باج افزار رابین هود از درایور آسیبپذیر قدیمی سوء استفاده میکند
شرکت سوفوس دو مورد حمله باج افزاری را تحلیل کرده است که در آنها از یک درایور مجاز و دارای امضای دیجیتال معتبر استفاده شده است. در این حملات ابتدا از یک آسیبپذیری موجود در این درایور برای از کار انداختن مکانیزمهای امنیتی استفاده شده است.
باج افزار رابین هود از درایور آسیبپذیر قدیمی سوء استفاده میکندشرکت سوفوس دو مورد حمله باج افزاری را تحلیل کرده است که در آنها از یک درایور مجاز و دارای امضای دیجیتال معتبر استفاده شده است. در این حملات ابتدا از یک آسیبپذیری موجود در این درایور برای از کار انداختن مکانیزمهای امنیتی استفاده شده است. این درایور بخشی از یک بسته نرمافزاری است که توسط گیگابایت، تولیدکننده مادربرد، منتشر شده و اکنون منسوخ شده است. |
 |
|
این درایور دارای یک آسیبپذیری شناختهشده است که با شناسه CVE-2018-19320 رهگیری میشود. در سال 2018 این آسیبپذیری گزارش شده و کد اثبات مفهوم [1] آن منتشر شد. در آن هنگام، کمپانی گیگابایت به محقق گزارش کننده آسیبپذیری گفته بود که محصولاتش تحت تأثیر این آسیبپذیری قرار ندارند. بعداً گیگابایت آسیبپذیر بودن درایور را پذیرفت و استفاده از آن را متوقف کرد، اما این محصول هنوز وجود دارد و آن طور که پیداست، خطرساز شده است. درایور با استفاده از مکانیزم امضای کد Verisign (مرجع صدور گواهی) امضا شده است و Verisign هنوز گواهی را ابطال نکرده است و بنابراین هنوز امضای آن معتبر شناخته میشود. در این سناریو حمله، مجرمان از درایور گیگابایت به عنوان ابزاری استفاده کردند تا یک درایور امضا نشده دوم را درون ویندوز بارگذاری کنند. این درایور دوم، پردازهها و فایلهای مربوط به محصولات امنیتی را نابود کرده و بدین وسیله مکانیزم ضد دستکاری آنها را دور میزند تا باج افزار بتواند بدون مزاحمت، حمله خود را اجرا کند. متخصصان سوفوس میگویند: «این اولین باری است که مشاهده میکنیم یک باج افزار از یک درایور مورد اعتماد و امضا شده (اما آسیبپذیر) شخص ثالث استفاده میکند تا کرنل ویندوز را در حافظه دستکاری کند و برنامههای امنیتی را از فضای کرنل خارج کند. در هر دو مورد حمله، باج افزاری که در حال نصب بود خود را رابین هود مینامید». باج افزاری که سعی در دور زدن محصولات امنیتی دارد جدید نیست، به عنوان مثال، باج افزار Nemty پردازهها و سرویسها را با استفاده از ابزار معمولی taskkill میکشت. باج افزار Snatch نیز کامپیوتر را به حالت Safe Mode ریبوت میکرد تا از نرمافزارهای امنیتی فرار کند. واضح است که کشتن پردازهها از حالت کرنل فواید زیادی برای بدافزارها دارد. در انتها سوفوس توصیه میکند: 1- باج افزارهای امروزی از چندین تکنیک و تاکتیک استفاده میکنند و استفاده از یک فناوری دفاعی تنها، باعث آسیبپذیری شما میشود. بنابراین گسترهای از فناوریها را به کار گیرید. 2- از روشهای امنیتی قوی استفاده کنید برای مثال:
3- آموزش مداوم کارکنان؛ انسان ضعیفترین حلقه در زنجیره امنیت سایبری است و مجرمان سایبری متخصص سوء استفاده از ویژگیهای رفتاری انسانها برای مقاصد بدخواهانه هستند. بر روی آموزش کارکنان سرمایهگذاری کنید و این سرمایهگذاری را استمرار دهید. منبع: Sophos
|