باجافزار Samas با استفاده از اکتیو دایرکتوری تمام شبکه را آلوده میکند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، نویسندگان باجافزار Samas که سال قبل شناسایی شدهبود شبکه را با استفاده از اکتیو دایرکتوری شناسایی میکنند تا در ادامه همه شبکه را آلوده سازند.
این باجافزار در ابتدا از ابزارهای عمومی تست نفوذ برای توزیع استفاده میکرد و به گفته نویسنده آن تا اواخر سال ۲۰۱۶ میلادی توانستهبود ۴۵۰ هزار دلار سود کسب کند. این مهاجمان صنایع بهداشت و درمان را در اولویت حمله خود هدف قرار دادهاند.
برخلاف سایر باجافزارها که تنها به رمزنگاری پروندههای محلی اکتفا میکنند، این باجافزار تمام شبکه را شناسایی کرده و میخواهد تمامی پروندههای موجود بر روی کارگزارها و رایانهها را رمزنگاری کند. این عملیات در سه مرحله انجام میشود: مهاجم گواهینامههای دامنه را به سرقت میبرد و قربانیان را با استفاده از شناسه اکتیو دایرکتوری شناسایی میکند و در مرحله آخر در سطح شبکه حرکت میکند و منتشر میشود.
محققان امنیتی با تجزیهوتحلیل این باجافزار دریافتند در مرحله اول از آسیبپذیری با شناسه CVE-2010-0738 بهرهبرداری کرده و به شبکه دسترسی پیدا میکند. مهاجم در ادامه میتواند گواهینامههای دامنه را بهدست آورده و مانند یک کاربر قانونی عمل کند.
مهاجم در ادامه حمله باید اهداف خود را شناسایی کند و برای این منظور پرسوجویی بر روی اکتیو دایرکتوری انجام میدهد، چرا که اکتیو دایرکتوری اطلاعات مربوط به تمام کاربران را ذخیره میکند. با استفاده از ابزار خط فرمان CSVDE در ویندوز، میتواند تمامی این اطلاعات را از اکتیو دایرکتوری دریافت کند.
مهاجم میتواند کاربران فعال را با استفاده از دستور پینگ شناسایی کند و در ادامه نیز با ابزار PSEXEC ماژول مخرب را بر روی آنها نصب سازد. چون این ابزار یک خط فرمان است که توسط مدیران برای کنترل سامانهها از راه دور مورد استفاده قرار میگیرد، این حمله غیرقابل شناسایی خواهدبود.
محققان همچنین اشاره کردند هر شرکتی که از اکتیو دایرکتوری استفاده میکند میتواند قربانی این نوع حملات باشد. محققان اعلام کردند در سال گذشته کشور آمریکا هدف اصلی باجافزار Samas بودهاست، البته حملاتی علیه شرکتهای اروپایی و آسیایی نیز گزارش شدهاست.