صفحه نخست گزارشات تحلیلی مناقصه مزایده
  • انتشار : 22 - مرداد - 1397 - ۱۰:۴۳
  • کد خبر : 49683

    • ظهور باج‌افزارها؛ از «شاهزاده خانم» تا «پول زور»!

    ظهور باج‌افزارها؛ از «شاهزاده خانم» تا «پول زور»! گروه IT اخیراً باج‌افزار‌ها و بدافزار‌ها در فضای وب و یا حتی شبکه‌های داخلی به گسترش شگرفی رسیده‌اند؛ از این جهت که مرکز مدیریت راهبردی افتا (وابسته به ریاست جمهوری) ناچاراً چندین هشدار در روز در رابطه با همین باج‌افزار‌ها منتشر می‌کند. در ادامه ۳ نوع باج‌افزار […]

  • انتشار : 22 - مرداد - 1397 - ۱۰:۴۳
  • کد خبر : 49683

    • ظهور باج‌افزارها؛ از «شاهزاده خانم» تا «پول زور»!

    گروه IT

    اخیراً باج‌افزار‌ها و بدافزار‌ها در فضای وب و یا حتی شبکه‌های داخلی به گسترش شگرفی رسیده‌اند؛ از این جهت که مرکز مدیریت راهبردی افتا (وابسته به ریاست جمهوری) ناچاراً چندین هشدار در روز در رابطه با همین باج‌افزار‌ها منتشر می‌کند.

    در ادامه ۳ نوع باج‌افزار و بد‌افزار که از قضا یکی از آنها ماهیت کاملاً ایرانی دارد را بررسی می‌کنیم.

    معرفی شاهزاده خانم!

    پژوهشگران TrendMicro از تاریخ ۲۵ جولای در حال بررسی اکسپلویت کیت RIG هستند که یک بدافزار کاوشگر ارز دیجیتالی و باج‌افزار GandCrab را منتقل می‌کند.

    در اول آگوست مشاهده شد که اکسپلویت کیت RIG یک باج‌افزار ناشناخته را نیز ارسال می‌کند. پس از بررسی صفحه پرداخت این باج‌افزار در شبکه Tor، مشخص شد که نام آن Princess Evolution است و به نظر می‌رسد که نسخه تکامل‌یافته باج‌افزار Princess Locker است که در سال ۲۰۱۶ نمایان شد. با توجه به تبلیغاتی که از این باج‌افزار در فروم‌های زیرزمینی انجام شده است، به نظر می‌رسد که Princess Evolution به صورت RaaS یا ارایه باج‌افزار در قالب سرویس حمله می‌کند.

    نحوه کارکرد شاهزاده!

    متن درخواست مبلغ باج Princess Evolution مشابه متن Princess Locker است.

    فایل‌های روی سیستم را رمزگذاری می‌کند و پسوند آنها را به یک رشته تصادفی تغییر می‌دهد. پس از رمزگذاری، باج‌افزار مبلغ ۰,۱۲ بیتکوین (حدود ۷۰۰ دلار) را برای بازیابی فایل درخواست می‌کند. همچنین در فروم‌های زیرزمینی در تاریخ ۳۱ جولای مشاهده شده است که نویسنده باج‌افزار ۴۰ درصد مبلغ باج دریافت شده از قربانیان را به عنوان کمیسیون تعیین کرده است.

    در فرایند رمزگذاری، بخش ابتدایی فایل توسط الگوریتم‌های XOR و AES و باقی داده فایل توسط AES رمزگذاری می‌شود.

     به جای پروتکل HTTP POST از UDP برای برقراری ارتباط با سرور C&C استفاده می‌کند و از طریق UDP یک کلید XOR تصادفی را به همراه اطلاعات زیر به بازه شبکه خاصی ارسال می‌کند:

    * نام‌کاربری رایانه آلوده

    * نام رابط شبکه فعال

    * LCID سیستم

    * نسخه سیستم‌عامل

    * شناسه قربانی

    * نرم‌افزار امنیتی ثبت شده در ویندوز

    * زمانی که برنامه اجرا شده است

    حملات گروه DarkHydrus در خاورمیانه

    نهادهای دولتی و مؤسسات علمی مستقر در منطقه خاورمیانه تحت حملاتی توسط گروه DarkHyrus به منظور جمع‌آوری اطلاعات احراز هویت هستند. این گروه درحال استفاده از ابزار منبع‌باز Phishery است.

