کارشناسان امنیتی اخیرا موفق به کشف و شناسایی باج افزار بدون فایل Sorebrect شده اند. که قادر است تا کدهای مخرب را به درون سیستم ویندوزی ترزیق کند و برای فرار از دستم مکانیسم های امنیتی سیستم خود را نابود کند.
بر هیچ کسی پوشیده نیست که مهارت های هکرها و مجرمان سایبری در سالهای اخیر رشد چشمگیری داشته و اکنون خلاف کاران سایبری از تکنیک های نو آورانه و پنهانی برای نفوذ به سامانه های کاربران استفاده می کنند. هکرها به خوبی آگاه شده اند که باید خود را با تغییرات عرصه فناوری هماهنگ سازند. در حالی که هر روز اشکال جدیدی از حملات سایبری شناسایی می شود، به نظر میرسد هکرها تکنیک های سنتی را هنوز فراموش نکرده اند و الگوهای نفوذ سنتی را با رویکردی مدرن مورد استفاده قرار میدهند.
در همین ارتباط، کارشناسان امنیتی موفق شدند باج افزار بدون فایل جدیدی را با قابلیت خود تخریبی شناسایی کنند. باج افزار مذکور Sorebrect نام دارد. این باج افزار قادر است کدهای مخرب را به ماشین هدف و به درون فرآیند معتبر و قانونی ویندوز svchost.exe تزریق و در ادامه به منظور فرار از دست مکانیسم های امنیتی خود را نابود کند. برعکس باج افزارهای سنتی، Sorebrect تنها به منظور حمله به سرورهای سازمانی و نقاط پایانی طراحی شده است. زمانی که کد مخرب به درون سامانه ای تزریق می شود، در ادامه پردازنده رمزنگار فایلها روی ماشین محلی و ماشینهای متصل به شبکه را مقدار دهی اولیه می کند. این باج افزار بدون فایل ابتدا سعی میکند اعتبارنامه های سطح مدیریتی را از طریق یک حمله جستوجوی فراگیر یا دیگر روشهای رایج مورد تهدید قرار دهد و در ادامه از ابزار خط فرمان Sysinternals PsExec برای رمزنگاری فایلها استفاده کند.
ترند میکرو در این ارتباط گفته است: «PSEXeC به هکرها اجازه می دهد به جای آنکه از یک نشست لاگین تعاملی یا انتقال دستی بدافزارها به یک ماشین راه دور استفاده کنند، فرمان های خود را از راه دور به اجرا درآورند.» Sorebrect این توانایی را دارد تا شبکه محلی را به منظور کامپیوتر هایی که به آن متصل شده اند مورد پویش قرار دهد. این کار با هدف پیدا کردن فایلهای به اشتراک گذاشته شده انجام می شود. پژوهشگران در این ارتباط گفته اند: « باج افزار فوق اگر موفق شد هر پوشه ای که از سوی هر کاربری در شبکه به اشتراک قرار گرفته و قابلیت دسترسی خواندن و نوشتن برای ان فعال شده است را پیدا کند، این فایل را رمزنگاری می کند. در ادامه همه فایل های گزارشی و کپی های سایه ای (Copies Shadow) که به منظور ثبت اتفاقات مورد استفاده قرار می گیرند، از روی سامانه آلوده حذف میکند. این امر باعث می شود تا اطلاعات مهر زمانی (Time Stamp) فایلها از بین بروند که همین موضوع شناسایی تهدید را مشکل می سازد.»
Sorebrect از شبکه های پنهان ساز به منظور برقراری ارتباط با مرکز کنترل و فرماندهی خود استفاده میکند. شبیه به رویکردی که از سوی بدافزارهای مختلف مورد استفاده قرار میگیرد. گزارش منتشر شده از سوی کارشناسان امنیتی نشان میدهد این باج افزار قادر است گسترش جهانی پیدا کند. باج افزار بدون فایل Sorebrect به منظور نفوذ به انواع مختلفی از اهداف همچون تولیدکنندگان، شرکت های فعال در حوزه فناوری و شرکتهای مخابراتی طراحی شده است. آن گونه که ترمند میکرو گزارش داده است، باج افزار فوق نخستین بار کشورهای خاورمیانه را هدف خود قرار داد. در ادامه به سراغ کشورهایی همچون کانادا، چین، کرواسی، ایتالیا، ژاپن، مکزیک، روسیه، تایوان و ایالات متحده رفت.
پژوهشگران در بخشی از گزارش خود آورده اند: «با توجه به تأثیر بالقوه و سود آوری باج افزار فوق جای تعجبی نخواهد بود، اگر این باج افزار به سراغ صنایع دیگری همچون بهداشت و درمان و خدمات مالی برود. حتی این احتمال وجود دارد که هکرها در دنیای زیرزمینی این باج افزار در قالب سرویس در اختیار مشتریان خود قرار دهند.» این اولین باری نیست که پژوهشگران موفق شده اند یک باج افزار بدون کد را شناسایی کنند. دو ماه پیش، پژوهشگران امنیتی یک حمله DNSMessenger را شناسایی کردند. حمله ای که به طور کامل فاقد فایل بود و از ویژگی پیامهای DNS TXT به منظور حمله به سامانه های کامپیوتری استفاده می کرد. با توجه به اینکه باج افزار فوق به جای آنکه کاربران عادی را هدف قرار دهد سازمانها را به عنوان اهداف خود برگزیده است،
در نتیجه کارشناسان امنیتی به مدیران شبکه و متخصصان امنیت اطلاعات پیشنهاد داده اند برای محافظت از خود و زیرساخت های سازمان مطبوعشان چهار اقدام اساسی را انجام دهند.
اول انکه تعداد کاربرانی را که مجوز نوشتن دارند محدود کنند.
دوم آنکه مجوزهای مربوط به برنامه PsExec را می کنند. به طوری که تنها مدیران یک سامانه قادر باشند از این فایل استفاده کنند.
سوم آنکه سیستم ها و شبکه های خود را به روز نگه دارند
چهارم اینکه به طور منظم از فایلهای خود نسخه پشتیبان تهیه کنند.
در نهایت، سازمان ها نباید از آموزشی کارمندان و آگاه سازی آنها در ارتباط با فعالیت های مخرب و بردارهای حمله غافل شوند.
