باج افزار استفاده کننده از تکنیک Doppelganging

برای جلوگیری از تشخیص توسط آنتی‌ویروس‌ها، سازندگان بدافزارها به طور مداوم و با اضافه کردن توابع و تکنیک‌هایی به محصولات خود در حال تکامل دادن آن‌ها هستند. برخی اوقات سرعت این تکامل نسبتا بالاست. برای مثال باج‌افزار SynAck که باج‌افزاری شناخته شده از September سال 2017 است (در آن زمان این باج‌افزار، بدافزاری معمولی و نه مشخصا هوشمندانه بود) اخیرا در راستای تبدیل به یک تهدید پیشرفته به‌گونه‌ای مورد ویرایش قرار گرفته که به طور بی‌سابقه تشخیص آن دشوار شده و از تکنیکی به نام Doppelganging استفاده می‌کند.

حمله دزدکی

برای جلوگیری از شناسایی توسط آنتی‌ویروس‌ها، سازندگان بدافزارها غالبا از نرم‌افزارهای packaging استفاده کرده و به غیرخوانا کردن کد بدافزارها از طریق obfuscate کردن می‌پردازند. با این حال، توسعه‌دهندگان آنتی‌ویروس‌ها نیز پیشرفت کرده و امروزه نرم‌افزارهای آنتی‌ویروس بدون هیچ گونه مشکلی خروجی نرم‌افزارهای packaging را باز می‌کنند. برخلاف رویه رایج، توسعه‌دهندگان SynAck از روشی دیگر برای غیرخوانا کردن کدها استفاده کرده‌اند. Obfuscate کردن کامل کد قبل از کامپایل آن، که این مساله به طور چشم‌گیری تشخیص را برای راه‌کارهای امنیتی دشوار می‌کند. این تکنیک تنها راه گریز به کار گرفته شده توسط نسخه جدید SynAck نیست. علاوه بر این تکنیک، این بدافزار از یک فرایند پیچیده به نام Doppelganging استفاده می‌کند. نکته مهم اینکه SynAck اولین باج‌افزار شناخته شده است که از این تکنیک استفاده می‌کند. فرایند Doppelganging برای اولین بار در سال 2017 توسط محققان امنیت در کنفرانس Black Hat معرفی شده است. پس از معرفی، این تکنیک توسط خرابکاران در چند گونه از بدافزارها مورد استفاده واقع شده است.
فرایند Doppelganging بر اساس برخی ویژگی‌های فایل‌های سیستمی NTFS و یک پیاده‌سازی قدیمی از Loader فرایند ویندوز است که در همه نسخه‌های ویندوز از XP به بعد وجود دارد و به توسعه‌دهندگان اجازه می‌دهد بدافزارهای بدون فایلی ایجاد کنند که می‌توانند فعالیت‌های مخرب را به فرایندهایی بی‌خطر و قانونی تجزیه کنند.
SynAck دو ویژگی قابل توجه دیگر نیز دارد: 1) این نرم‌افزار نصب شدن در مسیر صحیح را بررسی می‌کند. در صورتی که در مسیر صحیح نصب نشده باشد، SynAck برای جلوگیری از کشف توسط sandboxهای خودکار استفاده شده توسط راه‌کارهای متنوع امنیتی اجرا نمی‌شود. 2) SynAck نصب شدن بر روی کامپیوتری با صفحه کلید تنظیم شده بر روی یک script مشخص-در این مورد Cyrill- را بررسی می‌کند و در غیر این صورت نیز اجرا نخواهد شد. لازم به ذکر است که این تکنیک یک روش رایج برای محدود کردن بدافزار به یک منطقه جغرافیایی مشخص است.

آسیب پذیری در مایکروسافت با نام MS15-034

اقدام خرابکارانه معمول

از دید کاربر SynAck فقط یک باج‌افزار دیگر است که نقطه برجسته آن مقدار باج قابل‌توجه درخواستی توسط آن یعنی 3000 دلار است. قبل از رمزگذاری فایل‌های یک کاربر، SynAck در ابتدا با متوقف کردن برخی فرایندها (که در غیر این صورت فایل‌ها را قابل استفاده و بدون محدودیت نگه می‌دارد) اطمینان حاصل می‌کند که به فایل‌های مهم مورد هدف خود دسترسی دارد. در ادامه، قربانی یک پیام باج‌خواهی شامل اطلاعات تماس بر روی صفحه logon خود می‌بیند.
متاسفانه SynAck از یک الگوریتم رمزگذاری قوی استفاده می‌کند که تا به حال هیچ نقطه‌ضعفی در پیاده‌سازی آن دیده نشده است. بنابراین، هنوز راهی برای رمزگشایی فایل‌های رمز شده توسط این بدافزار وجود ندارد.

دیده‌ها حاکی از آن است که SynAck اغلب با استفاده از پروتکل Remote Desktop و به صورت brute force توزیع می‌شود و این بدین معنی است که این باج‌افزار بیشتر کاربران تجاری را مورد هدف قرار می‌دهد. تعداد محدود حملات انجام شده توسط این باج‌افزار تا به امروز، که همه آن‌ها در آمریکا، کویت و ایران رخ داده‌اند، تاییدکننده این فرضیه است.

آسیب پذیری در OpenSSL مربوط به  CVE-2016-2108

آماده شدن برای نسل بعدی باج‌افزارها

حتی اگر شما مورد هدف SynAck واقع نشوید، وجود SynAck نشانه‌ای واضح دال بر تکامل باج‌افزارها بوده و نشان می‌دهد که روز به روز این بدافزارها پیچیده‌تر شده و مقابله با آن‌ها سخت‌تر می‌شود. علاوه‌براین، درس گرفتن از اشتباهات گذشته، نویسندگان باج‌افزارها را خبره‌تر کرده و ارائه ابزارهای رمزگشا برای باج‌افزارها را به مرور سخت و غیرممکن کرده است. در نتیجه، باج‌افزارها همچنان مساله‌ای بزرگ و جهانی هستند و دانستن نحوه مقابله با این تهدیدات یک باید برای هر کاربر اینترنت است.
در ادامه چند نکته که می‌تواند به شما برای جلوگیری از آلوده شدن و یا کاهش پیامدها در صورت آلوده شده به باج‌افزارها کمک کند، بیان خواهد شد:
– به طور منظم از داده‌های خود پشتیبان گیری کنید. Backupها را روی رسانه‌ای جدا که همیشه به شبکه شما و اینترنت متصل نیست ذخیره کنید.
– در صورتی که از Remote Desktop ویندوز در کسب‌و‌کار خود استفاده نمی‌کنید، آن را غیرفعال کنید.
– از یک راه‌کار امنیتی خوب که شامل یک فایروال و یک جزء ضد باج افزار است استفاده کنید.