رکن چهارم -این امر بسیار بدیهی است که مهاجمان سایبری و نفوذگران روزبهروز پیشرفتهتر و خلاقتر میشوند. در حالیکه شاهد هستیم روشهای جدیدی برای حملات سایبری مورد استفاده قرار میگیرند ولی بردارهای حملهی سنتی نیز رفتهرفته در تلاش هستند تا عملیات خود را مخفیتر کرده و راهکارهای امنیتی را دور بزنند.
محققان امنیتی اخیراً باجافزار بدون پروندهی جدیدی را با نام Sorebrect شناسایی کردهاند که کدهای مخرب را در داخل پردازههای قانونی بر روی ماشین هدف تزریق میکند و برای فرار از روشهای تشخیص بدافزار، دارای قابلیت خود تخریبی نیز هست. برخلاف باجافزارهای سنتی، بدافزار Sorebrect برای هدف قرار دادن کارگزارها و نقاط انتهایی در سازمانها طراحی شده است. کدی که در داخل پردازهها تزریق شده است، در ادامه رمزنگاریِ پروندههای محلی و هر اطلاعاتی که در سطح شبکه به اشتراک گذاشته شده را آغاز میکند.
این باجافزار بدون پرونده ابتدا با استفاده از حملات جستجوی فراگیر و یا با راههای دیگری، گواهینامههای مدیریتی را آلوده کرده و در اختیار میگیرد و در ادامه با استفاده از ابزار خط فرمان Sysinternals PsExec مایکروسافت، رمزنگاری پروندهها را شروع میکند. محققان ترندمیکرو گفتند: «ابزار PsExec نفوذگران را قادر میسازد تا دستورات اجرایی را از راه دور اجرا کنند بهجای اینکه در یک نشست آماده و تعاملی اطلاعات ورود را ارائه کرده و دستورات را اجرا کنند. با استفاده از این ابزار، همچنین لازم نیست با استفاده از پروتکلهایی مانند RDP پروندههای بدافزار را بهطور دستی به ماشین قربانی منتقل کرد.»
باجافزار Sorebrect پروندههای به اشتراکگذاشته شده در سطح شبکه را نیز رمزنگاری میکند
این باجافزار رایانههای موجود در سطح شبکهی محلی را نیز پویش میکند و اگر پروندهای پیدا کرد که در سطح شبکه به اشتراک گذاشته شده باشد، آنها را نیز رمزنگاری میکند. این باجافزار در ادامه تمامی رکوردهای ثبتشده از رویدادهای رایانه را حذف میکند تا در آینده فرآیند جرمشناسی و تشخیص عملیات بدافزار مشکل شود. همچنین باجافزار Sorebrect مانند بقیهی بدافزارها برای گمنامی ارتباطات خود با کارگزار دستور و کنترل از شبکهی Tor بهره میبرد.
باجافزار Sorebrect در سطح جهان گسترش یافته است
باجافزار Sorebrect برای هدف قرار دادن شرکتهای مختلف در حوزههای صنعت، فناوری و ارتباطات و مخابرات طراحی شده است. به گفتهی محققان امنیتی از شرکت ترندمیکرو، این باجافزار کشورهای خاورمیانه از جمله کویت و لبنان را هدف قرار داده است اما از ماه گذشته این تهدید آلوده کردن سامانهها در کشورهایی مانند چین، کانادا، ایتالیا، ژاپن، مکزیک، روسیه، تایوان و آمریکا را آغاز کرده است.
این اولین بار نیست که محققان امنیتی شاهد بدافزارهای بدونِ پرونده هستند. دو ماه قبل محققان تالوس حملات DNSMessenger را شناسایی کردند که از هیچ پروندهای استفاده نکرده و برای آلوده کردن دستگاه هدف، از پیامهای DNS TXT بهره میبرد. در ماه فوریه نیز محققان امنیتی از شرکت کسپرسکی بدافزار بدون پروندهای را شناسایی کردند که خود را در داخل حافظهی ماشین آلوده مخفی میکرد. این بدافزار سعی داشت بانکها، سازمانهای ارتباطی و مخابراتی و نهادهای دولتی را هدف قرار دهد.
راههایی برای حفاظت در برابر حملات باجافزارها
از آنجایی که باجافزارها فقط افراد را هدف قرار نمیدهند و به سازمانها نیز حمله میکنند، مدیران سامانهها و کارشناسان امنیتی برای حفاظت از سازمان میتوانند راهکارهای زیر را اجرا کنند:
- محدود کردن مجوزهای نوشتن برای کاربران: یکی از معیارهای مهمی که پروندههای اشتراکی در سطح شبکه را در معرض حملات باجافزار قرار میدهد این است که به کاربران تمامی مجوزها اعطا میشود.
- محدود کردن امتیازات در ابزار PsExec: مجوزهای اجرای ابزار PsExec را محدود کنید و پیکربندی را طوری انجام دهید که تنها مدیران سامانهها قادر به اجرای این ابزار باشند.
- سامانهها و شبکههای خود را بهروز نگه دارید: همواره سامانه عامل، نرمافزارها و برنامههای کاربردی بر روی سامانهی خود را بهروزرسانی کنید.
- مرتب از دادههای خود نسخهی پشتیبان تهیه کنید: برای جلوگیری از هرگونه از بین رفتن دادهها، یک روال منظم برای تهیهی نسخهی پشتیبان از پروندهها و دادههای مهم خود داشته باشید. سعی کنید این نسخهی پشتیبان را بر روی یک سامانهی خارجی قرار دهید که بهطور مستقیم به رایانهی شما متصل نباشد.
منبع : thehackernews
