محققان امنیتی باجافزار خودتخریب بدون پرونده Sorebrect را شناسایی کردهاند که کدهای مخرب را در داخل پردازههای قانونی بر روی ماشین هدف تزریق میکند.
منبع : وبگاه اخبار امنیتی فنآوری اطلاعات و ارتباطات
محققان امنیتی باجافزار خودتخریب بدون پرونده Sorebrect را شناسایی کردهاند که کدهای مخرب را در داخل پردازههای قانونی بر روی ماشین هدف تزریق میکند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، درحالیکه شاهد هستیم روشهای جدیدی برای حملات سایبری مورد استفاده قرار میگیرند، ولی بردارهای حمله سنتی نیز رفتهرفته در تلاش هستند تا عملیات خود را مخفیتر کرده و راهکارهای امنیتی را دور بزنند.
محققان امنیتی اخیراً باجافزار بدون پرونده جدیدی را با نام Sorebrect شناسایی کردهاند که کدهای مخرب را در داخل پردازههای قانونی بر روی ماشین هدف تزریق میکند و برای فرار از روشهای تشخیص بدافزار، دارای قابلیت خود تخریبی نیز هست. برخلاف باجافزارهای سنتی، بدافزار Sorebrect برای هدف قرار دادن کارگزارها و نقاط انتهایی در سازمانها طراحی شدهاست. کدی که در داخل پردازهها تزریق شدهاست در ادامه رمزنگاری پروندههای محلی و هر اطلاعاتی را که در سطح شبکه به اشتراک گذاشته شدهاست، آغاز میکند.
این باجافزار بدون پرونده ابتدا با استفاده از حملات جستوجوی فراگیر و یا با راههای دیگری، گواهینامههای مدیریتی را آلوده میکند و در اختیار میگیرد و در ادامه با استفاده از ابزار خط فرمان Sysinternals PsExec مایکروسافت، رمزنگاری پروندهها را شروع میکند.
محققان ترندمیکرو گفتند: «ابزار PsExec نفوذگران را قادر میسازد تا دستورات اجرایی را از راه دور اجرا کنند بهجای اینکه در یک نشست آماده و تعاملی اطلاعات ورود را ارائه کرده و دستورات را اجرا کنند. با استفاده از این ابزار، همچنین لازم نیست با استفاده از پروتکلهایی مانند RDP پروندههای بدافزار را بهطور دستی به ماشین قربانی منتقل کرد.»
باجافزار Sorebrect پروندههای به اشتراکگذاشتهشده در سطح شبکه را نیز رمزنگاری میکند. این باجافزار رایانههای موجود در سطح شبکه محلی را نیز پویش میکند و اگر پروندهای پیدا کرد که در سطح شبکه به اشتراک گذاشته شدهباشد، آنها را نیز رمزنگاری میکند. این باجافزار در ادامه تمامی رکوردهای ثبتشده از رویدادهای رایانه را حذف میکند تا در آینده فرآیند جرمشناسی و تشخیص عملیات بدافزار مشکل شود. همچنین باجافزار Sorebrect مانند بقیهی بدافزارها برای گمنامی ارتباطات خود با کارگزار دستور و کنترل از شبکهی Tor بهره میبرد.
باجافزار Sorebrect برای هدف قرار دادن شرکتهای مختلف در حوزههای صنعت، فناوری و ارتباطات و مخابرات طراحی شدهاست. به گفته محققان امنیتی از شرکت ترندمیکرو، این باجافزار کشورهای خاورمیانه ازجمله کویت و لبنان را هدف قرار دادهاست، اما از ماه گذشته این تهدید آغاز به آلوده کردن سامانهها در کشورهایی مانند چین، کانادا، ایتالیا، ژاپن، مکزیک، روسیه، تایوان و آمریکا کردهاست.
این نخستینبار نیست که محققان امنیتی شاهد بدافزارهای بدون پرونده هستند. دو ماه قبل محققان تالوس حملات DNSMessenger را شناسایی کردند که از هیچ پروندهای استفاده نکردهبود و برای آلوده کردن دستگاه هدف از پیامهای DNS TXT بهره میبرد. در ماه فوریه نیز محققان امنیتی از شرکت کسپرسکی بدافزار بدون پروندهای را شناسایی کردند که خود را در داخل حافظه ماشین آلوده مخفی میکرد. این بدافزار سعی داشت بانکها، سازمانهای ارتباطی و مخابراتی و نهادهای دولتی را هدف قرار دهد.
از آنجایی که باجافزارها فقط افراد را هدف قرار نمیدهند و به سازمانها نیز حمله میکنند، مدیران سامانهها و کارشناسان امنیتی برای حفاظت از سازمان میتوانند راهکارهای زیر را اجرا کنند.
محدود کردن مجوزهای نوشتن برای کاربران: یکی از معیارهای مهمی که پروندههای اشتراکی در سطح شبکه را در معرض حملات باجافزار قرار میدهد این است که به کاربران تمامی مجوزها اعطا میشود.
محدود کردن امتیازات در ابزار PsExec: مجوزهای اجرای ابزار PsExec را محدود کنید و پیکربندی را طوری انجام دهید که تنها مدیران سامانهها قادر به اجرای این ابزار باشند.
سامانهها و شبکههای خود را بهروز نگه دارید: همواره سیستمعامل، نرمافزارها و برنامههای کاربردی را بر روی سامانه خود بهروزرسانی کنید.
مرتب از دادههای خود نسخه پشتیبان تهیه کنید: برای جلوگیری از هرگونه از بین رفتن دادهها، یک روال منظم برای تهیه نسخهی پشتیبان از پروندهها و دادههای مهم خود داشتهباشید. سعی کنید این نسخه پشتیبان را بر روی یک سامانه خارجی قرار دهید که بهطور مستقیم به رایانه شما متصل نباشد.