یک خانواده‌ی جدید از باج‌افزارها شناسایی شده که از بهره‌برداری‌های آژانس امنیت ملی آمریکا با نام EternalBlue استفاده کرده و توزیع می‌شود. در ضمن گفته می‌شود فرآیند آلوده شدن به این باج‌افزار بدون پرونده صورت می‌گیرد. این باج‌افزار UIWIX نام داشته و برای اولین بار، دوشنبه‌ی هفته‌ی گذشته، زمانی که محققان باج‌افزار «گریه» را بررسی می‌کردند، شناسایی شده است. این باج‌افزار دقیقاً از همان آسیب‌پذیری در SMBv۱ و SMBv۲ ویندوز که باج‌افزار «گریه» نیز از آن استفاده می‌کرد، بهره‌برداری می‌کند.

برخلاف باج‌افزار گریه، باج‌افزار UIWIX بدون اینکه در دیسکِ سامانه‌ی قربانی، پرونده یا مؤلفه‌ای را بنویسد، پس از بهره‌برداری از EternalBlue در حافظه اجرا می‌شود. محققان ترندمیکرو اعلام کردند این روش باعث می‌شود باج‌افزار از خود، ردپاهای کمتری را بجای گذاشته و فرآیند شناسایی آن پیچیده‌تر شود.

علاوه بر این، محققان امنیتی اشاره کردند این باج‌افزار تلاش می‌کند از روش‌های تشخیص بدافزار فرار کند، به‌طوری که دارای کدی است که در صورت تشخیص ماشین مجازی و یا جعبه‌ی شنی، به فرآیند مربوط به خود خاتمه می‌دهد. باج‌افزار UIWIX حاوی کدی است که اطلاعات ورود مربوط به مرورگرها و گواهی‌نامه‌ها در پروتکل FTP و پیام‌رسان‌ها را به سرقت می‌برد.

برخلاف باج‌افزار گریه، باج‌افزار جدید از سازوکارهای ماندگاری و شروعِ خودکار استفاده نکرده و در قالب پرونده‌های DLL توزیع می‌شود. نکته‌ی جالب دیگری که در این باج‌افزار وجود دارد این است که اگر تشخیص دهد سامانه‌ی قربانی در روسیه، قزاقستان و یا بلاروس واقع شده، به فرآیند خود خاتمه می‌دهد. این باج‌افزار همچنین از یک کتابخانه‌ی DLL برای اتصال به یک وب‌گاه Tor استفاده می‌کند.

باج‌افزار UIWIX دارای قابلیت توزیع کرم‌گونه نیست و همچنین در کد آن «سوئیچِ مرگ» برای متوقف کردن بدافزار در مواقع اضطراری وجود ندارد. همچنین باج‌افزار جدید، برای هر سامانه‌ی آلوده از یک آدرس کیفِ پول بیت‌کوین به‌طور منحصربفرد استفاده می‌کند.

ترندمیکرو اعلام کرد خیلی جای تعجب ندارد که شاهد باشیم مهاجمان سایبریِ دیگر نیز موج عظیم حملات توسط باج‌افزار «گریه» را دیدند و خودشان نیز بر روی سامانه‌ها با همین آسیب‌پذیری، حملات جدید خود را آغاز کردند. قبل از باج‌افزار گریه و UIWIX نیز یک بات‌نت با نام Adylkuzz از این آسیب‌پذیری در سامانه‌های ویندوز بهره‌برداری کرده و با استفاده از آن‌ها به استخراج ارز مجازی می‌پرداخت.

گروه نفوذ «کارگزاران سایه» پس از اینکه این بهره‌برداری را از آژانس امنیت ملی آمریکا به سرقت بردند، ابزار را به‌طور برخط منتشر کردند که اینک شاهد هستیم به چارچوب متااسپلویت نیز اضافه شده است. مایکروسافت پیش از اینکه آسیب‌پذیری به‌طور عمومی افشاء شود، وصله‌هایی را برای آن منتشر کرده بود. پس از وقوع این حملات نیز برای سامانه‌هایی که تحت پشتیبانی این شرکت قرار نداشتند، مجدداً به‌روزرسانی امنیتی منتشر کرد.

منبع: asis

درباره نماد امن

کانال اخبار فناوری اطلاعات نماد امن

“نماد امن” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

یک باج‌افزارِ بدون پرونده با نام UIWIX از آسیب‌پذیری در سرویس SMB ویندوز بهره‌برداری می‌کند

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *