Blog News
« حمله باج افزار Cactus به شبکهها از طریق آسیبپذیري هاي VPN»
« حمله باج افزار Cactus به شبکهها از طریق آسیبپذیري هاي VPN»
محققان امنیتی اخیراً یک باج افزار جدید به نام Cactus را کشف کرده اند که گفته میشود از آسیب پذیریهای شناخته شده در تجهیزات VPN به منظور اخذ دسترسی اولیه به شبکههای هدف استفاده می کند. این باج افزار پس از نفوذ به شبکه، تلاش می کند تا تعداد حساب های کاربری شبکه و Local را محاسبه نموده و در کنار این، به دنبال هاست هایی که در دسترس آن هستند میباشد و در ادامه اقدام به ساخت حساب های کاربری جدید و بهره برداری از اسکریپتهای سفارشی شده مینماید تا از این طریق، فرآیند توسعه و توزیع و تکثیر رمزنگار باج افزار را از طریق وظایف برنامه ریزی شده، خودکارسازی نماید.
گفته شده Cactus شرکتهای تجاری بزرگی را هدف قرار داده و حملات Double Extortion را علیه کارمندان این شرکتها ترتیب داده است تا بدین وسیله، اطلاعات حساس را قبل از رمزنگاری آن ها، به سرقت ببرد. گفته شده تاکنون سایت مشخصی برای افشاء اطلاعات سرقت شده، مشاهده نشده است. با بهره گیری از تجهیزات آسیبپذیر VPN، یک SSH Backdoor راه اندازی میشود تا امکان ماندگاری و پایداری باج افزار بر روی سیستم فراهم شده و مجموعهای از دستورات پاورشل نیز به منظور اسکن شبکه و شناسایی فهرست دستگاه هایی که باید رمزنگاری شوند، مورد استفاده قرار میگیرند. شایان ذکر است این باج افزار از Cobalt Strike و یک ابزار tunneling برای فرماندهی و کنترل استفاده میکند و در کنار آن، از یک ابزار برای مدیریت و پایش از راه دور و نیز توزیع فایلهای آلوده بر روی دستگاه هدف، استفاده میکند.
همچنین باج افزار یاد شده اقداماتی به منظور حذف ابزارهای امنیتی و نیز استخراج اطلاعات حساب های کاربری از مرورگرهای وب و LSASS برای ارتقاء سطح دسترسی استفاده میکند. ارتقاء سطح دسترسی یا Privilege Escalation از طریق Lateral Movement، انتقال داده ها و نیز توسعه باج افزار به دست می آید که البته توسعه باج افزار، با استفاده از اسکریپتهای پاورشل امکان پذیر میشود. بعد جدید Cactus، استفاده از Batch Script برای استخراج باینری با استفاده از نرمافزار 7-Zip میباشد که البته قبل از اجرای Payload مربوطه، پسوند فایل 7z را حذف مینماید. این باج افزار خود را رمزنگاری مینماید که این موضوع، کار شناسایی آن را دشوار می سازد و به جلوگیری از کشف شدن توسط آنتیویروس ها و نرم افزارهای پایش شبکه کمک میکند. به نظر میرسد این اتفاق به واسطه قرار داشتن وبسایتها و سرورها در دسترس عموم رخ داده است؛ این موضوع، حاکی از اهمیت انجام اقدامات لازم از سوی شرکتها و سازمان ها از جمله بهروز نگه داشتن سیستمها و اعمال PoLP می باشد