کشف ۳ حفره امنیتی در محصولات سیسکو
1398/10/18
هشدار درمورد اینترنت اکسپلورر Zero-Day بدون پچ
1398/11/02
به عنوان هشدار باید به مدیران شبکه اطلاع رسانی گردد خصوصا آن دسته از مدیرانی که تا کنون به حفظ امنیت و راه اندازی یک سیستم امنیتی کارآمد اهمیت چندانی نداده اند. یک باج افزار جدید به نام Snakeکه هدف اصلی آن شبکه های تجاری است و بعد از نفوذ به شبکه اقدام به رمز گذاری روی تمامی اطلاعات دستگاه های موجود در شبکه می نماید، توسط متخصصین امنیتی کشف شد.
این باج افزار پس از ورود به سیستم هدف تلاش می کند تا دسترسی Admin را در اختیار بگیرد و با استفاده از این دسترسی توسط ابزار رمزگذاری خود اقدام به آلوده کردن تمامی فایل های موجود روی سیستم های کامپیوتری در تمامی سطح شبکه می نماید.
لیست برخی از باج افزار ها که با هدف آلوده سازی شبکه های تجاری تولید شده و در حال تکامل هستند را می نتوانید در ادامه مشاهده نمایید:
Ryuk, BitPaymer, DoppelPaymer, Sodinokibi, Maze, MegaCortex, LockerGoga، و آخرین نمونه آن ها باج افزار خطرناک Snake.
آنچه که ما در مورد باج افزار Snake می دانیم
این باج افزار هفته گذشته توسط تیم امنیتی MalwareHunter کشف شد و بلافاصله اطلاعات به دست آمده جهت تحقیقات بیشتر در اختیار Vitali Kremez قرار گرفت تا به شیوه مهندسی معکوس اطلاعات بیشتری از آن به دست آورند.
بر اساس تحقیقات اولیه و تجزیه و تحلیل صورت گرفته توسط Kremez، مشخص شد این بد افزار به زبان Golang نوشته شده و دارای توابع سطح بالا و مواردی که عموما در باج افزار هایی از این نوع مشاهده می گردند.
مدیر این تیم امنیتی اضافه کرد این باج افزار شامل توابع سطح بالا و عملکرد های پیچیده و مبهمی است که سابقا در نمونه های این چنینی مشاهده نگردیده است.
با شروع فعالیت Snake ، در مرحله اول Shadow Copy ها حذف می شوند، سپس بسیاری از فرآیندهای مربوط به سیستم های SCADA ، ماشین های مجازی ، سیستم های کنترل صنعتی ، ابزارهای مدیریت از راه دور ، نرم افزارهای مدیریت شبکه و … از کار می افتد.
در آخرین مرحله به غیر از پوشه ویندوز و فایل های موجود در آن هر آن چه بر روی سیستم موجود باشد را با الگوریتم خاص خود رمزگذاری می کند. می توانید مسیر هایی را که از گزند این باج افزار در امان هستند را به اختصار در ادامه ملاحظه نمائید:
windir
SystemDrive
c:\$Recycle.Bin
c:\ProgramData
c:\Users\All Users
c:\Program Files
c:\Local Settings
c:\Boot
c:\System Volume Information
c:\Recovery
\AppData\
پس از این که عملیات رمز گذاری پایان یافت، می توانید ملاحظه کنید که به انتهای پسوند فایل ها یک رشته ۵ کاراکتری اضافه شده است، به عنوان مثال اگر نام یک فایل قبل از آلوده شدن pars.doc باشد پس از آلوده شدن به صورت pars. docqkWbv تغییر خواهد کرد.
اگر هر یک از این فایل ها را باز کنید با امضاء منحصر به فرد این باج افزار یعنی “EKANS” در آخرین سطر مواجه می شوید. EKANS بر عکس کلمهSnake است و این به آن معناست که سیستم شما توسط باج افزار Snake آلوده شده است. این موضوع را در عکس زیر به وضوح مشاهده می کنید.
با توجه به اینکه این باج افزار به صورت هوشمند و برای اهداف خاص طراحی شده، می توان گفت پس از ورود به سیستم قربانی حداقل چند ساعت بدون کوچکترین عملی تنها موقعیت سنجی می کند و اطلاعات را برای خود دسته بندی می کند و اگر سیستم شما مجهز به نرم افزارهای امنیتی به روز باشد می توانید امیدوار باشید که قبل از آلوده شدن سیستم این باج افزار از بین برود.
پس از پایان رمز گذاری بر روی Desktop یک فایل متنی به نام Fix-Your-Files.txt ایجاد می شود که شامل دستورالعمل برای ارتباط از طریق ایمیل جهت پرداخت وجه و باز پس گیری اطلاعات است. این آدرس ایمیل در حال حاضر [email protected] است.
همانطور که در این یاد داشت ملاحظه می نمائید این باج افزار کل شبکه را هدف قرار می دهد بر عکس سایر باج افزار ها که هدفشان تنها یک سیستم خاص بود. در این متن به وضوح مشخص است که با توجه به تغییرالگوریتم، کلید خریداری شده فقط برای از بین بردن آلودگی فعلی کاربرد دارد و در صورتی که شبکه مجددا آلوده شود کلید فعلی کاربردی نخواهد داشت .
این باج افزار در حال حاضر در حال تجزیه و تحلیل و بررسی است و به خاطر ماهیت پیچیده آن معلوم نیست کلید های رمزگشای آن به صورت رایگان عرضه گردد.
IOCs:
Hash:
e5262db186c97bbe533f0a674b08ecdafa3798ea7bc17c705df526419c168b60
Ransom note text:
——————————————–
| What happened to your files?
——————————————–
We breached your corporate network and encrypted the data on your computers. The encrypted data includes documents, databases, photos and more –
all were encrypted using a military grade encryption algorithms (AES-256 and RSA-2048). You cannot access those files right now. But dont worry!
You can still get those files back and be up and running again in no time.
———————————————
| How to contact us to get your files back?
———————————————
The only way to restore your files is by purchasing a decryption tool loaded with a private key we created specifically for your network.
Once run on an effected computer, the tool will decrypt all encrypted files – and you can resume day-to-day operations, preferably with
better cyber security in mind. If you are interested in purchasing the decryption tool contact us at [email protected]
——————————————————-
| How can you be certain we have the decryption tool?
——————————————————-
In your mail to us attach up to 3 files (up to 3MB, no databases or spreadsheets).
We will send them back to you decrypted.
