آلودگی سازمان های دولتی توسط باج افزار خطرناک Bad Rabbit
سازمان هایی که توسط این باج افزار مورد حمله سنگین واقع شده اند و تا الان تایید شده اند شامل فرودگاه اودسا (اکراین)، سازمان مترو (کیِف)، وزارت کشور در اوکراین و سه سازمان دولتی دیگر در روسیه تحت نام های Interfax و Fontanka است. مقامات و محققان اوکراینی هشداری را منتشر کرده اند و به سازمان های دولتی و خصوصی در رابطه با این شیوع وسیع اخطار جدی داده اند.
سرعت انتشار این گونه ی جدید باج افزار Bad Rabbit درست همانند واناکرای (wannacry) و نات پتیا (notpetya) میباشد که در تاریخ مه و ژوئن امسال شیوع پیدا کردند.
باج افزار Bad Rabbit از طریق به روز رسانی جعلی فلش انتقال میابد.
محققان میگویند باج افزار bad rabbit از طریق بسته های به روز رسانی فلش انتقال پیدا میکند، اما به نظر میرسد که باج افزار با ابزار خاصی به داخل شبکه نفوذ میکند که سرعت نفوذ و پخش در شبکه را افزایش میدهد و میتوتند دلیل موجهی باشد که چرا در این مدت زمان کوتاه سرعت تکثیر بالایی داشته است.
در مقاله ای دیگر عنوان شده بود که باج افزار از طریق یک درایو آلوده انتقال پیدا میکند. و قربانیان به صفحه ای هدایت میشوند که حاوی به روز رسانی جعلی فلش میباشد.
بر اساس تحلیل های انجام شده، این باج افزار از Mimikatz برای استخراج اطلاعات کاربری از حافظه ی سیستم های یک مجموعه یا سازمان استفاده میکند. همچنین سعی بر دسترسی به سرور ها و وورک استیشن های شبکه خواهد داشت و اینکار را از طریق پورتال های SMB و WebDav انجام میدهند.
برای این گونه ی باج افزار Bad Rabbit، که کد کننده دیسک نیز نامیده میشود و شباهت بسیاری به باج افزار مخرب پتیا دارد.
باج افزار Bad Rabbit در ابتدا فایل های روی سیستم کاربر را رمزنگاری میکند سپس خود را جایگزین MBR سیستم میکند.
به محض اینکه باج افزار bad rabbit کار خود را انجام دهد، سیستم کاربر را ریست میکند که پس از روشن شدن صفحه ی یادداشت باج افزار را نمایان میکند. یادداشت باج افزار تقریبا با باج افزار قبلی notpetya شباهت بسیاری دارد که در شیوع اخیر که در ژوئن (تیر ماه) رخ داد.
با توجه به یادداشت باج افزار، این مخرب از قربانی درخواست دارد که وارد شبکه ای خاص در tor بشود و مبلغ 0.05 بیت کوین (به ارزش 280 دلار) را پرداخت کند. قربانیان تنها 40 ساعت زمان دارند تا پرداخت را انجام بدهند در غیراین صورت میزان مبلغ درخواستی باج گیران بیشتر میشود.
به نظر میرسد که این باج افزار بر اساس DiskCryptor طراحی شده است که یک قابلیت رمزنگاری دیسک در حالت اپن سورس میباشد و مشابه باج افزار HDDCryptor که پیشتر سرویس حمل و نقل شهر سانفرانسیسکو را مختل کرده بود.
سورس کد باج افزار Bad Rabbit اشاره هایی به سریال بازی تاج و تخت و شخصیت های آن همچون کرم خاکستری ( Grayworm) دارد. علاوه بر این، باج افزار سه وظیفه ی زمان بندی شده را برای خود تعیین میکند که نام های آن، دراگون ( Drogon) ، ریگال (Rhaegal) و ویسرن (Viserion) است که نام سه اژدهای معروف در بازی تاج و تخت میباشد. این اولین باج افزاری نیست که با رفرنس این سریال معروف خود را وارد عرصه میکند یکی از اسکریپت های باج افزاری لاکی نیز از همین نام استفاده میکرد.
همانطور که پیشتر اشاره شد، این باج افزار در حال حاضر سازمان های روسیه و اروپای شرقی را از طریق وب سایت های جعلی که صفحه ای دروغین به نمایش میگذارند را آلوده میسازد. وقتی یک کاربر بر روی این اطلاعیه ها کلیک میکند. فایلی به نام Install_Flash_Player.exe دانلود میشود.
