گریزگاه جدید نفوذگران
رمزگذاری باج‌افزار Maze از طریق ماشین‌های مجازی
کد مطلب: 17041
تاریخ انتشار : سه شنبه ۱ مهر ۱۳۹۹ ساعت ۱۳:۰۰
 
اپراتورهای باج‌افزار Maze، تاکتیکی را که قبلاً باند Ragnar Locker استفاده کرده بود در پیش گرفته‌اند تا کامپیوترها را از داخل ماشین مجازی رمزگذاری کنند.
رمزگذاری باج‌افزار Maze از طریق ماشین‌های مجازی
 
 
Share/Save/Bookmark
اپراتورهای باج‌افزار Maze، تاکتیکی را که قبلاً باند Ragnar Locker  استفاده کرده بود در پیش گرفته‌اند تا کامپیوترها را از داخل ماشین مجازی رمزگذاری کنند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، در ماه می گزارشی منتشر شد که Ragnar Locker در حال رمزگذاری فایل‌ها از طریق ماشین‌های مجازی VirtualBox Windows XP برای دور زدن نرم‌افزار امنیتی در سیستم میزبان هستند.

ماشین مجازی درایوهای میزبان را به صورت اشتراک از راه دور نصب می‌کند و سپس برنامه باج‌افزار را در ماشین مجازی اجرا می‌کند تا فایل‌های «اشتراک گذاری» را رمزگذاری کند. از آنجا که ماشین مجازی از هیچ نرم‌افزار امنیتی استفاده نمی‌کند و درایوهای میزبان را نصب می‌کند، نرم‌افزار امنیتی میزبان نمی‌تواند بدافزار را شناسایی کرده و آن را مسدود کند.

هنگامی که Sophos به طور اتفاقی در حال ایجاد پاسخ برای میزبان‌های خود بود، متوجه شد که Maze دو بار سعی کرده است باج‌افزار خود را مستقر کند که توسط ویژگی Intercept X Sophos مسدود شد.

در دو حمله اول، مهاجم Maze سعی در راه‌اندازی انواع مختلف باج‌افزار با استفاده از فرمان‌های برنامه‌ریزی شده به نام Windows Update Security یا Windows Update Security Patches یا Google Chrome Security Update داشت.
در سومین حمله، Maze یک فایل MSI مستقر کرد که نرم‌افزار VirtualBox VM را به همراه یک ماشین مجازی سفارشی ویندوز ۷ بر روی سرور نصب کرد.

هنگامی که ماشین مجازی شروع به کار کرد، مانند حملات قبلی Ragnar Locker، یک وصله فایل به نام startup_vrun.bat batch file اجرا کرد که دستگاه را با اجراکننده‌های Maze از قبل آماده کند. سپس دستگاه خاموش شده و پس از راه اندازی مجدد، vrun.exe را برای رمزگذاری فایل‌های میزبان راه‌اندازی می‌کند.

از آنجا که ماشین مجازی در حال انجام رمزگذاری بر روی درایوهای نصب شده میزبان است، نرم‌افزار امنیتی نمی‌تواند رفتار را تشخیص داده و آن را متوقف کند.

محققان SophosLabs خاطرنشان کردند که این یک روش حمله پرهزینه از نظر اندازه دیسک در مقایسه با حملات قبلی Ranger Locker است. در حمله VRagnar Locker's VM به ویندوز XP حجم کل footprint فقط ۴۰۴ مگابایت بود. در حالی که، Maze با استفاده از ویندوز ۷، footprint موجود در مجموع ۲,۶ گیگابایت بسیار بزرگ‌تر بود.

این حمله نشان می‌دهد که چگونه عملیات باج افزار تاکتیک‌های رقبای خود را رصد می‌کند و در صورت لزوم آن‌ها را اتخاذ می‌کند. همچنین لازم به ذکر است که Ragnar Locker بخشی از  Maze Cartel است، بنابراین ممکن است Ragnar در این روش حمله به Maze کمک کرده باشد.
مرجع : مرکز مدیریت راهبردی افتا