‫باج‌افزار SODIN از یک آسیب‌پذیری در ويندوز به‌منظور افرایش امتیاز سوءاستفاده می‌کند تا در میزبان‌های آلوده به امتیاز مدیریتی دست یابد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، به‌تازگی باج‌افزار جدیدی به نام ‫SodinoKibi، معروف به Sodin یا REvil، کشف شده‌است که از آسیب‌پذیری روزصفرم ویندوز با شناسه‌ CVE-۲۰۱۸-۸۴۵۳ به‌منظور افرایش امتیاز سوءاستفاده می‌کند تا در میزبان‌های آلوده به امتیاز مدیریتی دست یابد.

این آسیب‌‌پذیری که توسط محققان آزمایشگاه کسپرسکی کشف شده است در به‌روزرسانی‌های امنیتی ماه اکتبر سال ۲۰۱۸ مایکروسافت وصله شده‌است. این آسیب‌پذیری پیش از وصله‌شدن در ماه اوت سال ۲۰۱۸، توسط یک گروه هک دولتی به نام FruityArmor که هدف اصلی آن کاربران خاورمیانه بود، مورد سوءاستفاده قرار گرفته‌بود. حال محققان کسپرسکی همان آسیب‌پذیری را در باج‌افزار sodin کشف کرده‌اند که به گفته‌ آنها، به‌ندرت چنین آسیب‌پذیری در باج‌افزار استفاده‌می‌شود.

در حال حاضر این باج‌افزار در سراسر جهان در حال گسترش است و عمده‌ آلودگی‌های آن در منطقه آسیا و اقیانوس آرام مشاهده شده‌است، به‌ویژه در تایوان (۱۷.۵۶%)، هنگ‌کنگ و کره‌جنوبی (۸.۷۸%). کشورهای دیگری که Sodinokibi در آن‌ها شناسایی شده‌‌است عبارت‌اند از ژاپن (۸.۰۵%)، ایتالیا (۵.۱۲%)، اسپانیا (۴.۸۸%)، ویتنام (۲.۹۳%)، ایالات‌متحده امریکا (۲.۴۴%) و مالزی (۲.۲%).

با آمدن باج‌افزار Sodin، باج‌افزار GandCrab تمامی فعالیت‌های اداری خود را در ماه گذشته متوقف ساخته‌است. GandCrab فعال‌ترین باج‌افزار تاکنون بوده‌است (نه فقط در سال جاری، بلکه در سال گذشته). برخی از اعضای جامعه‌ امنیت اطلاعات، Sodin را وارث GandCrab و عده‌ای آن را مکمل GandCrab می‌دانند که به احتمال زیاد توسط همان گروه از توسعه‌دهندگان ایجاد شده‌است.

محققان یک تجزیه‌وتحلیل فنی از فرایند افزایش امتیاز را که به این تهدید اجازه می‌دهد به امتیاز سیستمی دست یابد، منتشر ساخته‌اند. Sodin به‌منظور افزایش امتیاز از یک آسیب‌پذیری روزصفرم در win۳۲k.sys سوءاستفاده می‌کند. بدنه‌ هر نمونه Sodin شامل یک قطعه‌ پیکربندی رمزنگاری‌‌شده است که تنظیمات و داده‌‌های استفاده‌شده توسط بدافزار را ذخیره می‌سازد. پس از راه‌اندازی، Sodin قطعه‌ پیکربندی را بررسی می‌کند که آیا گزینه‌ای که سوءاستفاده را به‌کار می‌گیرد فعال است یا نه. اگر فعال باشد، Sodin معماری پردازنده‌ای را که اجرا می‌کند، بررسی می‌کند و سپس یکی از دو shellcode گنجانده‌شده در بدنه‌ این تروجان را بسته به معماری پردازنده، اجرا می‌کند. این shellcode تلاش می‌کند یک‌سری خاص از توابع WinAPI با آرگومان‌های ساختگی مخرب را به‌منظور راه‌اندازی آسیب‌پذیری فراخوانی کند. بدین‌ترتیب، این تروجان به بالاترین سطح دسترسی در سیستم دست می‌یابد. در اینجا هدف این است که راه‌حل‌های امنیتی نتوانند به‌راحتی این بدافزار را شناسایی کنند.

Sodin یک طرح ترکیبی را برای رمزگذاری داده‌ها پیاده‌سازی می‌کند. این طرح از یک الگوریتم متقارن برای رمزگذاری فایل‌ها و رمزگذاری نامتقارن منحنی بیضوی برای حفاظت از کلید استفاده می‌کند.

کلید خصوصی نیز با یک کلید عمومی دومی که در بدافزار کد سخت (hardcoded) شده است رمزگذاری و نتیجه در رجیستری ذخیره‌می‌شود.

پس از رمزگذاری فایل‌ها، sodinokibi یک افزونه‌ تصادفی را که برای هر رایانه‌ آلوده‌ای متفاوت است، ضمیمه می‌کند. کد مخرب Sodin فایل‌های با پوسته‌های صفحه‌ کلید مخصوص کشورهای خاصی ازجمله روسیه، اوکراین، بلاروس، تاجیکستان، ارمنستان، آذربایجان، گرجستان، قزاقستان، قرقیزستان، ترکمنستان، مالدیو، ازبکستان و سوریه را رمزگذاری نخواهدکرد.

پیکربندی Sodin شامل فیلدهای کلید عمومی، شماره ID برای کمپین و توزیع‌کننده و برای بازنویسی داده‌‌ها، نام مسیرها و فایل‌ها، لیست افزونه‌هایی که رمزگشایی نشده‌اند، نام فرایندهایی که باید به آنها خاتمه دهد، آدرس‌های کارگزار C2، قالب نوشته‌ باج و یک فیلد برای استفاده از سوءاستفاده‌ به‌منظور دست‌یابی به امتیاز بالاتر در ماشین است.

آنچه مهاجمان Sodin را پیچیده‌تر می‌سازد، استفاده‌ آنها از تکنیک Heaven’s Gate است. Heaven’s Gate تکنیکی است که به یک فرایند ۳۲ بیتی تروجان اجازه می‌دهد تکه کدهای ۶۴ بیتی را اجرا کند. بسیاری از debuggerها از چنین معماری پشتیبانی نمی‌کنند؛ درنتیجه استفاده از این تکنیک، تجزیه‌وتحلیل بدافزار را برای محققان دشوار می‌سازد. همچنین تکنیک قدیمی Heaven’s Gate ممکن است به‌منظور دورزدن راه‌حل‌های امنیتی مانند دیواره‌های آتش و برنامه‌های آنتی‌ویروس نیز مورد استفاده قرار گیرد.

Heaven’s Gate در انواع مختلف بدافزارها از جمله کاونده‌های سکه مشاهده شده‌است؛ اما این اولین باری است که محققان کسپرسکی استفاده‌ این تکنیک را در یک کمپین باج‌افزاری مشاهده کرده‌اند.

Sodin به عنوان یک باج‌افزار به‌عنوان‌ یک سرویس (RaaS) طراحی شده‌است؛ بدین معنی که اپراتورها می‌توانند روش گسترش را انتخاب کنند و به گفته‌ی محققان، این طرح به مهاجمان اجازه می‌دهد به توزیع باج‌افزار از طریق کانال‌ها ادامه دهند. این باج‌افزار در حال حاضر از طریق نرم‌افزار کارگزار آسیب‌پذیر به کارگزار آسیب‌پذیر و همچنین از طریق malvertising و ابزارگان سوءاستفاده به نقطه پایانی‌ها (endpoints) در حال گسترش است.