وبلاگ و اخبار

باج افزار ها (قسمت اول)

وبلاگ و اخبار

به گونه ای از بد افزار ها که دسترسی قربانی به سیستم را محدود می کند و در ازاء آن از قربانی درخواست باج می کند.

باج افزارها از طریق مختلف می توانند گسترش پیدا کنند که می توان به حملات فیشینگ اشاره کرد که در آن با استفاده از پست الکترونیکی قربانی را فریب داده و آن را به وب سایت حاوی باج افزار انتقال خواهد داد و یا در خود پست الکترونیکی باج افزار به صورت یک فایل word و یا PDF پیوست شده است پس از آن، باج افزار نصب خواهد شد.

پس از نصب باج افزار اجرا شده و شروع به رمزنگاری فایل ها می کند و یا می تواند سیستم قربانی را قفل کند. باج افزار ها به خاطر عملکرد خود به دو دسته تقسیم می شوند :

دسته اول به رمز نگاری فایل ها پرداخته و دسته دوم دسترسی قربانی به سیستم را قطع خواهند کرد. قربانی باید برای دسترسی به سیستم یا فایل های خود اقدام به پراخت باج کند که معمولا پرداخت باج از طریق bitcoin صورت می گیرد. امروزه پرداخت باج به صورت دیجیتالی است که معمولا با استفاده از bitcoin صورت می گیرد ( bitcoin چیست ) اما روش های دیگری نیز وجود دارد که می توان به سرویس های Money Pak , Ukash ,pay safe اشاره کرد. باج افزار ها محدود به جغرافیای خاصی نیست و تمام سیستم عامل ها از قبیل windows , IOS ,android در معرض خطر قرار قرار دارند و می توانند تعداد زیادی از دستگاه ها را تحت تاثیر خود قرار دهند.

می توان به اولین کد مخرب که توسط Joseph Popp در سال ۱۹۸۹ نوشته شده و AIDS نام دارد اشاره کرد این کد مخرب میتوانست به جای AUTOEXEC.BAT  در سیستم قربانی قرار گیرد و با استفاده از ۹۰ بار reboot کردن سیستم، دایرکتوری های سیستم را پنهان کند و یا فایل ها را رمزنگاری کند. با آنالیز هایی که بر روی این نوع از باج افزار انجام شد متوجه شدند که از رمز نگاری symmetric استفاده شده است که می توان با ابزارهایی از قبیل AIDSOUT و یا CLEARAID آن را از بین برد.

آناتومی باج افزار ها

در این قسمت مراحل حمله باج افزار ها را تشریح خواهیم کرد که آناتومی باج افزار ها را تشکیل می دهد. این مراحل عبارتند از:

  • deployment (گسترش دادن)
  •  installation (نصب)
  • command and control (فرمان و کنترل یا به عبارتیC&C)
  •  destruction (تخریب)
  • Extortion ( اخاذی)

۱- deployment

اولین فاز از حمله باج افزار ها استفاده از مولفه هایی برای تزریق به سیستم قربانی است تا بتواند آن را قفل و یا فایل های قربانی را رمز نگاری کند. متد های مختلفی برای این فاز وجود دارد که عبارتند از:

drive by download: زمانی اتفاق می افتد که سیستم اتوماتیک باج افزار را بدون اینکه قربانی متوجه شود دانلود می کند.

Phishing emails: این نوع حمله با استفاده از پست الکترونیکی صورت می گیرد به صورتی که یک پست الکترونیکی حاوی یک لینک مخرب به قربانی فرستاده می شود و قربانی با کلیک بر روی لینک به وب سایتی هدایت می شود که فایل باج افزار در آن قرار دارد و یا فایل باج افزار که می تواند به صورت word و یا pdf باشد به پست الکترونیکی پیوست می شود.

Vulnerability exploitation: به آسیب پذیری های ناشی از اتصال به اینترنت اشاره می کند. که می توان اسکن کردن شبکه و یا فعالیت های مخرب قربانی در اینترنت را مثال زد.

راه حل های مختلفی برای امن بودن در برابر هر کدام از این متد ها وجود دارد برای مثال برای جلوگیری از drive by download استفاده از یک مرورگر امن پیشنهاد شده و یا برای پست های الکترونیکی می توان از الگوریتم های یادگیری ماشین و یا فیلتر های فیشینگ استفاده کرد. و یا می توان از sand box برای کدهای مشکوک و مخرب استفاده کرد هر چند که کد مخرب متوجه محیط مجازی خواهد شد و اجرا نمی شود ولی این راه کار می تواند مفید باشد. تکنیکی دیگر bare-metal detonation نام دارد که هم از محیط مجازی و هم از محیط فیزیکی استفاده می کند. بیشتر شرکت های امنیتی به درخواست شرکت های تجاری از این متد استفاده می کنند تا کد مخرب را در هر دو محیط اجرا کرده و بتوانند از گسترش آن جلوگیری کنند و به ندرت شرکت های معمولی به خاطر زیر ساخت هایی که احتیاج دارد به سمت آن می روند.

