گسترش خرگوش بد از راه آسیب‌پذیری SMB‎

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره غیر فعال
 

q215

 


باج‌افزار خرگوش بد برای گسترش از بهره‌برداری آژانس امنیت ملی آمریکا استفاده می‌کند و از راه آسیب‌پذیری SMB توزیع می‌شود.

برخلاف گزارش‌های اولیه، باج‌افزار خرگوش بد (bad rabit) که هفته گذشته به روسیه و اوکراین ضربه زد در حقیقت وسیله‌ نفوذ و بهره‌برداری آژانس امنیت ملی (NSA) آمریکا است. همچون بدافزار پاک‌کننده‌ نات‌پتیا که ده‌ها هزار سامانه را در اواخر ماه ژوئن آلوده‌کرد، باج‌افزار خرگوش بد نیز برای گسترش خود درون شبکه‌ آسیب‌دیده از پروتکل بلوک پیام کارگزار (SMB) استفاده‌می‌کند. با این حال، محققان در ابتدا ادعا کردند که برخلاف نات‌پتیا، این باج‌افزار هیچ‌یک از بهره‌برداری‌های SMB را استفاده نکرده‌است که با عنوان EternalBlue و EternalRomance ارزیابی شده‌اند.

درحالی‌که ظاهرا باج‌افزار خرگوش بد از EternalBlue استفاده‌نمی‌کند در واقع EternalRomance را برای گسترش خود در شبکه به‌کار می‌گیرد. وقوع این بهره‌برداری نخستین‌بار توسط سیسکو تالوس گزارش و سپس توسط F-Secure تایید شد. آسیب‌پذیری EternalRomance در ماه مارس سال ۲۰۱۷ میلادی توسط مایکروسافت و با انتشار یک بولتن امنیتی مطرح شد. مایکروسافت در این بولتن امنیتی، بهره‌برداری‌های EternalChampion ،EternalBlue و EternalSynergy را نیز وصله کرده‌بود.

جزییات این آسیب‌پذیری‌ها در اوایل سال جاری توسط یک گروه از نفوذگران که خود را Shadow Brokers می‌نامند، عمومی شد. این گروه ادعا می‌کند که این بهره‌برداری و بسیاری از بهره‌برداری‌های دیگر را از آژانس امنیت ملی به‌دست آورده و این بهره‌برداری‌ها توسط یکی از گروه‌های شناخته‌شده برای آژانس در صنعت امنیت سایبری با عنوان گروه Equation، مورد استفاده قرار گرفته‌اند. هنگامی‌که این بهره‌برداری‌ها توسط گروه Shadow Broker در ماه آوریل عمومی شدند، مایکروسافت اشاره کرد که آنها پیش از این وصله شده‌اند. به‌همین دلیل، برخی بر این باورند که این غول فناوری در مورد آسیب‌پذیری‌ها از خود آژانس امنیت ملی آگاه‌تر است.

تجزیه‌وتحلیل اولیه، ارتباط‌های بسیاری را میان باج‌افزار خرگوش بد و بدافزار نات‌پتیا ازجمله هدف قرار دادن روسیه و اوکراین، باینری‌های امضاشده با گواهی‌نامه‌های منقضی شده، استفاده از Mimikatz برای به سرقت بردن گواهی‌نامه، راه‌اندازی مجدد و پایداری از طریق وظایف زمان‌بندی شده، حذف ثبت رویداد و مجله‌های تغییر USN و شیوه‌ی یکسان رمزنگاری پرونده‌ها و قابلیت‌های باج‌افزاری نشان داد. یکی از مهم‌ترین تفاوت‌ها، این واقعیت است که به‌نظر می‌رسد خرگوش بد، یک باج‌افزار واقعی است و حداقل در تئوری، کاربران می‌توانند درصورت پرداخت باج، پرونده‌های رمزنگاری‌شده‌ خود را بازیابی کنند. از سوی دیگر، نات‌پتیا به‌دلیل این حقیقت که قابلیت‌های پرداخت باج به‌درستی اجرا نشده و بنابراین بازیابی پرونده‌ها غیرممکن است به‌عنوان یک پاک‌کننده طبقه‌بندی می‌شود.

یکی دیگر از تفاوت‌های عمده، این واقعیت است که باج‌افزار خرگوش بد عمدتا شرکت‌ها را به‌ویژه در روسیه، تحت‌تاثیر قرار می‌دهد. با این حال، لازم به ذکر است که بسیاری از قربانیان در اوکراین، شرکت‌های با پروفایل رده‌بالا هستند. بدافزار نات‌پتیا با عامل تهدیدکننده‌ روسیه که با نام گروه BlackEnergy ،TeleBots و Sandworm شناخته شده‌است، مرتبط است که نشان می‌دهد این همان گروهی است که ممکن است پشت حملات باج‌افزار خرگوش بد نیز باشد، اگرچه همه بر این عقیده نیستند. تجزیه‌وتحلیل زیرساخت‌های باج‌افزار خرگوش بد نشان داد که برخی از دامنه‌های مخرب مورد استفاده در این حمله، حداقل از ماه ژوییه تنظیم شده و برخی از کارگزارهای تزریقی برای نخستین‌بار بیش از یک‌سال پیش دیده‌شده‌اند.