تجزیه و تحلیل روند Locky


locky1

در ماه های اخیر ، تعداد کاربران و شبکه هایی که به بدافزار Locky آلوده شده اند افزایش قابل توجهی داشته است. این بدافزار به رمزنگاری فایل های کاربران پرداخته و درخواست پرداخت وجه در قالب bitcoins می نماید. اما این تهدید چگونه به سیستم های کامپیوتری وارد شده و به سرقت داده ها می پردازد؟ مطابق اطلاعات ارائه شده از  آزمایشگاه تحقیقاتی ESET در آمریکای شمالی، می توانیم مراحل و روش های به کار گرفته شده توسط مجرمان سایبری را در این مقاله مطرح کنیم.

نمودار زیر پروسه ی آلوده سازی Locky را نشان می دهد.در حقیقت کاربر، ایمیلی با عناوین مختلف و به زبان های مختلف دریافت می کند که یک فایل Microsoft Office ضمیمه ی خود دارد، این فایل ضمیمه با پسوند های DOC, .DOCM  یا  .XLS می باشد. این فایل یا سند ، یک فایل BAT ایجاد می کند ، که به نوبه ی خود یک فایل دیگر در VBScript code ایجاد می کند.در این میان، این فایل ها بعدا نسبت به دانلود تهدید اصلی ، که توسط محققان ESET با نام Win32/Filecoder.Locky شناخته شده، اقدام می کنند.

locky2

در زیر قدم به قدم هرکدام از اجزاء تصویر بالا و نحوه ی عمل هرکدام برای رسیدن به هدف نهایی خود،  توضیح داده خواهد شد و در نهایت به اقدامات پیشگیرانه ای که در این خصوص می تواند کاربران را از ابتلا به این تهدیدات مصون دارد، پرداخته خواهد شد.

1.   Document with malicious macros

اسناد جعلی در بردارنده ی ماکرو های (macros) مخرب ، با کلیک کردن بر روی گزینه ی " فعال سازی محتوا" (“Enable content”) به اجرا در می آید. همانطور که در تصویر زیر مشاهده می کنید، با فعال شدن ماکروها ، کدهای مخرب به صورت خودکار شروع به آلوده سازی دستگاه کاربر می کنند.

locky3

ما می توانیم تجزیه و تحلیل عمیق تری از نحوه ی عمل ماکروها در اولین بخش آلوده سازی آنها داشته باشیم. در این میان می توان به سه خط اختصاصی از کدهایی که فایل BAT. را ایجاد می کنند و  تحت عنوان  “Ugfdxafff.bat” شناخته شده اند، اشاره کرد.همان طور که می توانید در تصویر زیر مشاهده کنید، وظیفه ی  “Write”  در این فایل  نوشتن 64 کد پایه ای رمزنگاری شده می باشد و در نهایت وظیفه ی  “Shell” اجرایی ساختن فایل BAT می باشد.

locky4

2.  BAT and VBS scripts

هدف فایل  “ugfdxafff.bat” ایجاد فایل VBScript می باشد، به نحوی که در کنار آن کار خواهد کرد و دربردارنده ی URL است که به دانلود payload مبادرت می کند که در این مورد با عنوان  “asddddd.exe” شناخته شده است.

در نهایت فایل BAT. فایل BAT. را با دستور “start asddddd.exe” اجرا کرده و VBS حذف می شود، علت این حذف نیز از بین بردن تمامی شواهدی است که لازم است از سیستم حذف شود.  در تصویر زیر ترتیب این عملیات به نمایش درآمده است:

3.  Proactive detection

یکی از مهم ترین نکاتی که می بایست در مواجه با نحوه ی عمل  Locky به خاطر داشت، درک این مطلب است که این مجموعه از مراحل میانی، که در آن راه حل امنیتی فعال با میزان آگاهی و دانش کاربران ادغام شده است، می تواند این حمله را قبل از اینکه دستگاه آلوده شده، صندوق دریافتی کاربر مورد هجوم قرار بگیرد و یا ماکرو ها فعال شوند، بلاک کرده و از بین ببرد.

باز کردن هرزنامه ها توسط کاربران یا کارمندان شرکت یکی از روش هایی است که طی آن این حملات صورت میگیرد و می تواند منجر به از دست رفتن بخش عظیمی از اطلاعات شرکت ها و یا خود کاربران شود.

نتیجه گیری

نکته ی حائز اهمیت در نظر داشتن خطرات ذاتی استفاده از ماکرو ها در فایل های   Microsoft Office میباشد ، که می تواند اطلاعات و فایل های شخصی و کاری را  درگیر کند، نه کل شبکه ی سازمان را.

به همین خاطر آموزش و آگاهی کاربران نسبت به روند جرایم کامپیوتری و تاثیرات تهدیداتی همچون باج افزارها بسیار مهم و ضروری می باشد. بنابراین لازم است که بهترین شیوه های امنیتی نهادینه شود. البته نکته ی اصلی، استفاده از پیکربندی صحیح و آنتی ویروس به روز رسانی شده به منظور جلوگیری از آسیب های کدهای مخرب می باشد.

تجزیه و تحلیل داده ها

Win32/Filecoder.Locky.A

Md5: dba9a404a71358896100f9a294f7c9a3

VBA/TrojanDownloader.Agent.AUD

Md5: c7d3afbe92d91cd309cce2d61d18f268

BAT/TrojanDownloader.Agent.NHW

Md5: 30f0378659496d15243bc1eb9ba519ef

VBS/TrojanDownloader.Agent.NZN

Md5: 048820a62c0cef4ec6915f47d4302005

منبع: www.welivesecurity.com

افزودن دیدگاه جدید

نظر خودتان را ارسال کنید

کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفا وارد سایت شوید.

طراحی سایت طراحی سایت طراحی سایت طراحی سایت

کلیه حقوق این سایت محفوظ و متعلق به شرکت مهندسی تحقیق و توسعه ارتباط پانا می باشد.

گفتگوی آنلاین