درباره Sorebrect؛ باج‌افزاری بدون فایل

درباره Sorebrect؛ باج‌افزاری بدون فایل

آیا شما تا بحال درباره باج افزار بدون فایل مطلبی شنیده اید؟در مورد این نوع باج افزار چه میدانید؟اگر شما یکی از علاقه مندان حوزه فناوری اطلاعات یا سیستم های امنیتی هستید،به شما پیشنهاد میکنیم این خبر را از دست ندهید.در این روش هکرها بدافزار را مستقیماً وارد حافظه رم می‌کنند تا سامانه‌های امنیتی از حضور آن مطلع نشوند.این روش جدید مطمئن می‌شود، تمامی بار داده بدافزار و فایل‌های آن در حافظه رم اجرا شود و هرگز هیچ فایلی را به هارددیسک در حالت رمز نشده، وارد نکند.

بدین ترتیب حتی روش‌های جدید هم که بر اساس فایل عمل می‌کنند، از کشف این بدافزار عاجز خواهند بود.گزارشات ومسنتدات حاکی از آنند که؛ محققان شرکت Trend Micro باج‌افزار پیشرفته‌ای با ویژگی Fileless (بدون فایل) شناسایی کرده‌اند که در بستر شبکه منتشر شده و پس از دسترسی یافتن از راه دور به دستگاه قربانی، کد مخرب خود را در یکی پروسه‌های سیستمی تزریق می‌کند. این باج‌افزار پس از پایان خرابکاری، با هدف پاکسازی ردپای خود، از روی سیستم حذف می‌شود.

طبق بررسی‌های انجام شده، این باج‌افزار که Sorebrect نامگذاری شده بر خلاف باج‌افزارهای رایج هر دو سیستم‌های سرور و ایستگاه کاری را هدف قرار می‌دهد.
Sorebrect در اولین مرحله با اجرای حملات سعی و خطا (Brute Force) و برخی روش‌های دیگر می‌کوشد تا با حق دسترسی Administrator به دستگاه قربانی متصل شود. در ادامه با بهره‌گیری از ابزار مجاز Sysinternals PsExec  که امکان اجرای از راه دور کد را فراهم می‌کند  کد مخرب خود را در یکی از پروسه‌های سیستمی نظیر svchost.exe تزریق کرده و فایل‌های بر روی دستگاه و فایل‌های ذخیره شده در پوشه‌های اشتراکی متصل شده به آن را که کاربر هک شده به آنها دسترسی نوشتن دارد رمزگذاری می‌کند.

 

درباره Sorebrect؛ باج‌افزاری بدون فایل

این باج‌افزار به فایل‌های رمزگذاری شده پسوند pr0tect. را الصاق می‌کند.شایان ذکر است که،از دیگر اقدامات انجام شده توسط این باج‌افزار، حذف سوابق Event Logs و نسخه‌های Shadow Copy بترتیب با استفاده از پروسه‌های wevtutil.exe و vssadmin است.Sorebrect با استفاده از شبکه مخرب Tor ارتباطات خود را با سرورهای فرماندهی مخفی می‌کند.هر چند نخستین آلودگی‌ها به Sorebrect در منطقه خاورمیانه گزارش شده اما به نظر می‌رسد که آلودگی به این باج‌افزار به سرعت در نقاط دیگر جهان در حال گسترش است.

باید به این مهم اشاره کرد که،یکی از تکنیک‌های مورد استفاده بدافزارهای پیشرفته، استفاده از روشی موسوم به Fileless است. هدف، ماندگار کردن کد مخرب بدافزار بدون ذخیره آن به‌صورت فایل بر روی دیسک سخت است. با توجه به اینکه نرم‌افزارهای ضدویروس سنتی صرفاً اقدام به بررسی فایل‌ها در زمان نوشته شدن بر روی دیسک سخت و خوانده شدن از روی آن می‌کنند این روش می‌تواند براحتی این سد دفاعی را در هم بشکند.

 

این نوشته تا چه حد مفید بود؟
[Total: 0 Average: 0]

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.