیستم قرار میدهد.
دو ساعت بعد، در حالی که مهاجمان Lockbit در حال رمزگذاری فایلها بودند، یکی از گردانندگان باجافزار Hive از طریق همان پودمان RDP به شبکه نفوذ و دسترسی پیدا کرد و از RDP برای انتقال و دستیابی به سرورهای دیگر استفاده نمود.
باجافزار Hive از نرمافزار معتبر (PDQ Deploy) که قبلاً در شبکه نصب شده بود جهت توزیع باینری مخرب باجافزار windows_x32_encrypt.exe استفاده کرد. مجرمان به سوءاستفاده از فایلهای اجرایی معتبر ادامه میدهند و از تکنیک «کسب روزی از زمین» (Living off the Land – به اختصار LotL) در جریان این حملات استفاده میکنند. در روش LotL مجرمان سایبری از توابع و برنامههای عادی و سالم در سیستم قربانی برای انجام عملیات مخرب خود بر روی آن سیستم استفاده میکنند. این روش برای مخفی ماندن عملیات مخرب و شناسایی نشدن حملات بسیار مؤثر است.
باجافزار Hive فایلهای رمزگذاریشده را بر روی 16 سرور قرار داده و اطلاعیههای باجگیری دیگری به نام HOW_TO_DECRYPT.txt را بر روی دستگاههای آلوده شده قرار داده است.
در این مرحله، تیم فناوری اطلاعات سازمان، اکثر سیستمهای آلوده را تا 10 اردیبهشت 1401 بازیابی کرد، یک روز قبل از اینکه مهاجمان Lockbit شروع به رمزگذاری فایلها کنند. از منظر تحقیقاتی، این به معنای از بین رفتن برخی شواهد حیاتی بود. اما هنوز حملات تمام نشده بود.
تنها یک روز پس از بازیابی سیستم، مهاجمان ALPHV/BlackCat وارد عمل شدند و به واسطه بکارگیری پودمان RDP دقیقاً از همان سرور مدیریتی که توسط Lockbit و Hive مورد بهرهجویی و حمله قرار گرفته به سازمان نفوذ و به Domain Controller، سرورهای فایل، سرورهای برنامه و سایر سرورها دست یافتند.
مهاجمان ALPHV/BlackCat دادهها را در طول یک هفته استخراج و به سرویس ذخیرهسازی ابری Mega منتقل نمودند و با ایجاد یک دسترسی غیرمجاز (Back door) – یک ابزار دسترسی از راه دور معتبر به نام Atera Agent – ماندگاری خود را تثبیت کردند.
دو هفته پس از حملات Lockbit و Hive در 25 اردیبهشت 1401، مهاجمان باجافزار ALPHV/BlackCat با استفاده از اطلاعات اصالتسنجی یک کاربر هک شده، فایلهای اجرایی مخرب fXXX.exe و fXX.exe را بر روی شش سرور قرر داده و یک اطلاعیه باجگیری با عنوان RECOVER-eprzzxl-FILES.txt در هر پوشه بر جای گذاشتند.
تحلیل محققان SophosLabs، حاکی از آن است که این باینریهای مخرب نه تنها فایلها را رمزگذاری میکنند، بلکه Shadow Copy و لاگهای مربوط به رویدادهای رخ داده در Windows را نیز حذف میکنند؛ این امر روند آتی تحقیقات را پیچیدهتر نمود زیرا مهاجمان ALPHV/BlackCat نه تنها گزارش لاگهای مربوط به حمله خود، بلکه موارد مربوط به حملات باجافزارهای Lockbit و Hive را نیز پاک کردند.
مشخص نیست که چرا باجافزارهای Lockbit و ALPHV/BlackCat هر کدام دو فایل اجرایی مخرب را مستقر کردهاند اما یکی از دلایل احتمالی آن تحملپذیری خطا (Fault Tolerance) است؛ به این معنی که چنانچه یک فایل اجرایی شناسایی یا مسدود شود یا موفق به رمزگذاری فایلهای سیستم نشود، دومی به عنوان پشتیبان عمل کند.
