Samas صنایع بهداشت و درمان را نشانه گرفت

باج‌افزار Samas با استفاده از اکتیو دایرکتوری تمام شبکه را آلوده می‌کند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، نویسندگان باج‌افزار Samas که سال قبل شناسایی شده‌بود شبکه را با استفاده از اکتیو دایرکتوری شناسایی می‌کنند تا در ادامه همه شبکه را آلوده سازند. 

این باج‌افزار در ابتدا از ابزارهای عمومی تست نفوذ برای توزیع استفاده می‌کرد و به گفته‌ نویسنده‌ آن تا اواخر سال ۲۰۱۶ میلادی توانسته‌بود ۴۵۰ هزار دلار سود کسب کند. این مهاجمان صنایع بهداشت و درمان را در اولویت حمله‌ خود هدف قرار داده‌اند.

برخلاف سایر باج‌افزارها که تنها به رمزنگاری پرونده‌های محلی اکتفا می‌کنند، این باج‌افزار تمام شبکه را شناسایی کرده و می‌خواهد تمامی پرونده‌های موجود بر روی کارگزارها و رایانه‌ها را رمزنگاری کند. این عملیات در سه مرحله انجام می‌شود: مهاجم گواهی‌نامه‌های دامنه را به سرقت می‌برد و قربانیان را با استفاده از شناسه‌ اکتیو دایرکتوری شناسایی می‌کند و در مرحله‌ آخر در سطح شبکه حرکت می‌کند و منتشر می‌شود.

محققان امنیتی با تجزیه‌وتحلیل این باج‌افزار دریافتند در مرحله‌ اول از آسیب‌پذیری با شناسه‌ CVE-2010-0738 بهره‌برداری کرده و به شبکه دسترسی پیدا می‌کند. مهاجم در ادامه می‌تواند گواهی‌نامه‌های دامنه را به‌دست آورده و مانند یک کاربر قانونی عمل کند.

مهاجم در ادامه‌ حمله باید اهداف خود را شناسایی کند و برای این منظور پرس‌وجویی بر روی اکتیو دایرکتوری انجام می‌دهد، چرا که اکتیو دایرکتوری اطلاعات مربوط به تمام کاربران را ذخیره می‌کند. با استفاده از ابزار خط فرمان CSVDE در ویندوز، می‌تواند تمامی این اطلاعات را از اکتیو دایرکتوری دریافت کند.

مهاجم می‌تواند کاربران فعال را با استفاده از دستور پینگ شناسایی کند و در ادامه نیز با ابزار PSEXEC ماژول مخرب را بر روی آنها نصب سازد. چون این ابزار یک خط فرمان است که توسط مدیران برای کنترل سامانه‌ها از راه دور مورد استفاده قرار می‌گیرد، این حمله غیرقابل شناسایی خواهد‌بود.

محققان همچنین اشاره کردند هر شرکتی که از اکتیو دایرکتوری استفاده می‌کند می‌تواند قربانی این نوع حملات باشد. محققان اعلام کردند در سال گذشته کشور آمریکا هدف اصلی باج‌افزار Samas بوده‌است، البته حملاتی علیه شرکت‌های اروپایی و آسیایی نیز گزارش شده‌است.