از کار انداختن آنتی‌ویروس توسط باج‌افزار
رابین‌هود آنتی‌ویروس را هدف گرفت
کد مطلب: 16357
تاریخ انتشار : شنبه ۲۶ بهمن ۱۳۹۸ ساعت ۱۲:۵۸
 
باج‌افزار رابین‌هود با سوءاستفاده از راه‌انداز Gigabyte باعث از کارافتادن آنتی‌ویروس می‌شود.
رابین‌هود آنتی‌ویروس را هدف گرفت
 
 
Share/Save/Bookmark
باج‌افزار رابین‌هود با سوءاستفاده از راه‌انداز Gigabyte باعث از کارافتادن آنتی‌ویروس می‌شود.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، گردانندگان باج‌افزار RobbinHood با بهره‌جویی (Exploit) از یک آسیب‌پذیری در راه‌انداز (Driver) شرکت Gigabyte و نصب راه‌اندازی مخرب و امضا نشده (Unsigned) در سیستم عامل Windows اقدام به متوقف کردن ضدویروس و سایر نرم‌افزارهای امنیتی نصب شده بر روی دستگاه می‌کنند.

یکی از اصلی‌ترین موانع در موفقیت مهاجمان در انتشار بدافزارها، آنتی‌ویروس فعال بر روی کامپیوترهاست که وظیفه آن شناسایی و حذف یا مسدودسازی فایل مخرب به‌محض کپی شدن است. با به‌کارگیری این سازوکار، مهاجمان می‌توانند فایل اجرایی مخرب خود را به‌سرعت، بدون جلب توجه و با اطمینان از شناسایی و مسدود نشدن توسط محصولات امنیتی در سرتاسر شبکه توزیع کنند.

اکثر فرایندهای مرتبط با نرم‌افزارهای امنیتی در سیستم عامل Windows توسط فرایندهای عادی قابل متوقف شدن نبوده و تنها راه‌اندازهای موسوم به Kernel که بالاترین سطح دسترسی را در سیستم عامل Windows دارند قادر به انجام آن هستند.

همچنین Microsoft با لحاظ کردن سیاستی امنیتی با عنوان Driver Signature Enforcement در Windows از نصب آن دسته از راه‌اندازهای Kernel که توسط Microsoft امضا نشده‌اند خودداری می‌کند. هدف از اعمال این سیاست، ناکام گذاشتن مهاجمان و بدافزارها در نصب راه‌اندازهای مخرب و دستیابی به سطح دسترسی Kernel در این سیستم عامل است.

اما بر اساس گزارش جدیدی که شرکت Sophos آن را منتشر کرده مهاجمان RobbinHood با بهره‌جویی از یک راه‌انداز آسیب‌پذیر شناخته شده شرکت Gigabyte که دارای امضای Microsoft است اقدام به دور زدن سیاست Driver Signature Enforcement می‌کنند.

بر طبق گزارش Sophos، در این روش، مهاجمان راه‌انداز Gigabyte را به‌عنوان ابزاری هک اجرا کرده و در ادامه یک راه‌انداز امضا نشده را فراخوانی می‌کنند. پس از آن، راه‌انداز دوم پروسه‌ها و فایل‌های متعلق به محصولات امنیت نقاط پایانی را از کار انداخته و با آسیب‌پذیر کردن سیستم امکان اجرای باج‌افزار را بدون هر گونه محدودیتی فراهم می‌کند.

حمله با توزیع فایلی با نام Steel.exe که وظیفه آن بهره‌جویی از آسیب‌پذیری CORE-۲۰۱۸-۰۰۰۷ در فایل gdrv.sys – متعلق به راه‌انداز Gigabyte – است آغاز می‌شود.

با اجرا شدن، Steel.exe محتوای فایل ROBNR.EXE را در مسیر C:\Windows\Temp کپی می‌کند که در نتیجه آن دو راه‌انداز شامل راه‌انداز آسیب‌پذیر Gigabyte (gdrv.sys) و راه‌انداز مخرب RobbinHood (فایل rbnl.sys) در پوشه ایجاد می‌شود.

پس از آن ROBNR راه‌انداز Gigabyte را نصب و با بهره‌جویی، Driver Signature Enforcement را متوقف می‌کند.

اکنون، ROBNR قادر به نصب راه‌انداز مخرب rbnl.sys و در ادامه فراهم کردن امکان استفاده از آن توسط Steel.exe جهت متوقف یا حذف کردن پروسه‌های مرتبط با ضدویروس و محصولات امنیتی نصب شده بر روی دستگاه است.
Steel.exe، فهرستی از پروسه‌هایی که باید متوقف شوند و سرویس‌هایی که پروسه‌های آنها باید حذف شوند را استخراج و در فایلی با نام PLIST.TXT ذخیره می‌کند. در ادامه به سراغ هریک از فرایندهای مندرج در فهرست رفته و اقدام به متوقف یا حذف کردن آنها می‌کند.
در جریان تحقیقات انجام شده، امکان دست‌یابی به فایل PLIST.TXT و شناسایی پروسه‌ها و سرویس‌های مورد هدف فراهم نشده است.

زمانی که وظیفه Steel.exe در متوقف کردن نرم‌افزارهای امنیتی با موفقیت به فرجام می‌رسد، باج‌افزار می‌تواند بدون هر نوع ممانعتی از سوی محصولات امنیتی نصب شده بر روی دستگاه، فایل‌ها را رمزگذاری کند.

با توجه به سود بالای اجرای حملات باج‌افزاری با دامنه آلوده‌سازی کل شبکه در مقایسه با حملات محدود به یک دستگاه، مهاجمان در حال یافتن و خلق راه‌های جدید برای عبور از سد محصولات امنیتی هستند. از آنجا که نقطه شروع این‌گونه حملات نیز رخنه به یکی از دستگاه‌های شبکه است مؤثرترین راهکار پیشگیرانه و مقابله به حداقل رساندن آسیب‌پذیری‌های امنیتی سازمان است. این شامل آموزش کاربران در برابر مقابله با حملات فیشینگ، اطمینان از نصب به‌روزرسانی‌های امنیتی و استفاده نکردن از پودمان‌ها و سرویس‌هایی همچون RDP بر روی دستگاه‌های قابل دسترس در بستر اینترنت می‌شود.
مرجع : مرکز مدیریت راهبردی افتا