قابلیتهای کلیدی باجافزار BlackCat
دو فایل اجرایی مخرب باجافزار BlackCat ا– fXXX.exe و fXX.exe – دارای قابلیت زیر هستند:
- فایلها را رمزگذاری کرده و پسوند eprzzxl. را به آن اضافه میکند.
- شناسههای Universally Unique Ids – به اختصار UUIDs – را از دستگاههای آلوده شده استخراج مینماید:
- قابلیت Remote to Local و Remote to Remote را فعال نموده تا امکان دسترسی آسان به فایلها و پوشهها از مکانهای راه دور فراهم شود:
- یک کلید Registry را با فرمان زیر تغییر داده تا امکان اجرای حداکثر تعداد درخواستهای شبکه توسط پروسههای راه دور مجاز و قابل انجام باشد:
- نسخ Shadow Copy را حذف مینماید:
- با استفاده از فرمان زیر تعمیر و پاکسازی خودکار Windows را در دستگاههای آسیبپذیر غیرفعال میکند.
- لاگ مربوط به رویدادهای Windows را پاک میکند.
پیامدهای بعدی
پس از نصب فایلهای اجرایی مخرب، محققان سوفوس فایلهایی را شناسایی نمودند که توسط هر سه گروه باجافزاری رمزگذاری شده بودند؛ در واقع، همانطور که در تصویر نشان داده شده، برخی از فایل ها حتی پنج بار رمزگذاری شده بودند!
از آنجایی که حمله باجافزار Hive، دو ساعت پس از حمله باجافزار Lockbit شروع شد، باجافزار Lockbit همچنان در حال اجرا بود، بنابراین هر دو گروه به یافتن فایلها ادامه دادند بدون اینکه بر روی فایلهای رمزگذاری شده پسوندی قرار دهند.
با این حال، علیرغم اینکه هر سه گروه باجافزاری به بکارگیری تکنیکهای «اخاذی مضاعف» (Double Extortion Technique) شناخته میشوند – در این تکنیک مهاجمان علاوه بر رمزگذاری فایلها، تهدید میکنند که در صورت عدم پرداخت باج مطالبه شده، اقدام به انتشار دادههای قربانی خواهند کرد – هیچ یک از اطلاعات سرقتی در این حملات منتشر نشد.
مواردی نظیر بازیابی سیستم، پاک کردن لاگهای BlackCat، فقدان لاگهای DHCP و تلفیق این سه حمله همگی موجب شدند که تحلیل حملات سهگانه برای محققان سوفوس دشوار شود.
علیرغم این چالشها، تیم امنیتی سوفوس توانست شواهد به جا مانده را جمعآوری و تحلیل کند.
وقتی صحبت از دفاع به میان میآید، دو مورد همواره باید مورد توجه قرار گیرد: پیشگیری (بکارگیری از بهترین راهکارهای امنیتی برای به حداقل رساندن خطر حملات) و واکنش و پاسخدهی (نحوه بازیابی سریع و ایمن در صورت وقوع حمله).
در بخش پیشگیری (Proactive)، در این مقاله بهترین راهکارها به طور کامل تشریح شده که در ادامه به مهمترین آنها میپردازیم:
بهروزرسانی و اعمال وصلهها
همواره سیستمعامل Windows و سایر نرمافزارها را بهروز نگه دارید (و هشدارها را جهت اطلاعرسانی در خصوص آسیبپذیریها تنظیم کنید و منابع خبری را دنبال نمائید تا از اخبار جدید ضعفهای امنیتی و باگها مطلع باشید).
همچنین بررسی کنید که آیا وصلههای امنیتی به درستی نصب شدهاند و برای سیستمهای حیاتی نظیر سیستمهای متصل به اینترنت یا Domain Controller اعمال شدهاند یا خیر.
اعمال وصلهها در اسرع وقت، بهترین راهکار جهت جلوگیری از حملات در آینده است اما به این معنی نیست که قبلاً مورد حمله قرار نگرفتهاید. توصیه میشود اطمینان حاصل نمائید که سازمان شما قبل از اجرای وصلهها مورد نفوذ قرار نگرفته باشد.
