یک گروه باج افزاری جدید، معروف به LockFile پس از هک سرورهای Microsoft Exchange ، با استفاده از آسیب پذیری های ProxyShell که اخیراً افشا شده دامنه های ویندوز را رمزگذاری می کند. ProxyShell حمله ای است شامل سه آسیب پذیری زنجیره ای Microsoft Exchange که منجر به عدم اجرای کد از راه دور می شود. این سه آسیب پذیری توسط محقق امنیتی Devcore Orange Tsai کشف شد، که آنها را به هم متصل کرد تا سرور Microsoft Exchange را در مسابقه هک آوریل Pwn2Own 2021 تصاحب کند.
آسیب پذیری CVE-2021-34473 : این آسیب پذیری منجر به ACL Bypass می شود (پچ شده در آوریل توسط KB5001779)
آسیب پذیری CVE-2021-34523 :ارتقاء امتیاز در Exchange PowerShell Backend (پچ شده در آوریل توسط KB5001779)
آسیب پذیری CVE-2021-31207 : اجرای کد توسط RCE (پچ شده در ماه می توسط KB5003435)
در حالی که مایکروسافت این آسیب پذیری ها را در ماه می 2021 به طور کامل وصله کرد ، اخیراً جزئیات فنی بیشتری فاش شده است، که به مهاجمان اجازه می دهد از آن مجددا سوء استفاده کنند.
همانطور که هفته گذشته اعلام شد، این آسیب پذیری باعث شده است که مهاجمان با استفاده از آسیب پذیری های ProxyShell فعالانه سرورهای Microsoft Exchange را اسکن و هک کنند.
پس از سوء استفاده از سرور Exchange، مهاجمان صفحات وب را که می تواند برای بارگذاری برنامه های دیگر و اجرای آنها استفاده شود، رها می کند.
در آن زمان ، محققان آسیب پذیری گروه NCC Rich Warren اعلام کردند از صفحات وب برای نصب یک درب پشتی .net استفاده می شود که یک فایل بی ضرر را بارگیری می کند.
از آن زمان به بعد، باج افزار جدید معروف به LockFile از Microsoft Exchange ProxyShell و آسیب پذیری های Windows PetitPotam برای تسخیر دامنه های Windows و رمزگذاری سیستم ها استفاده می کند.
هنگام نقض شبکه ، مهاجمان ابتدا با استفاده از آسیب پذیری های ProxyShell به سرور اصلی Microsoft Exchange دسترسی پیدا می کنند.
هنگامی که آنها جایگاه خود را پیدا میکنند، LockFile از آسیب پذیری PetitPotam برای کنترل دامنه و در نتیجه دامنه ویندوز استفاده می کند.
آنچه در مورد باج افزار LockFile می دانیم
در حال حاضر، اطلاعات زیادی در مورد عملکرد باج افزار LockFile وجود ندارد. هنگامی که برای اولین بار در ماه جولای مشاهده شد ، به این اسم “LOCKFILE-README.hta “نامگذاری شد، اما مارک خاصی نداشت، همانطور که در زیر نشان داده شده است.
این باج افزار قالب نامگذاری آن به این صورت است: ‘[قربانی_نام] -LOCKFILE-README.hta’ و قربانی را ترغیب می کند تا از طریق Tox یا ایمیل مورد حمله قرار گیرد. آدرس ایمیل فعلی مورد استفاده contact@contipauper.com است، که به عنوان مرجعی برای عملیات باج افزار Conti ظاهر می شود.
در حالی که برنامه های باج افزار مشابه است اما روش های ارتباطی و ساختار جملات آن مشخص نیست که عملیات مشابهی هستند.
نکته جالب توجه این است که طرح رنگ بندی و طرح یادداشت های باج بسیار شبیه به باج افزار LockBit است ، اما ظاهراً هیچ ارتباطی وجود ندارد.
هنگام رمزگذاری پرونده ها، باج افزار به نام فایل رمزگذاری شده پسوند .Lockfile را اضافه می کند.
این باج افزار، بسیاری از منابع سیستم را به خود اختصاص داده و باعث فریز موقت کامپیوتر می شود.
از آنجا که عملیات LockFile از هر دو آسیب پذیری Microsoft Exchange ProxyShell و آسیب پذیری Windows PetitPotam NTLM Relay استفاده می کند، ضروری است که مدیران شبکه آخرین به روز رسانی ها را نصب کنند.
برای آسیب پذیری های ProxyShell ، می توانید آخرین به روزرسانی های تجمعی Microsoft Exchange را برای وصله این آسیب پذیری ها نصب کنید.
حمله Windows PetitPotam کمی پیچیده می شود زیرا به روز رسانی امنیتی مایکروسافت ناقص است و تمام آسیب پذیری ها را وصله نمی کند.
می توانید پرس و جوهای Azure Sentinel زیر را برای بررسی اینکه آیا سرور Microsoft Exchange شما از نظر آسیب پذیری ProxyShell اسکن شده است یا خیر، انجام دهید.
به همه سازمانها اکیداً توصیه می شود که وصله ها را در اسرع وقت اعمال کرده و پشتیبان گیری آفلاین از سرورهای Exchange خود ایجاد کنند.
ضمنا از نصب بروزرسانی کامل نرم افزار امنیتی معتبر خود برای سرور های Exchange و کل شبکه اطمینان حاصل کنید. همچنین استفاده از نرم افزار های کمکی آنتی باج افزار در کنار نرم افزار امنیتی معتبر می تواند بسیار کمک کننده باشد.
• پیشنهاد پانا انتخاب یکی از نرم افزار های امنیتی پرقدرت زیر با لایسنس معتبر می باشد:
• ESET
• KASPERSKY
• در کنار: Padvish Anti Ransomeware
پانا: بزرگترین توزیع کننده رسمی ESET در ایران از سال 2005
نماینده رسمی Kaspersky از سال 2008
نماینده “پلاتینیوم پلاس” پادویش
با ما تماس بگیرید:
021-88873951
031-36691964
www.panaco.ir
آرامش در پناه امنیت
منبع :
https://www.bleepingcomputer.com//