    نحوه قربانی گروه سیاه

    براساس پژوهش گروه unit 42، این حملات از الگو خوبی پیروی می‌کنند. آنها از ایمیل‌های فیشینگ با اسناد آفیس در پیوست استفاده می‌کنند که از تکنیک Attached Template برای بارگیری یک قالب از سرور از راه دور بهره می‌برند. هنگام بارگیری این قالب از راه دور، برنامه آفیس صفحه‌ای را نمایش می‌دهد که از کاربر اطلاعات ورود را دریافت می‌کند. پس از آن، اطلاعات احرازهویت وارد شده به سرور C&C ارسال می‌شوند و DarkHydrus اطلاعات ورود حساب کاربر را دریافت می‌کند. ساخت این اسناد Word و تزریق آدرس URL قالب از راه دور از طریق ابزار Phishery انجام می‌شود.

    سوابق حمله به خارمیانه

    هفته گذشته نیز گروه پژوهش unit 42 حملات فیشینگ متفاوتی را روی نهادهای دولتی خاورمیانه مشاهده کرد که یک بدنه PowerShell با نام RogueRobin به قربانیان منتقل می‌کرد. در این حملات از فایل‌های Excel Web Query استفاده شده است.

    این ابزار منبع باز به DarkHydrus نسبت داده شده است. از این رو، مشخص می‌شود که DarkHydrus برای انجام عملیات خویش، بر ابزارهای منبع باز اتکا می‌کند. برای قانونی نشان دادن صفحه باز شده به منظور دریافت اطلاعات احرازهویت، از نام دامنه Outlook در بالای صفحه ورود اطلاعات استفاده شده است.

     اسناد آفیس مشابه که در حملات فیشینگ استفاده شده است، در سپتامبر و نوامبر ۲۰۱۷ نیز مشاهده شده است. زیرساخت‌های استفاده شده در این حملات نیز به آدرس IP مربوط به DarkHydrus منتهی می‌شوند. این موارد نشان می‌دهند که حملات جمع‌آوری اطلاعات احراز هویت گروه DarkHydrus از یک سال گذشته در حال انجام بوده‌اند.

    پول زور بده!

    اما مهم‌ترین باج افزار: به تازگی باج‌افزار جدیدی با نام PooleZoor کشف شده است که فایل‌های قربانی را با استاندارد AES رمزگذاری می‌کند و برای بازیابی فایل‌های از دست‌رفته، مبلغ ۱۰ میلیون ریال درخواست می‌کند. پس از رمزگذاری، پسوند .poolezoor به فایل‌های قربانی اضافه شده و آنها رمزگذاری می‌شوند.

    نکته قابل توجه در این باج‌افزار، نحوه پرداخت است که مهاجم یک آدرس فیشینگ مربوط به درگاه پرداخت شاپرک را ارایه می‌کند (http[: ]//sep.shapaarak[.]cf). از این رو هیچ پرداختی انجام نخواهد شد و مشخص است که هدف اصلی مهاجم دریافت اطلاعات کارت و حساب بانکی قربانی است.

    این باج‌افزار از طریق پیکربندی محافظت‌نشده RDP، ایمیل‌های اسپم و پیوست‌های مشکوک، فایل‌های دانلودی، بات‌نت‌ها، اکسپلویت‌های موجود، تزریق وب، به روزرسانی‌های جعلی و فایل‌های نصبی آلوده ممکن است منتشر شده باشد. باج‌افزار فایل‌های اسناد آفیس، OpenOffice، PDF، فایل‌های متنی، پایگاه‌های داده، فایل‌های رسان‌های تصویر، موسیقی و ویدئو، فایل‌های فشرده و… را رمزگذاری می‌کند.

    توصیه می‌شود به هیچ عنوان به آدرس پرداخت باج مراجعه نشود و از آنتی‌ویروس‌های معتبر برای جلوگیری از نفوذ و یا پاکسازی آن استفاده شود.

     

     

    برچسب ها

    این مطلب بدون برچسب می باشد.