مهاجمان ممکن است دسترسیهای غیرمجاز (که ممکن است شامل نصب نرمافزارهای معتبر و متداول باشد) را غیرفعال کنند یا آسیبپذیریهای جدیدی را عمداً یا سهوا معرفی کنند، بنابراین این نکتهای کلیدی جهت واکنش و پاسخ به حملات احتمالی بعدی است.
مسدودسازی سرویسهای قابل دسترس
شبکه سازمان خود را از بیرون پویش کنید و درگاههایی را که معمولاً توسط VNC ،RDP یا سایر ابزارهای دسترسی از راه دور استفاده میشود، شناسایی و مسدود نمائید. اگر سیستمی باید با بکارگیری ابزار مدیریت از راه دور قابل دسترس باشد، آن ابزار را از طریق VPN یا یک راهکار امنیتی موسوم به اعتماد صفر (Zero-trust) که از MFA برای ورود به سیستم خود استفاده میکند، در دسترس قرار دهید.
همچنین لازم به یادآوری است که حملات میتوانند بیش از یک بار اتفاق بیفتند. اگر یک نقطه دسترسی باز بماند، سایر مهاجمان احتمالاً آن را شناسایی کرده و از آن بهرهجویی میکنند.
تقسیم بندی شبکه و بکارگیری رویکرد اعتماد صفر
سرورهای مهم را از یکدیگر و از ایستگاههای کاری با قرار دادن آنها در VLAN مجزا جدا و تقسیمبندی کنید و به این ترتیب از یک مدل اعتماد صفر (Zero-trust) در شبکه استفاده کنید.
بکارگیری رمزهای عبور قوی و استفاده از احراز هویت چندعاملی
رمزهای عبور قوی به عنوان یکی از اولین خطوط دفاعی محسوب میشوند. تمامی رمزهای عبور باید منحصر به فرد و پیچیده باشند و هرگز مجدد مورد استفاده قرار نگیرند. چنانچه یک نرمافزار مدیریت رمز عبور را جهت ذخیره اطلاعات اصالتسنجی در اختیار کارکنان قرار دهید، انجام این کار آسانتر خواهد بود. با این وجود حتی رمزهای عبور قوی نیز ممکن است مورد سرقت قرار بگیرند و افشاء شوند.
استفاده از احراز هویت چند عاملی (Multifactor Authentication – به اختصار MFA) جهت ایمنسازی دسترسی به منابع مهم نظیر ایمیل، ابزارهای مدیریت از راه دور و داراییهای شبکه بهتر از عدم بکارگیری MFA است.
ایجاد فهرستی از تجهیزات و حسابهای کاربری
دستگاههای محافظتنشده و وصلهنشده در شبکه موجب افزایش تهدیدات میشوند و موقعیتی را ایجاد میکنند که در آن فعالیتهای مخرب ممکن است مورد توجه قرار نگیرند.
داشتن فهرستی از موجودی فعلی سازمان یعنی تمام کامپیوترهای متصل به شبکه و دستگاههای IoT حیاتی است. بدین منظور میتوانید از پویشهای شبکه و بررسی فیزیکی جهت مکانیابی و فهرستبندی آنها استفاده کنید.
به منظور مسدودسازی مهاجمان در نقاط مختلف، از راهکارهای امنیتی چند لایه استفاده کنید. این محصولات امنیت را در تمام نقاط پایانی شبکه خود گسترش دهید.
در عین حال هنگامی که مهاجمان داخل یک شبکه باشند، بدون داشتن برنامهای جامع جهت واکنش به رویدادها، کاهش و انجام اقدامات فوری، کار زیادی نمیتوان برای «توقف آلوگی» انجام داد.
نشانههای آلودگی (Indicators of Compromise – به اختصار IoC) مربوط به باجافزارهای Lockbit ،Hive و BlackCat در نشانیهای زیر قابل دریافت میباشد:
منبع