در ماه های اخیر ، تعداد کاربران و شبکه هایی که به بدافزار Locky آلوده شده اند افزایش قابل توجهی داشته است. این بدافزار به رمزنگاری فایل های کاربران پرداخته و درخواست پرداخت وجه در قالب bitcoins می نماید. اما این تهدید چگونه به سیستم های کامپیوتری وارد شده و به سرقت داده ها می پردازد؟ مطابق اطلاعات ارائه شده از آزمایشگاه تحقیقاتی ESET در آمریکای شمالی، می توانیم مراحل و روش های به کار گرفته شده توسط مجرمان سایبری را در این مقاله مطرح کنیم.
نمودار زیر پروسه ی آلوده سازی Locky را نشان می دهد.در حقیقت کاربر، ایمیلی با عناوین مختلف و به زبان های مختلف دریافت می کند که یک فایل Microsoft Office ضمیمه ی خود دارد، این فایل ضمیمه با پسوند های DOC, .DOCM یا .XLS می باشد. این فایل یا سند ، یک فایل BAT ایجاد می کند ، که به نوبه ی خود یک فایل دیگر در VBScript code ایجاد می کند.در این میان، این فایل ها بعدا نسبت به دانلود تهدید اصلی ، که توسط محققان ESET با نام Win32/Filecoder.Locky شناخته شده، اقدام می کنند.
در زیر قدم به قدم هرکدام از اجزاء تصویر بالا و نحوه ی عمل هرکدام برای رسیدن به هدف نهایی خود، توضیح داده خواهد شد و در نهایت به اقدامات پیشگیرانه ای که در این خصوص می تواند کاربران را از ابتلا به این تهدیدات مصون دارد، پرداخته خواهد شد.
1. Document with malicious macros
اسناد جعلی در بردارنده ی ماکرو های (macros) مخرب ، با کلیک کردن بر روی گزینه ی ” فعال سازی محتوا” (“Enable content”) به اجرا در می آید. همانطور که در تصویر زیر مشاهده می کنید، با فعال شدن ماکروها ، کدهای مخرب به صورت خودکار شروع به آلوده سازی دستگاه کاربر می کنند.
ما می توانیم تجزیه و تحلیل عمیق تری از نحوه ی عمل ماکروها در اولین بخش آلوده سازی آنها داشته باشیم. در این میان می توان به سه خط اختصاصی از کدهایی که فایل BAT. را ایجاد می کنند و تحت عنوان “Ugfdxafff.bat” شناخته شده اند، اشاره کرد.همان طور که می توانید در تصویر زیر مشاهده کنید، وظیفه ی “Write” در این فایل نوشتن 64 کد پایه ای رمزنگاری شده می باشد و در نهایت وظیفه ی “Shell” اجرایی ساختن فایل BAT می باشد.
2. BAT and VBS scripts
هدف فایل “ugfdxafff.bat” ایجاد فایل VBScript می باشد، به نحوی که در کنار آن کار خواهد کرد و دربردارنده ی URL است که به دانلود payload مبادرت می کند که در این مورد با عنوان “asddddd.exe” شناخته شده است.
در نهایت فایل BAT. فایل BAT. را با دستور “start asddddd.exe” اجرا کرده و VBS حذف می شود، علت این حذف نیز از بین بردن تمامی شواهدی است که لازم است از سیستم حذف شود. در تصویر زیر ترتیب این عملیات به نمایش درآمده است:
3. Proactive detection
یکی از مهم ترین نکاتی که می بایست در مواجه با نحوه ی عمل Locky به خاطر داشت، درک این مطلب است که این مجموعه از مراحل میانی، که در آن راه حل امنیتی فعال با میزان آگاهی و دانش کاربران ادغام شده است، می تواند این حمله را قبل از اینکه دستگاه آلوده شده، صندوق دریافتی کاربر مورد هجوم قرار بگیرد و یا ماکرو ها فعال شوند، بلاک کرده و از بین ببرد.
باز کردن هرزنامه ها توسط کاربران یا کارمندان شرکت یکی از روش هایی است که طی آن این حملات صورت میگیرد و می تواند منجر به از دست رفتن بخش عظیمی از اطلاعات شرکت ها و یا خود کاربران شود.
نتیجه گیری
نکته ی حائز اهمیت در نظر داشتن خطرات ذاتی استفاده از ماکرو ها در فایل های Microsoft Office میباشد ، که می تواند اطلاعات و فایل های شخصی و کاری را درگیر کند، نه کل شبکه ی سازمان را.
به همین خاطر آموزش و آگاهی کاربران نسبت به روند جرایم کامپیوتری و تاثیرات تهدیداتی همچون باج افزارها بسیار مهم و ضروری می باشد. بنابراین لازم است که بهترین شیوه های امنیتی نهادینه شود. البته نکته ی اصلی، استفاده از پیکربندی صحیح و آنتی ویروس به روز رسانی شده به منظور جلوگیری از آسیب های کدهای مخرب می باشد.
تجزیه و تحلیل داده ها
Win32/Filecoder.Locky.A
Md5: dba9a404a71358896100f9a294f7c9a3
VBA/TrojanDownloader.Agent.AUD
Md5: c7d3afbe92d91cd309cce2d61d18f268
BAT/TrojanDownloader.Agent.NHW
Md5: 30f0378659496d15243bc1eb9ba519ef
VBS/TrojanDownloader.Agent.NZN
Md5: 048820a62c0cef4ec6915f47d4302005
منبع: www.welivesecurity.com
