باج‌افزار خرگوشِ بد (Bad Rabbit)

کرم باج افزار جدید و شایعی به نام ” Bad Rabbit” که به بیش از 200 سازمان بزرگ آسیب زده است، این هفته ابتدا در روسیه و اکراین از یک اکسپلویت NSA دزدیده شده سوء استفاده کرد که توسط شادو بروکرز در ماه آوریل برای انتشار در شبکه های قربانی منتشر شد.

ابتدا گزارش دادند که شیوع باج افزار رمزی در این هفته از هیچ اکسپلویت ارائه شده توسط آژانس امنیت ملی استفاده نکرده است، نه  EternalRomance و نه EternalBlue، بلکه گزارش اخیری از اطلاعات امنیتی سیسکو تالوس نشان داد که  باج افزار Bad Rabbit از اکسپلویت EternalRomance استفاده کرده است.

باج‌افزار NotPetya (که به نام ExPetr و Nyetya نیز معروف است) که در ماه ژوئن صدها سیستم را آلوده کرد از  اکسپلویت EternalRomance استفاده کرد، همراه EternalBlue اکسپلویت هک ویندوز منتشر شده NSA که  در شیوع باج افزار WannaCry استفاده شد.

Bad Rabbit از اکسپلویت EternalRomance SMB RCE استفاده می کند

Bad Rabbit از EternalBlue استفاده نمی کند بلکه از اکسپلویت EternalRomance RCE برای انتشار در شبکه های قربانی استفاده می کند.

Microsoft و F-Secure نیز وجود اکسپلویت را در باج افزار Bad Rabbit تایید کرده اند.

EternalRomance یکی از چند ابزار هک کردن متعلق به تیم هک خواص NSA  است، به نام گروه معادله (Equation Group ) که در آوریل امسال توسط گروه حک ناشناخته ای که خود را سایه شکن (Shadow Brokers) می نامیدند منتشر شد.

EternalRomance یک اکسپلویت اجرای کد راه دور است که از نقصی (0145 CVE-2017-) در بلوک پیام سرور ویندوز مایکروسافت (SMB) ، پروتکلی برای انتقال داده ها بین کامپیوترهای مرتبط ویندوز، استفاده می کند تا امنیت را از پنچ اتصال اشتراک فایل دور بزند، بنابرین اجرای کد راه دور در سرورها و کلاینت های ویندوز ممکن می شود.

درکنار EternalChampion ، EternalBlue، EternalSynergy و دیگر اکسپلویت های NSA منتشر شده توسط

توسط گروه

Shadow Brokers ، آسیب پذیری EternalRomance همچنین توسط مایکروسافت در ماه مارچ امسال با انتشار یک بیانیه امنیتی

(MS17-010) همراه شد.

Bad Rabbit از طریق حملات دانلود drive-by از طریق سایت های رسانه روسی منتشر شد، با استفاده از نصب تقلبی اجرای Adobe Flash برای نصب ناخواسته نرم افزارهای مخرب و سپس درخواس  0.05 bitcoin (~ $285)  از قربانیان برای باز کردن قفل سیستم هایشان.

باج‌افزار Bad Rabbit چگونه در یک شبکه منتشر می شود

آنطور که محققان می گویند، Bad Rabbit ابتدا شبکه داخلی را برای باز کردن سهام SMB اسکن می کند، فهرستی هاردکد از گواهی نامه هایی که معمولا برای تخریب نرم افزارهای مخرب استفاده می شوند را امتحان می کند و همچنین از ابزار پس از بهره برداری Mimikatz برای استخراج گواهی نامه ها از سیستم های تحت تاثیر استفاده می کند.

Bad Rabbit همچنین می تواند رابط کاربری اسکریپت خط فرمان ابزار مدیریت ویندوز(WMIC) را در تلاش برای اجرای کد در سیستم های دیگر ویندوز در شبکه از راه دور، به نام EndGame  به کار اندازد.

به هرحال، طبق سیسکو تالوس، Bad Rabbit نیز کدی را می گیرد که از EternalRomance استفاده می کند که به هکرهای دور اجازه می دهد تا از کامپیوتر آلوده به اهداف دیگر به خوبی انتشار یابند.

محققان تالوس می گویند:”با اطمینان می توانیم بگوییم که  BadRabbit شامل اجرای EternalRomance مورد استفاده برای نوشتن یک محتوای امنیتی kernel’s session  است تا بتواند سرویس های دور را راه اندازی کند، درحالیکه در Nyetya برای نصب وسیله نهایی  DoublePulsar استفاده شد”.

هردو عمل به خاطر این حقیقت امکان پذیر هستند که EternalRomance به هکرها اجازه می دهد داده های قراردادی را در فضای حافظه هسته بنویسند یا بخوانند.

آیا گروه هک مشابهی پشت BadRabbit و NotPetya است؟

چون هم NotPetya و هم Bad Rabbit از کد DiskCryptor تجاری برای رمزگذاری هارد درایو قربانی و کد “wiper” استفاده می کنند که می تواند هارد درایوهای متصل به سیستم های آلوده را پاک کند، محققان معتقدند که به احتمال زیاد حمله کننده های پشت هردو شیوع باج افزار یکسان هستند.

گروه IB شرکت امنیت روسیه اشاره می کند که :”به احتمال زیاد گروه یکسانی ازهکرها حمله باج افزار BadRabbit را در 25 اکتبر سال 2017 هدایت کردند و همچنین انتشار ویروس NotPetya که به سازمان های انرژی، مخابرت و امور مالی  اکراین در ژوئن 2017 حمله کردند”.

“تحقیقات نشان میدهد که کد BadRabbit از منابع NotPetya گردآوری شد. BadRabbit عملکرد یکسانی برای محاسبه هش ها، منطق توزیع شبکه و فرایند حذف لگاریتم ها و غیره دارد.

NotPetya از ابتدا به گروه هک روسی به نام BlackEnergy و تیم Sandworm مرتبط شد، اما چون Bad Rabbit ابتدا روسیه را هدف قرار داده، ظاهرا کسی با فرضیات بالا متقاعد نمی شود.

چگونه از خود در برابر  حملات باج افزار حفاظت کنیم؟

به کاربران توصیه می شود برای حفظ خود در برابر Bad Rabbit، سرویس WMI را برای جلوگیری از انتشار بدافزار در شبکه غیرفعال کنند. همچنین مطمئن شوند که سیستم هایشان به تدریج به روز رسانی شوند و از امنیت آنتی ویروس خوبی روی سیستم خود بهره بگیرند.

چون بیشتر باج افزارها از طریق ایمیل های فیشینگ ، آگهی های مخرب در وب سایت ها ، و برنامه های طرف سوم منتشر می شوند، باید همیشه قبل از افتادن به دام اینها احتیاط کنند.

از همه مهمتر، برای اینکه همیشه اطلاعات با ارزش خود را به خوبی حفظ کنید، به طور مرتب بک آپ تهیه کنید و از  فایل های خود در وسیله ذخیره خارجی که همیشه به رایانه شما متصل نباشد کپی تهیه کنید.

 

 

مطالب مرتبط

نظرات شما

قالب ووکامرس