باجافزار ، آسیب پذیری ویندوز/آلودگی سیستمهای مختلف
باجافزار ، آسیب پذیری ویندوز/آلودگی سیستمهای مختلف
به نقل از معاونت بررسی مرکز افتا، باجافزار Sodinokibi با بهرهبرداری از یک آسیبپذیری در مؤلفه Win۳۲k در نسخههای مختلف ویندوز، در حال افزایش سطح دسترسی خود است. این باجافزار اولین بار در ماه آوریل، زمانی که سوءاستفاده از یک آسیبپذیری بحرانی در Oracle WebLogic را آغاز کرد، شناسایی شد.
باجافزار Sodinokibi با نام REvil هم شناخته میشود و از آسیبپذیری CVE-۲۰۱۸-۸۴۵۳ بهرهبرداری میکند. این آسیبپذیری توسط مایکروسافت در ماه اکتبر سال ۲۰۱۸ رفع شد.
نحوه فعالیت باجافزار
بر اساس تحلیل انجام شده توسط پژوهشگران، در کد بدافزار یک بخش پیکربندی به صورت رمز شده وجود دارد که حاوی اطلاعات و تنظیمات مورد نیاز برای فعالیت بدافزار است. به طور جزئیتر، کد پیکربندی حاوی فیلدهایی برای کلید عمومی، شناسههای حمله و توزیعکننده باجافزار، پسوندهایی که نباید رمزگذاری شوند، نام فرایندهای پردازشی که باید متوقف شوند، آدرس سرورهای فرمان و کنترل، قالب متن باجخواهی و گزینههای دیگری است که استفاده از یک اکسپلویت را برای افزایش سطح دسترسی٬ فعال میکند.
نمونه بدافزار تحلیل شده توسط پژوهشگران کسپرسکی، از یک فرایند ترکیبی برای رمزگذاری دادهها استفاده میکند. پژوهشگران متوجه شدند که باجافزار کلید عمومی و کلید خصوصی را در رجیستری ذخیره میکند. پس از رمزگذاری فایلها، باجافزار به ازای هر سیستم قربانی یک پسوند تصادفی قرار میدهد. قربانی باید کلید و پسوند فایلهای رمز شده را در سایت مهاجم وارد کند تا میزان مبلغ باج را مشاهده کند. این باجافزار سیستمهای مختلفی را در سراسر جهان آلوده کرده است.
بر اساس تحلیل انجام شده توسط پژوهشگران، در کد بدافزار یک بخش پیکربندی به صورت رمز شده وجود دارد که حاوی اطلاعات و تنظیمات مورد نیاز برای فعالیت بدافزار است. به طور جزئیتر، کد پیکربندی حاوی فیلدهایی برای کلید عمومی، شناسههای حمله و توزیعکننده باجافزار، پسوندهایی که نباید رمزگذاری شوند، نام فرایندهای پردازشی که باید متوقف شوند، آدرس سرورهای فرمان و کنترل، قالب متن باجخواهی و گزینههای دیگری است که استفاده از یک اکسپلویت را برای افزایش سطح دسترسی٬ فعال میکند.
منبع: خبرگزاری مهر