ITanalyze

تحلیل وضعیت فناوری اطلاعات در ایران :: Iran IT analysis and news

ITanalyze

تحلیل وضعیت فناوری اطلاعات در ایران :: Iran IT analysis and news

  عبارت مورد جستجو
تحلیل وضعیت فناوری اطلاعات در ایران

آشنایی با گروه لازاروس و باج‌افزار جدیدش

| دوشنبه, ۱۳ مرداد ۱۳۹۹، ۰۲:۴۵ ب.ظ | ۰ نظر

گروه لازاروس[1] همیشه در استفاده از متودهای معمول حملات APT سردمدار بوده؛ اما در جرایم سایبریِ مالی تخصص اساسی دارد. همین اواخر، متخصصین ما بدافزار VHD تازه‌ای شناسایی کردند که تا پیش از این کشف‌نشده باقیمانده بود. به نظر می‌رسد لازاروس دارد روی این بدافزار آزمایشاتی انجام می‌دهد. VHD به لحاظ کارکرد، یک ابزار نسبتاً استاندارد باج‌افزار است که به درایوهای متصل به کامپیوتر قربانی رخنه کرده، فایل‌ها را رمزگذاری نموده و تمامی فولدرهای System Volume Information را پاک می‌کند (در نتیجه، حملات سیستم ریستور در ویندوز صورت می‌گیرد). افزون بر این، این ابزار می‌تواند فرآیندهایی را که می‌توانند به طور بالقوه فایل‌های مهم را در مقابل دستکاری‌ها (از جمله Microsoft Exchange یا SQL Server) محافظت کنند به حالت تعلیق درآورد. اما جالبیِ کار، نحوه‌ی رخنه کردن VHD به کامپیوترهای هدف است؛ زیرا مکانیزم‌های تحویل آن بیشتر به حملات APT شبیه است. متخصصین ما اخیراً دو پرونده‌ی VHD را مورد بررسی قرر داده و اقدامات مهاجمین را در هر یک تحلیل کردند.


حرکت جانبی از طریق شبکه‌ی قربانی
در اولین رخداد، توجه متخصصین ما به کد مخرب مسئول توزیع VHD روی سراسر شبکه‌ی مورد هدف جلب شد. کاشف بعمل آمد که این باج‌افزار فهرستی از آدرس‌های IP کامپیوترهای قربانی و نیز اطلاعات محرمانه‌ در خصوص اکانت‌هایی با حقوق ادمین در اختیار داشت. از این داده‌ها در حقیقت به منظور پیش بردن حملات جستجوی فراگیر روی سرویس SMB استفاده می‌شده است. اگر این بدافزار تصمیم می‌گرفت با استفاده از پروتکل SMB به فولدر شبکه‌ی کامپیوتر دیگری وصل شود، خودش را کپی و اجرا  و آن دستگاه را نیز رمزگذاری می‌کرد. چنین رفتاری، رفتار معمول توده‌ی باج‌افزارها نیست. این دست‌کم نشان‌دهنده‌ی شناسایی مقدماتی زیرساخت قربانی است که بیشتر در خود مشخصه‌های کمپین‌های APT را دارد.


زنجیره‌ی ابتلا
بار بعد که تیم Global Emergency Response ما به این باج‌افزار –در طول تحقیقات- برخوردند، محققین توانستند کل زنجیره ابتلا را ردیابی کنند. اینطور که آن‌ها گزارش دادند، مجرمان سایبری:
1.    با اکسپلویت کردن یک درگاه آسیب‌پذیر وی‌پی‌ان، به سیستم‌های قربانی دسترسی پیدا کردند،
2.    روی دستگاه‌های دستکاری‌شده حقوق ادمین گرفتند،
3.    بک‌در نصب کردند،
4.    کنترل سرور Active Directory را به دست گرفتند،
5.    همه‌ی کامپیوترهای روی شبکه را درحالیکه باج‌افزار VHD داشت از لودری –مشخصاً برای این امر نوشته‌شده- استفاده می‌کرد آلوده کردند.
تحلیل‌های بعدی این ابزارها نشان داد بک‌در بخشی از این فریم‌ورک چندین پلت‌فرمه‌ بوده است (که برخی از همکاران ما آن را Dacls می‌نامند). ما اینطور نتیجه گرفته‌ایم که این ابزار دیگریست از لازاروس.


چطور از کامپیوتر خود محافظت کنیم؟
عاملین باج‌افزار VHD وقتی صحبت از آلوده کردن کامپیوترهای سازمانی با کریپتور به میان می‌آید شاید بهترین نباشند اما از حد متوسط بالاترند. این بدافزار به طور کلی فقط روی تالارهای گفت‌وگوی هکرها موجود نیست؛ بلکه به طور خاص مخصوص حملات هدف‌دار توسعه داده شده است. تکنیک‌های بکار گرفته‌شده برای نفوذ به زیرساخت قربانی و تبلیغ در داخل شبکه یادآور حملات پیچیده‌ی APT هستند. این زوال تدریجی مرزهای بین ابزارهای مالی جرایم سایبری و حملات APT ثابت می‌کند حتی شرکت‌های کوچک‌تر هم می‌بایست از فناوری‌های پیشرفته‌تری استفاده کنند. با این تفاسیر، ما به تازگی از راهکاری یکپارچه با دو کارکرد [2]EPP و EDR[3] پرده برداشته است. شما می‌توانید در این پیج اختصاصی در مورد این راهکار بیشتر بدانید.
 
[1] Lazarus
[2] Endpoint Protection Platform
[3] Endpoint Detection and Response
 
منبع: کسپرسکی آنلاین 

تنظیم: روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛

  • ۹۹/۰۵/۱۳

نظرات  (۰)

هیچ نظری هنوز ثبت نشده است

ارسال نظر

ارسال نظر آزاد است، اما اگر قبلا در بیان ثبت نام کرده اید می توانید ابتدا وارد شوید.
شما میتوانید از این تگهای html استفاده کنید:
<b> یا <strong>، <em> یا <i>، <u>، <strike> یا <s>، <sup>، <sub>، <blockquote>، <code>، <pre>، <hr>، <br>، <p>، <a href="" title="">، <span style="">، <div align="">