انتشار باجافزار GandCrab با سوءاستفاده از ضعفهای امنیتی IE و Flash
در روزهای اخیر، گزارشهایی مبنی بر آلودگی برخی دستگاهها به نسخه جدید باجافزار GandCrab به شرکت مهندسی شبکه گستر واصل شده است.
باجافزار GandCrab فایلهای با پسوندهای رایج را رمزگذاری کرده و به آنها پسوند CRAB را الصاق میکند.
نکته قابل توجه در مورد حمله اخیر، استفاده مهاجمان از بسته بهرهجوی Magnitude به منظور آلوده نمودن دستگاه قربانیان به GandCrab است.
استفاده از این بسته بهرهجو پیشتر تنها در انحصار باجفزار Magniber بود.
در حمله اخیر، مهاجمان با بکارگیری بسته بهرهجوی Magnitude از آسیبپذیریهای حیاتی CVE-2016-0189 و CVE-2018-4878 بترتیب در مرورگر Internet Explorer و نرمافزار Flash Player سوءاستفاده میکنند. این دو ضعف امنیتی، مهاجم را قادر به اجرای کد مخرب، بصورت از راه دور و بدون نیاز به هر گونه دخالت کاربر میکنند.
بنابراین باز شدن یک صفحه اینترنتی مخرب و دستکاری شده که حاوی بسته بهرهجوی Magnitude است، سبب میگردد تا بدون آنکه کاربر بر روی لینکی کلیک کند یا فایلی را به اجرا در آورد، دستگاهی که دارای هر یک از آسیبپذیریهای مذکور باشد به باجافزار GandCrab آلوده شود.
در این حمله نیز مهاجمان با ارسال ایمیلهای حاوی عناوین و محتوای جذاب کاربران را تشویق به کلیک بر روی لینک درج شده در داخل ایمیل کرده و در ادامه کاربر را هدایت به صفحه اینترنتی حاوی بسته بهرهجو میکنند.
به تمامی مدیران شبکه و کاربران توصیه میشود که از نصب بودن تمامی اصلاحیههای امنیتی برای مرورگر Internet Explorer از جمله MS16-051 و MS16-053 و نرمافزار Flash Player به ویژه APSA18-01 که در این حمله مورد سوءاستفاده قرار گرفتهاند اطمینان حاصل کنند.
البته خوانندگان اطلاع دارند که امکان بهروزرسانی نرمافزارهای شرکت Adobe نظیر Flash Player با نشانیهای IP ایرانی وجود نداشته و کاربران و مدیران شبکه باید با استفاده از روشها و ابزارهای دیگر اقدام به این کار کنند. ذکر این نکته ضروری است که سالهاست که متخصصان امنیتی به کاربران توصیه میکنند که در صورت امکان از نصب نرمافزار Flash Player بر روی دستگاههای خود اجتناب کنند. دلیل این توصیه وجود آسیبپذیریها و ضعفهای امنیتی فراوان در این نرمافزار است. بنحوی که بسیاری از ویروسنویسان و هکرها، از جمله مهاجمان همین حمله، با بهرهجویی از آسیبپذیریهای آن اقدام به آلوده کردن دستگاه و رخنه به شبکه قربانیان خود میکنند. شرکت Adobe نیز اعلام نموده که پشتیبانی از این محصول معروف خود را در پایان سال 2020 متوقف خواهد کرد.
همچنین در این حمله، از روش موسوم به “بدون فایل” (File-less) برای فراخوانی و اجرای فایل اصلی باجافزار استفاده شده است. “بدون فایل” از جمله تکنیکهای پیشرفته آلودهسازی است که شناسایی و تشخیص فایل مخرب را برای محصولات امنیتی دشوار و حتی در ضدویروسهای سنتی غیرممکن میسازد.
برای مثال، در فرآیند اجرا، کد مخرب توسط یکی از فایلهای مجاز سیستم عامل از اینترنت دریافت شده و بدون ذخیره شدن بر روی دیسک سخت به یکی دیگر از پروسههای مجاز تزریق میشود. بنابراین با توجه به عدم نوشته شدن کدهای آلوده بر روی دیسک سخت دستگاه، ضدویروسهای موسوم به سنتی از اجرای بدافزار آگاه نشده و در نتیجه واکنشی به آن نشان نمیدهند.
لازم به ذکر است که در اسفند ماه سال گذشته شرکت ضدویروس Bitdefender اقدام به عرضه ابزاری برای بازگردانی فایلهای رمز شده توسط باجافزار GandCrab کرد. با این حال متأسفانه در زمان انتشار این خبر، امکان رمزگشایی فایلهای رمزگذاری شده توسط نسخه جدید GandCrab بدون در اختیار داشتن کلید فراهم نیست.
همچون همیشه، برای ایمن ماندن از گزند باجافزارها، رعایت موارد زیر توصیه میشود:
- از ضدویروس قدرتمند و بهروز استفاده کنید. نمونه بررسی شده در این خبر توسط ضدویروسهای McAfee و Bitdefender بترتیب با نامهای Artemis!77841B2F0605 و Generic.Ransom.GandCrab.4C55CC39 شناخته میشود.
- از اطلاعات سازمانی بهصورت دورهای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای دادههای حیاتی توصیه میشود. بر طبق این قاعده، از هر فایل سه نسخه میبایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایلها باید بر روی دو رسانه ذخیرهسازی مختلف نگهداری شوند. یک نسخه از فایلها میبایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
- از نصب فوری آخرین اصلاحیههای امنیتی اطمینان حاصل کنید.
- به دلیل انتشار برخی از باجافزارها از طریق سوءاستفاده از قابلیت Dynamic Data Exchange در Office، با استفاده از این راهنما نسبت به پیکربندی صحیح آن اقدام کنید.
- با توجه به انتشار بخش قابل توجهی از باجافزارها از طریق فایلهای نرمافزار Office حاوی ماکروی مخرب، تنظیمات امنیتی ماکرو را بنحو مناسب پیکربندی کنید. برای این منظور میتوانید از این راهنما استفاده کنید.
- ایمیلهای دارای پیوست ماکرو را در درگاه شبکه مسدود کنید. بدین منظور میتوانید از تجهیزات دیواره آتش، همچون Sophos بهره بگیرید.
- آموزش و راهنمایی کاربران سازمان به صرفنظر کردن از فایلهای مشکوک و باز نکردن آنها میتواند نقشی مؤثر در پیشگیری از اجرا شدن این فایلها داشته باشد. برای این منظور میتوانید از این دادهنماییها استفاده کنید.
- پودمان RDP را غیرفعال کرده یا حداقل کاربران محدود با گذرواژههای پیچیده را مجاز به استفاده از آن کنید.
- از ابزارهای موسوم به بررسی کننده سایت استفاده شود.
- دسترسی به پوشههای اشتراکی در حداقل سطح ممکن قرار داده شود.
- سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باجافزار آلوده نمیشود.
- در دوره های آگاهی رسانی شرکت مهندسی شبکه گستر، شرکت کنید. شرکت در این دورهها برای مشتریان شرکت مهندسی شبکه گستر رایگان است.