Spora: باجافزاری با ویژگیهای خاص
به گزارش شرکت مهندسی شبکه گستر، شرکت Emsisoft، از انتشار باجافزاری با نام Spora خبر داده که خدمات خود را در قالب بستههای “بازگردانی کامل”، “مصونیت در برابر حملات آتی باجافزار”، “حذف باجافزار” و “بازگردانی فقط فایل” به قربانیان خود ارائه میدهد!
جالب اینکه سایت این باجافزار که پس از پایان رمزگذاری فایلها، قربانی به آن هدایت میشود مجهز به بخشی برای گفتگوی زنده قربانیان با تبهکاران صاحب Spora است!
علاوه بر اخاذی با بستههای ابتکاری قابل انتخاب، Spora ویژگیهای منحصربهفرد فراوانی را در خود دارد.
نحوه انتشار
این باجافزار از طریق هرزنامههای در ظاهر صورتحساب منتشر میشود. پسوند فایل پیوست شده در نسخههای فعلی این هرزنامهها HTA اعلام شده است. اما گردانندگان آن کوشیدهاند با درج PDF در انتهای نام فایل، اینطور القا کنند که پسوند فایل PDF است.
فایلهای HTA – یا HTML Application -، قابلیت اجرا شدن بر روی مرورگر – فارغ از محدودیتهای امنیتی لحاظ شده در آن مرورگر – را دارا هستند. ضمن اینکه هر دو زبان اسکریپت نویسی VBScript و JScript در این فایلها قابل پیادهسازی است و Spora نیز هر دوی این زبانها استفاده کرده است.
با اجرای فایل HTA، فایل جدیدی با نام close.js در مسیر %TEMP% ایجاد میشود. در ادامه یک فایل JScript بر روی دستگاه اجرا میشود.
برای دشوار نمودن تحلیل، فایل JScript رمزگذاری و توسط یک الگوریتم سفارشی و توابع CryptJS مبهمسازی (Obfuscation) شده است.
اسکریپت مخرب دو فایل doc_6d518e.docx و 81063163ded.exe را در مسیر %TEMP% بر روی سیستم کپی کرده و سپس آنها را اجرا میکند.
فایل نخست فایلی از نوع سند (Document) بوده که حاوی دادههای نادرست است و درنتیجه آن در هنگام باز شدن خطایی به کاربر نمایش داده میشود.
به نظر میرسد که این کار بهصورت عمدی انجام شده تا به کاربر این طور تلقین شود که فایل در هنگام انتقال خراب شده است. ضمن نمایش پیام خطا، توجه کاربر را کمتر به سمت فایل مخرب HTA جلب میکند. فایل دوم – در این نسخه 81063163ded.exe – در حقیقت باجافزار اصلی است که وظیفه رمزگذاری را برعهده دارد.
ایجاد کلید و رمزنگاری
به گزارش شرکت مهندسی شبکه گستر، متداولترین نوع رمزنگاری مبتنی بر کلید، رمزنگاری متقارن است. به این نوع رمزنگاری، کلید خصوصی، سنتی، رمز مشترک و کلید رمز نیز گفته میشود. در این نوع رمزنگاری، فرآیند رمزگذاری و رمزگشایی با کلیدی یکسان یا بسیار مشابه انجام میشود. AES یکی معروفترین الگوریتمهای رمزنگاری متقارن است.
اما در رمزنگاری نامتقارن که از آن با نام رمزنگاری کلید عمومی نیز یاد میشود، از دو کلید متفاوت در فرآیند رمزنگاری استفاده میشود؛ یک کلید برای رمزنگاری – موسوم به کلید عمومی – و کلیدی دیگر برای رمزگشایی – موسوم به کلید اختصاصی-. RSA نمونهای از الگوریتمهای مبتنی بر رمزگذاری نامتقارن است.
Spora از ترکیب الگوریتمهای RSA و AES بهمنظور رمزگذاری دادههای کاربر استفاده میکند. همچنین برای بهبود فرآیند رمزنگاری، بستر Microsoft CryptoAPI را نیز بکار میگیرد.
این باجافزار ابتدا کلید عمومی RSA را که توسط AES رمز شده و در کد بدافزار ذخیره گردیده است شناسایی میکند. با یافتن کلید، باجافزار یک کلید جفت 1024 بیتی جدید را ایجاد میکند که حاوی هر دو کلید عمومی و خصوصی است. ضمن اینکه یک کلید 256 بیتی AES نیز برای رمزگذاری کلید جفت شده RSA ایجاد میکند. با رمزگذاری آن، کلید AES نیز خود با کلید عمومی رمز میشود. در نهایت، اطلاعات مرتبط با کلید به همراه توضیحاتی بر روی فایل KEY. ذخیره میشود.
برای رمزگذاری فایلهای کاربر بر روی سیستم، Spora ابتدا یک کلید 256 بیت AES را به ازای هر فایل ایجاد میکند. این کلید 5 مگابایت ابتدایی فایل را رمزگذاری کرده و پس از آن کلید را با جفت کلیدهای RSA رمزگذاری و به انتهای فایل الصاق میکند.
در نگاه اول، این روال پیچیده به نظر میرسد اما نویسنده یا نویسندگان باجافزار را قادر به اجرای عملیات بدون نیاز به سرور فرماندهی (Command and Control) برای تبادل کلید میکند. این بدان معناست که Spora میتواند بدون نیاز به اینترنت نیز کار رمزگذاری را انجام دهد. ضمن اینکه از کلید عمومی نیز بهصورت مستقیم استفاده نشده است.
به گفته محققان Emsisoft بدون در اختیار داشتن کلید خصوصی امکان رمزگشایی فایلهای رمز شده توسط Spora ممکن نخواهد بود.
ویژگیهای خاص
همانطور که اشاره شد اطلاعات ذخیره شده در فایل KEY. تنها حاوی کلید خصوصی RSA قربانی نیست. از جمله این اطلاعات تاریخ آلوده شدن، نام کاربری قربانی و محل سیستم آلوده شده است.
یکی دیگر از این اطلاعات، شناسهای است که در کد تزریق شده و در همه نمونههای آلوده شده توسط هر نسخه Spora یکسان است. بهنظر میرسد که این شناسه معرف کارزار (Campaign) انتشاردهنده باجافزار بوده و جهت اختصاص سهم هر کارزار مورد استفاده قرار میگیرد. به بیان دیگر این باجافزار نیز ممکن است بهصورت باجافزار بهعنوان سرویس (Ransomware-as-a-Service) ارائه شود و یا شاید در حال حاضر نیز در حال انجام باشد.
یکی دیگر از اطلاعات ذخیره شده در فایل KEY. مربوط به میزان اهمیت و تعداد فایلهای با پسوندهای خاصی است که بر روی دستگاه قربانی ذخیره شده است.
Spora با بررسی میزان اهمیت و تعداد فایلهای با پسوندهای خاص بر روی دستگاه قربانی مبلغ اخاذی شده از کاربر را بهصورت خودکار تعیین میکند که این خود نیز یکی دیگر از ویژگیهای قابل توجه این باج افزار است.
شایان ذکر است بر خلاف اکثر باجافزارها، Spora نام و پسوند فایلهای رمز شده را تغییر نمیدهد؛ یکی دیگر از خصوصیات خاص Spora.
برای ایمن ماندن از گزند باجافزارها، مطالعه این راهنما توصیه میشود.