کمیته رکن چهارم – برای مقابله با باجافزار RYUK که با سوءاستفاده از آسیبپذیری ZEROLOGON قربانی میگیرد باید اطمینان حاصل کرد که وصله منتشر شده مایکروسافت در شبکه اعمال شود.
باجافزار Ryuk با هدف قرار دادن سازمانهای بزرگ در سراسر جهان شناخته شده است که اغلب بهوسیله بدافزارهای شناخته شدهای مانند Emotet و TrickBot توزیع و منتشر میشود.
این باجافزار نخستینبار در آگوست سال ۲۰۱۸ کشف شد و از آن زمان به بعد سازمانهای مختلفی را آلوده و میلیونها دلار از قربانیان سرقت کرده است.
تجزیهوتحلیلها نشان میدهد که Ryuk نتیجه توسعه سفارشی یک بدافزار قدیمی به نام Hermes است. اخیرا محققان از ارتباط Ryuk با آسیبپذیری خطرناک Zerologon پرده برداشتند. Zerologon یک آسیبپذیری خطرناک است که با شناسه CVE-۲۰۲۰-۱۴۷۲ شناخته میشود، این آسیبپذیری به دلیل نقص در فرایند ورود به سیستم است که به مهاجم اجازه میدهد با استفاده از پروتکل Netlogon یا Netlogon Remote Protocol (MS-NRPC)، اتصال یک کانال آسیبپذیر Netlogon را با یک کنترلکننده دامنه برقرار کند.
بر اساس گزارش DFIR، مهاجمان از طریق بدافزار Bazar Loader به محیط دسترسی نفوذ میکنند. در این حمله جدید، مهاجمان سریعتر به هدف خود میرسند اما تاکتیکها و تکنیکهای کلی با حملات قبلی مشابه است.
در این باجافزار، مهاجمان به عنوان یک کاربر عادی با دسترسی محدود شروع به کار کرده و با بهرهبرداری از آسیبپذیری Zerologon به کنترلکننده دامنه اصلی دسترسی پیدا میکنند.
اقدامات جانبی به کار گرفته شده از طریق انتقال فایل SMB و اجرای WMI انجام میشوند و هنگامی که به کنترلکننده دامنه ثانویه منتقل میشوند، عاملان تهدید دامنه بیشتری را از طریق Net و ماژول PowerShell Active Directory شناسایی میکنند.
مهاجمان با اجرای باجافزار بر روی کنترلکننده دامنه اصلی، هدف خود را به پایان میرسانند. جهت مقابله با این بدافزار باید اطمینان حاصل شود که وصله منتشر شده مایکروسافت در شبکه اعمال شود.
منبع : افتانا