۲-installation

زمانی که کد مخرب به سیستم قربانی وارد شود نوبت به مرحله تزریق می رسد. از روش های مختلفی بر اساس سیستم عامل های مختلف برای تزریق استفاده شده است. یکی از روش ها download dropper   methodology می باشد که در آن قسمت کوچکی از کد مخرب برای جلوگیری از شناسایی شدن وارد سیستم قربانی می شود و پس از آن با استفاده از دستوراتی که از کانال های مخرب C&C  به آن داده می شود باج افزار را به صورت اتوماتیک دانلود کرده و آن را اجرا می کند. به صورت کلی در این روش باج افزار به تنهایی خود را install می کند. در سیستم عامل windows  کد مخرب می تواند با دستکاری کلید های registry اطمینان حاصل کند با هر بار اجرا شدن سیستم خود نیز اجرا می شود. برای سیستم عامل های دیگر مانند android و IOS می توان به دانلود نرم افزار ها از منابع غیر معتبر اشاره کرد. باج افزار ها برای جلوگیری از شناسایی توسط آنتی ویروس ها در مرحله installation می توانند مولفه های خود را در انواع مختلفی از script ها، process ها و فایل ها batch تقسیم کنند.

۳-command and control

تمام فعالیت ها در یک سیستم به C&C برای تعیین فعالیت های بعدی احتیاج دارند. به همین دلیل باج افزار ها باید اطمینان کسب کنند تا ارتباط بین سرور C&C و سیستم قربانی برای تبادل کلید یا اجرا دستورات برقرار باشد. این دستورات عبارتند از: نوع فایل هایی هدف برای رمز نگاری، مدت زمانی که پروسه باج افزار باید سپری کند و تا چه اندازه ای می توانند گسترش پیدا کنند. بعضی از باج افزار ها اطلاعاتی از قبیل آدرس IP ،domain name ، نوع سیستم عامل، نوع مرورگر و در نهایت نوع ضد بدافزار را به سرورC&C بر می گردانند. این عمل به سازمان ها کمک می کند علاوه بر اینکه به این سیستم ها نفوذ می کنند بتوانند اطلاعات گسترده ای از تمام این سیستم ها برای حملات بعدی به دست بیاورند.

۴-Destruction

در این فاز که تخریب نام دارد باج افزار آماده است تا سیستم کاربر را قفل کند یا فایل های آن را رمز نگاری کند. تمام فایل ها که توسط سرور C&C شناسایی شده بودند رمز گذاری خواهند شد که می تواند تمامی فایل ها از نوع Microsoft  و JPG وGIF باشد. بعضی از انواع باج افزارها نه تنها فایل ها را رمز گذاری می کنند بلکه filename ها را تغییر می د هند تا پروسه رمز گشایی را پیچیده تر کنند.

۵-Extortion

این فاز که اخاذی نام دارد و در آن باج افزار یک پیامی را به قربانی نمایش می دهد تا مبلغ باج را به آنها نمایش دهد. در این فاز از متد های مختلفی برای فشار وارد کردن به قربانی برای پرداخت باج استفاده می شود. وتا زمانی که باج توسط قربانی پرداخت نشود مبلغ آن افزایش پیدا می کند. معمولا مبلغ باج بین ۳۰۰ تا ۵۰۰ دلار است اما ممکن است این مبلغ بسته به هدف تا ۱۰۰۰ دلار هم افزایش پیدا کند که با استفاده از پول دیجیتالی یا bitcoin باید پرداخت شود. در بعضی از نمونه های باج افزار یک سری از فایل ها بعد از مدت زمانی پاک خواهد شد تا با ایجاد ترس در قربانی قیمت باج را افزایش دهند. اگر باج پرداخت شود تضمینی وجود ندارد که کلیدی که باج افزار برای رمز گشایی معرفی می کند بتواند فایل ها را از حالت رمز در بیاورد. ویا تضمینی وجود ندارد که باج افزار از روی سیستم پاک شده باشد. در واقع مهاجم می تواند با استفاده از اطلاعاتی که از سیستم قربانی جمع کرده است هدف بعدی خود را که می تواند سیستم back up و یا سیستم عامل های دیگری که برروی شبکه قربانی است را شناسایی کرده و به آنها حمله کند و مبلغ بیشتری از باج را دریافت کند.

نوشته‌های مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

تعدادی از پروژه های پرساتک