کمیته رکن چهارم – در روزهای اخیر، گزارشهایی مبنی بر آلودگی برخی دستگاهها به نسخه جدید باجافزار GandCrab به شرکت مهندسی شبکه گستر واصل شده است.
باجافزار GandCrab فایلهای با پسوندهای رایج را رمزگذاری کرده و به آنها پسوند CRAB را الصاق میکند.
نکته قابل توجه در مورد حمله اخیر، استفاده مهاجمان از بسته بهرهجوی Magnitude به منظور آلوده نمودن دستگاه قربانیان به GandCrab است.
استفاده از این بسته بهرهجو پیشتر تنها در انحصار باجفزار Magniber بود.
در حمله اخیر، مهاجمان با بکارگیری بسته بهرهجوی Magnitude از آسیبپذیریهای حیاتی CVE-2016-0189 و CVE-2018-4878 بترتیب در مرورگر Internet Explorer و نرمافزار Flash Player سوءاستفاده میکنند. این دو ضعف امنیتی، مهاجم را قادر به اجرای کد مخرب، بصورت از راه دور و بدون نیاز به هر گونه دخالت کاربر میکنند.
بنابراین باز شدن یک صفحه اینترنتی مخرب و دستکاری شده که حاوی بسته بهرهجوی Magnitude است، سبب میگردد تا بدون آنکه کاربر بر روی لینکی کلیک کند یا فایلی را به اجرا در آورد، دستگاهی که دارای هر یک از آسیبپذیریهای مذکور باشد به باجافزار GandCrab آلوده شود.
در این حمله نیز مهاجمان با ارسال ایمیلهای حاوی عناوین و محتوای جذاب کاربران را تشویق به کلیک بر روی لینک درج شده در داخل ایمیل کرده و در ادامه کاربر را هدایت به صفحه اینترنتی حاوی بسته بهرهجو میکنند.
به تمامی مدیران شبکه و کاربران توصیه میشود که از نصب بودن تمامی اصلاحیههای امنیتی برای مرورگر Internet Explorer از جمله MS16-051 و MS16-053 و نرمافزار Flash Player به ویژه APSA18-01 که در این حمله مورد سوءاستفاده قرار گرفتهاند اطمینان حاصل کنند.
البته خوانندگان اطلاع دارند که امکان بهروزرسانی نرمافزارهای شرکت Adobe نظیر Flash Player با نشانیهای IP ایرانی وجود نداشته و کاربران و مدیران شبکه باید با استفاده از روشها و ابزارهای دیگر اقدام به این کار کنند. ذکر این نکته ضروری است که سالهاست که متخصصان امنیتی به کاربران توصیه میکنند که در صورت امکان از نصب نرمافزار Flash Player بر روی دستگاههای خود اجتناب کنند. دلیل این توصیه وجود آسیبپذیریها و ضعفهای امنیتی فراوان در این نرمافزار است. بنحوی که بسیاری از ویروسنویسان و هکرها، از جمله مهاجمان همین حمله، با بهرهجویی از آسیبپذیریهای آن اقدام به آلوده کردن دستگاه و رخنه به شبکه قربانیان خود میکنند. شرکت Adobe نیز اعلام نموده که پشتیبانی از این محصول معروف خود را در پایان سال ۲۰۲۰ متوقف خواهد کرد.
همچنین در این حمله، از روش موسوم به “بدون فایل” (File-less) برای فراخوانی و اجرای فایل اصلی باجافزار استفاده شده است. “بدون فایل” از جمله تکنیکهای پیشرفته آلودهسازی است که شناسایی و تشخیص فایل مخرب را برای محصولات امنیتی دشوار و حتی در ضدویروسهای سنتی غیرممکن میسازد.
برای مثال، در فرآیند اجرا، کد مخرب توسط یکی از فایلهای مجاز سیستم عامل از اینترنت دریافت شده و بدون ذخیره شدن بر روی دیسک سخت به یکی دیگر از پروسههای مجاز تزریق میشود. بنابراین با توجه به عدم نوشته شدن کدهای آلوده بر روی دیسک سخت دستگاه، ضدویروسهای موسوم به سنتی از اجرای بدافزار آگاه نشده و در نتیجه واکنشی به آن نشان نمیدهند.
لازم به ذکر است که در اسفند ماه سال گذشته شرکت ضدویروس Bitdefender اقدام به عرضه ابزاری برای بازگردانی فایلهای رمز شده توسط باجافزار GandCrab کرد. با این حال متأسفانه در زمان انتشار این خبر، امکان رمزگشایی فایلهای رمزگذاری شده توسط نسخه جدید GandCrab بدون در اختیار داشتن کلید فراهم نیست.
منبع : شبکه گستر
