هم رسان: هکرها و جنایتکاران سایبری هر روز ماهرتر، خلاق تر و مرموزتر می شوند. این روزها اشکال جدیدی از جنایت های سایبری در حال گسترش است و به نظر می رسد اقدامات قدیمی در جهت تکنیک های مخفیانه ای تغییر جهت داده اند و راه های حمله بدون محدودیت با کمترین میزان احتمال شناسایی هستند.

به گزارش پایگاه خبری هم رسان به نقل از هکرنیوز، محققان امنیتی اخیراً یک باج افزار fileless جدید با نام Sorebrect شناسایی کرده اند که کد مخرب را به یک فرایند سیستمی مجاز (svchost.exe) بر روی سیستم هدف تزریق می کند و سپس برای جلوگیری از شناسایی شدن خود را نابود می کند.
Sorebrect برخلاف باج افزارهای قدیمی، برای مورد هدف قرار دادن سرورها و سیستم های شرکتی طراحی شده است. در این باج افزار کد تزریقی فرایند رمزگذاری فایل را در دستگاه محلی و اشتراک های شبکه ای متصل شروع می کند. این باج افزار fileless ابتدا اختیارات مدیر را با استفاده از حمله جست وجوی فراگیر و دیگر حملات دستکاری می کند و سپس از ابزار خط فرمان Sysinternals PsExec برای رمزگذاری فایل ها استفاده می کند. ترند مایکرو می گوید PsExec به جای ارائه و استفاده از یک لاگین کاملاً تعاملی و یا انتقال دستی بدافزار به یک دستگاه دور از محل، هکرها را قادر به اجرای فرمان هایی از راه دور می کند.

Sorebrect

Sorebrectاشتراک های شبکه را رمز گذاری می کند
Sorebrect شبکه محلی را برای یافتن رایانه های متصل با اشتراک باز اسکن و فایل های موجود در آنها را قفل می کند.
محققان می گویند: «در صورتی که اشتراک طوری تنظیم شده باشد که هر کسی بتواند به آن متصل شود و دسترسی خواندن و نوشتن به آن داشته باشد، این اشتراک رمزگذاری خواهد شد.»
باج افزار سپس با استفاده از wevtutil.exe تمامی لاگ های مربوط به رویداد و shadow copies را با استفاده از vssadmin در دستگاه مورد هدف حذف می کند که می توانند شواهد فارنزیک مانند فایل های اجرا شده بر روی سیستم و برچسب های زمانی آنها را ارائه دهند. این حذفیات شناسایی تهدیدات را با مشکل مواجه می کند.
به علاوه Sorebrect نیز مانند بیشتر بدافزارهای دیگر در تلاش برای مخفی کردن ارتباط خود با سرور کنترل و فرمان از پروتکل شبکه Tor استفاده می کند.

باج افزار Sorebrect در سرتاسر دنیا توزیع می شود
باج افزار بدون فایل Sorebrect برای مورد هدف قرار دادن سیستم هایی ازصنایع مختلف از جمله تولید، فناوری و ارتباطات از راه دور طراحی شده است.
طبق گزارش ترند میکرو، Sorebrect در ابتدا کشورهای خاورمیانه مانند کویت و لبنان را مورد هدف قرار داده بود اما از ماه گذشته این تهدید شروع به آلوده کردن افراد کانادایی، چینی، کرواسی، ایتالیایی، ژاپن، مکزیک، تایوان و آمریکا کرده است.
محققان اشاره می کنند: «با توجه به تأثیر و کارایی بالقوه باج افزار، در صورت فعال شدن Sorebrect در دیگر نقاط دنیا که امکان فروش آن به عنوان یک سرویس وجود دارد، جای تعجب ندارد.»
این اولین باری نیست که محققان با یک بدافزار Fileless مواجه شده اند. دو ماه پیش هم محققان Talos یک حمله DNSMessenger را شناسایی کردند که کاملاً Fileless بود و از قابلیت های پیام رسانی DNS TXT برای دستکاری سیستم ها استفاده می کرد.
در بهمن ماه سال گذشته نیز محققان کاسپرسکی، بدافزار بدون فایلی را شناسایی کردند که به تنهایی در حافظه رایانه های دستکاری شده جای گرفته بودند که بانک ها، شرکت های مخابراتی و سازمان های دولتی در 40 کشور دنیا را مورد هدف قرار داده بودند.

دیدگاهتان را بنویسید