باج‌افزار Sorebrect که بدون فایل اقدام به رمزنگاری فایل‌ها می‌کند.

باج‌افزار Sorebrect که بدون فایل اقدام به رمزنگاری فایل‌ها می‌کند.

در حالی که انواع حملات باج‌افزاری در حال ظهور هستند، روش‌های سنتی و قدیمی در حال تبدیل به روش‌هایی هستند که شناسایی آن‌ها سخت‌تر باشد و اختیارات نامحدودتری را برای حمله برای هکرها فراهم کند. محققان امنیتی اخیرا نوعی باج‌افزار بدون فایل را یافته‌اند با عنوان Sorebrect که کد آلوده‌ی خود را در process متعارف ویندوز با نام svchost.exe بر روی سیستم هدف تزریق می‌کند و سپس خود را نابود می‌کند تا ردی از خود به جا نگذارد. بر خلاف باج‌افزارهای معمول این باج‌افزار طراحی شده است تا سرورها و سیستم‌های کاربری سازمان‌ها را هدف قرار دهد. این تزریق کد روند رمزنگاری را بر روی سیستم و folderهای به اشتراک‌‌گذاشته بر روی آن آغاز می‌کند.

این باج‌افزار در ابتدا اطلاعات حساب‌کاربری مدیر شبکه را با استفاده از brute force کردن یا روش‌های دیگر می‌یابد و سپس از ابزار دستوری Microsoft’s Sysinternals PsExec فایل‌ها را رمزنگاری می‌کند. این ابزار به هکرها این قابلیت را می‌دهد تا از راه دور دستورها را اجرا کنند.

در صورتی که فایل‌های به اشتراک‌گذاشته شده سطح دسترسی‌ای داشته باشند که همه بر روی آن‌ها قابلیت read و write داشته باشند این فایل‌ها نیز رمزنگاری می‌شوند. پس از اتمام رمزنگاری باج‌افزار تمامی logهای رخداد را با استفاده از wevtutil.exe پاک می‌کند. لازم به ذکر است که این باج‌افزار مانند سایر انواع آن اقدام به استفاده از ارتباط Tor جهت برقراری ارتباط C&C با سرور‌اش می‌کند تا این ارتباط را غیرقابل ردیابی کند.

بنا بر گزارش Trend Micro باج‌افزار Sorebrect با هدف حمله قرار دادن کشورهای خاورمیانه مانند کویت و لبنان ایجاد شده است اما در ماه گذشته سیستم‌هایی از کانادا، چین، کرواسی، ایتالیا، ژاپن، مکزیک، روسیه، تایوان و آمریکا نیز آلوده شده‌اند. این اولین باری نیست که باج‌افزاری بدون فایل ایجاد شده است. دو ماه پیش، محققان Talos حمله‌ی  DNSMessenger پیدا کردند که به صورت کامل بدون فایل بود و با استفاده از قابلیت‌های پیام‌رسانی DNS TXT به سیستم نفوذ می‌کرد.

در ماه فوریه نیز محققان کسپرسکی بدافزاری بدون فایل بر روی سیستم‌های بانک‌ها، شرکت‌های مخابراتی و سازمان‌های دولتی در ۴۰ کشور پیدا کردند که به صورت تنها در حافظه‌ی این سیستم‌ها شناسایی شده بود.

منبع: ThehackersNews

 

2017-06-22T00:53:42+00:00 22 / 6 / 2017|Categories: اخبار, فناوری اطلاعات|Tags: , , , |