باجافزار SODIN از یک آسیبپذیری در ويندوز بهمنظور افرایش امتیاز سوءاستفاده میکند تا در میزبانهای آلوده به امتیاز مدیریتی دست یابد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بهتازگی باجافزار جدیدی به نام SodinoKibi، معروف به Sodin یا REvil، کشف شدهاست که از آسیبپذیری روزصفرم ویندوز با شناسه CVE-۲۰۱۸-۸۴۵۳ بهمنظور افرایش امتیاز سوءاستفاده میکند تا در میزبانهای آلوده به امتیاز مدیریتی دست یابد.
این آسیبپذیری که توسط محققان آزمایشگاه کسپرسکی کشف شده است در بهروزرسانیهای امنیتی ماه اکتبر سال ۲۰۱۸ مایکروسافت وصله شدهاست. این آسیبپذیری پیش از وصلهشدن در ماه اوت سال ۲۰۱۸، توسط یک گروه هک دولتی به نام FruityArmor که هدف اصلی آن کاربران خاورمیانه بود، مورد سوءاستفاده قرار گرفتهبود. حال محققان کسپرسکی همان آسیبپذیری را در باجافزار sodin کشف کردهاند که به گفته آنها، بهندرت چنین آسیبپذیری در باجافزار استفادهمیشود.
در حال حاضر این باجافزار در سراسر جهان در حال گسترش است و عمده آلودگیهای آن در منطقه آسیا و اقیانوس آرام مشاهده شدهاست، بهویژه در تایوان (۱۷.۵۶%)، هنگکنگ و کرهجنوبی (۸.۷۸%). کشورهای دیگری که Sodinokibi در آنها شناسایی شدهاست عبارتاند از ژاپن (۸.۰۵%)، ایتالیا (۵.۱۲%)، اسپانیا (۴.۸۸%)، ویتنام (۲.۹۳%)، ایالاتمتحده امریکا (۲.۴۴%) و مالزی (۲.۲%).
با آمدن باجافزار Sodin، باجافزار GandCrab تمامی فعالیتهای اداری خود را در ماه گذشته متوقف ساختهاست. GandCrab فعالترین باجافزار تاکنون بودهاست (نه فقط در سال جاری، بلکه در سال گذشته). برخی از اعضای جامعه امنیت اطلاعات، Sodin را وارث GandCrab و عدهای آن را مکمل GandCrab میدانند که به احتمال زیاد توسط همان گروه از توسعهدهندگان ایجاد شدهاست.
محققان یک تجزیهوتحلیل فنی از فرایند افزایش امتیاز را که به این تهدید اجازه میدهد به امتیاز سیستمی دست یابد، منتشر ساختهاند. Sodin بهمنظور افزایش امتیاز از یک آسیبپذیری روزصفرم در win۳۲k.sys سوءاستفاده میکند. بدنه هر نمونه Sodin شامل یک قطعه پیکربندی رمزنگاریشده است که تنظیمات و دادههای استفادهشده توسط بدافزار را ذخیره میسازد. پس از راهاندازی، Sodin قطعه پیکربندی را بررسی میکند که آیا گزینهای که سوءاستفاده را بهکار میگیرد فعال است یا نه. اگر فعال باشد، Sodin معماری پردازندهای را که اجرا میکند، بررسی میکند و سپس یکی از دو shellcode گنجاندهشده در بدنه این تروجان را بسته به معماری پردازنده، اجرا میکند. این shellcode تلاش میکند یکسری خاص از توابع WinAPI با آرگومانهای ساختگی مخرب را بهمنظور راهاندازی آسیبپذیری فراخوانی کند. بدینترتیب، این تروجان به بالاترین سطح دسترسی در سیستم دست مییابد. در اینجا هدف این است که راهحلهای امنیتی نتوانند بهراحتی این بدافزار را شناسایی کنند.
Sodin یک طرح ترکیبی را برای رمزگذاری دادهها پیادهسازی میکند. این طرح از یک الگوریتم متقارن برای رمزگذاری فایلها و رمزگذاری نامتقارن منحنی بیضوی برای حفاظت از کلید استفاده میکند.
کلید خصوصی نیز با یک کلید عمومی دومی که در بدافزار کد سخت (hardcoded) شده است رمزگذاری و نتیجه در رجیستری ذخیرهمیشود.
پس از رمزگذاری فایلها، sodinokibi یک افزونه تصادفی را که برای هر رایانه آلودهای متفاوت است، ضمیمه میکند. کد مخرب Sodin فایلهای با پوستههای صفحه کلید مخصوص کشورهای خاصی ازجمله روسیه، اوکراین، بلاروس، تاجیکستان، ارمنستان، آذربایجان، گرجستان، قزاقستان، قرقیزستان، ترکمنستان، مالدیو، ازبکستان و سوریه را رمزگذاری نخواهدکرد.
پیکربندی Sodin شامل فیلدهای کلید عمومی، شماره ID برای کمپین و توزیعکننده و برای بازنویسی دادهها، نام مسیرها و فایلها، لیست افزونههایی که رمزگشایی نشدهاند، نام فرایندهایی که باید به آنها خاتمه دهد، آدرسهای کارگزار C2، قالب نوشته باج و یک فیلد برای استفاده از سوءاستفاده بهمنظور دستیابی به امتیاز بالاتر در ماشین است.
آنچه مهاجمان Sodin را پیچیدهتر میسازد، استفاده آنها از تکنیک Heaven’s Gate است. Heaven’s Gate تکنیکی است که به یک فرایند ۳۲ بیتی تروجان اجازه میدهد تکه کدهای ۶۴ بیتی را اجرا کند. بسیاری از debuggerها از چنین معماری پشتیبانی نمیکنند؛ درنتیجه استفاده از این تکنیک، تجزیهوتحلیل بدافزار را برای محققان دشوار میسازد. همچنین تکنیک قدیمی Heaven’s Gate ممکن است بهمنظور دورزدن راهحلهای امنیتی مانند دیوارههای آتش و برنامههای آنتیویروس نیز مورد استفاده قرار گیرد.
Heaven’s Gate در انواع مختلف بدافزارها از جمله کاوندههای سکه مشاهده شدهاست؛ اما این اولین باری است که محققان کسپرسکی استفاده این تکنیک را در یک کمپین باجافزاری مشاهده کردهاند.
Sodin به عنوان یک باجافزار بهعنوان یک سرویس (RaaS) طراحی شدهاست؛ بدین معنی که اپراتورها میتوانند روش گسترش را انتخاب کنند و به گفتهی محققان، این طرح به مهاجمان اجازه میدهد به توزیع باجافزار از طریق کانالها ادامه دهند. این باجافزار در حال حاضر از طریق نرمافزار کارگزار آسیبپذیر به کارگزار آسیبپذیر و همچنین از طریق malvertising و ابزارگان سوءاستفاده به نقطه پایانیها (endpoints) در حال گسترش است.