زمانی که این فایل اجرا میشود فایلی تحت نام c:windowsinfpub.dat را اضافه میکند و با استفاده از فرمان c:windowssystem32rundll32.exe را اجرا میکند.
به محض اجرای فایل، Infpub.dat اقدام به ساختن C:windowscscc.dat و c:windowsdispci.exe میکند. فایل cscc.dat در واقع نسخه ی کپی شده از همان dcrypt میباشد. سپس Infpub.dat یک ویندوز سرویس به نام Windows Client Side Caching DDriver میسازد که وظیفه ی راه اندازی درایور cscc.dat را دارد.
فایل Infpub.dat همچنین یک وظیفه ی برنامه ریزی شده میسازد که فایل dispci.exe را زمان ورود کاربر به سیستم خود اجرا کند. این اقدام برنامه ریزی شده، Rhaegal نام دارد و فایل بالا را اجرا میکند.
درایور cscc.dat، به همراه فایل dispci.exe برای رمزنگاری سیستم اقدام میکنند و بخش بوت مستر درایور را تغییر میدهند تا یاد داشت باج افزار در صفحه ی بوت نمایان شود.
فایل Infpub.dat گرچه به صورت کامل کشف نشده است و هنوز یکسری از حقه های جدید را در آستین خود دارد. پس از نصب اجزای DiskCryptor، یک رمزنگاری بر روی حالت کاربری انجام میدهد.
این رمزنگاری با الگوریتم AES که جزو رمزنگاری های پیچیده هست انجام میشود. سپس این الگوریتم با RSA-2048 ادغام میشود. درضمن همچنان مشخص نیست که این کلید نهایی در کدام قسمت ذخیره میشود.
زمانی که Bad Rabbits فایل ها را رمزنگاری میکند، برخلاف دیگر باج افزاران، پسوند جدیدی به فایل ها اضافه نمیکند. گرچه واژه ی Encrypted در پایان نام هر فایلی قرار میگیرد.
در آخر، فایل Infpub.dat این قابلیت را دارد تا از طریق SMB به دیگر سیستم ها منتقل شود. این رویه از طریق دسترسی به اشتراک گذاری های شبکه در بستر SMB انتقال پیدا میکند تا اطلاعات و دسترسی های ادمین را به سرقت ببرد. سپس پس از سرقت چندین دسترسی کامپیوتر در شبکه، باج افزار سعی بر اتصال ریموت در شبکه خواهد داشت و این دسترسی های ادمین را بر روی هر یک امتحان میکند. اگر دسترسی صحیح بود، یک نسخه از خود را بر روی سیستم کپی میکند و رمزنگاری سیستم را آغاز میکند.
سرانجام، باج افزار Bad Rabbit دو اقدام برنامه ریزی شده دیگر را میسازد که منجر به ریبوت سیستم میشود. این اقدامات نیز بر اساس نام های دو اژدها در بازی تاج و تخت نیز نامگذاری شده اند.
همانطور که در بالا مشاهده کردید. کارکرد های بسیاری زیادی در رابطه با این باج افزار جدید و ویرانگر وجود و برخی از این کارکرد ها و ویژگی ها همچنان مخفی هستند و انتظار میرود در آینده ای نزدیک توسط کارشناسان امنیتی کشف و شناخته شوند.
در آخر و اما مهمترین، شما میبایست نکات و جزییات امنیتی را رعایت کنید:
1. بکاپ، بکاپ، بکاپ!!!
2. فایل های ضمیمه شده ی ناشناس را باز نکنید
3. فایل های ضمیمه شده را با راهکار امنیتی خود اسکن کنید.
4. از نصب و دریافت تمامی به روز رسانی های ویندوز خود در تاریخ عرضه ی آنان مطمئن باشید! همچنین از به روز رسانی نرم افزار های ضروری چون Java , Flash و Adobe Reader اطمینان حاصل فرمایید. نرم افزار های قدیمی دارای نقص و رخنه های امنیتی بسیاری هستند که توسط هکران و مهاجمان قابل بهره جویی هستند، در این صورت به روز رسانی آنان نیز حائز اهمیت است.
5. از نصب یک راهکار امنیتی قوی و قابل اطمینان غافل نشوید.
6. از گذر واژه های دشوار برای حساب های خود استفاده کنید و از یک رمز عبور برای همه ی آنان استفاده نکنید.
نظر شما :