811 Views
2017 Nov 27technology
img

 

بسیاری از سازمانها در  سراسر جهان همزمان با  حمله ویروس WannaCry ransomware فعالیت مخرب خود را آغاز کردند. همانطور که این تهدیدها به سرعت در حال گسترش بودند ، بیشتر جنایتکاران سایبری نیز  سعی می کردند از این آسیب پذیری ها و آسیب های مشابه استفاده کنند.

 WannaCry ransomware یک برنامه ای با کدهای خیلی پیچیده نیست. در واقع، نسخه قبلی این برنامه در ماه مارس و آوریل توزیع شده بود که  با توجه به نحوه  اجرای آن، مشخص شد که سازندگان آن نیز بسیار ماهر نبوده اند .

تفاوت بین حملات WannaCry قبلی  و نسخه جدید آن در عنصر  کرم مانندآن است این کرم با  آسیب پذیر نمودن  از طریق فعال کردن کدهای کنترل از راه دور در زمان پیاده سازی ویندوز، با استفاده از پروتکل بلوک پیام سرور 1.0 (0 SMBv1) کامپیوترها را آلوده می کند.

Microsoftدر ماه مارس یک پچ برای از بین بردن این مشکل  منتشر کرد و در اخر هفته دوباره دچار  حمله این مخرب ها قرار گرفت  در روزهای پایانی حمله، Microsoft حتی  برای اطمینان بیشتر  گام های غیر معمول را برای انتشار نسخه های قدیمی ویندوز که دیگر پشتیبانی نمی شد، مانند ویندوز XP، ویندوز سرور 2013 و ویندوز 8 انجام داد که دوباره مورد حمله بد افزارها قرار نگیرد .

از طرفی مهاجمان WannaCry کار زیادی را برای بهبود ویروس  SMB انجام ندادند، و در حقیقت به جای آن  یک ویروس جدیدی  که در ماه آوریل توسط گروهی به نام Brother's Shadow منتشر شده بود را بهبود دادند  .  این عنصر الوده  که EternalBlue نام داشت توسط یک گروه سایبری که به طور گسترده ای با سازمان امنیت ملی ایالات متحده ارتباط داشت ایجاد شده بود.

از طرفی نسخه جدید WannaCry که از طریق EternalBlue  منتشر  شد، بسیار عملکرد بدی  داشت ، به دلیل اینکه سعی کرد با یک دامنه ثبت نشده ارتباط بگیرد و اجرای آن  را متوقف کند، در آن زمان  یک محقق MalwareTech که از نام مستعار آنلاین استفاده می کرد،  به سرعت متوجه شد که این دامنه مربوط به یک بد افزار هست  و با ثبت این دامنه به عنوان دامنه مخرب  از گسترش ان در فضای اینترنت جلو گیری نمود .
از آن به بعد، محققان نسخه های دیگری را کشف کرده اند: نسخه ای که تلاش می کرد با یک نام دامنه متفاوت متصل شود، که محققان نیز موفق به ثبت آن شده اند. که سبب شد نسخه دوم آن غیرفعال شود . به نظر می رسد مخربان سایبری  به جای آن که عنصر مخرب را از کد منبع اصلی  پاک کنند، به صورت دستی با تغییراتی که روی کدهای  باینری انجام می دادند سعی در  حذف یا بهبود  آن  داشتند . پژوهشگران به این نتیجه رسیدند که احتمالا انجام این کار توسط نویسندگان اصلی نبوده است .متخصصان انجمن پشتیبانی کامپیوتر از BleepingComputer.com تا کنون چهار دستکاری روی کدهای باینری  را دیده اند. این کدها در مراحل مختلف  با عنوان WannaCry در برنامه پنهان می شوند.                                                                                            
 این موضوع نشان می دهد که حملات  نویسندگان WannaCry و دیگر مجرمان سایبری، احتمالا ادامه خواهد یافت و با وجود  این که این کد ها در دسترس هستند، بسیاری از سیستم ها برای مدت کوتاهی آسیب پذیر خواهند بود
حمایت کنندگان  امنیتی هنوز هم تلاش های موفقیت آمیز را برای MS08-067 و آسیب پذیری ویندوز که 9 ماه قبل کرم رایانه Conficker را گسترش داده بودند ، انجام می دهند 
Catalin Cosoi، استراتژیست امنیت ملی Bitdefender، در پست وبلاگ خود در مورد آسیب پذیری EternalBlue  بیان میکند  که : " حملات منفرد احتمالا پیش از آن که بهتر شود، بدتر خواهد شد، زیرا یکی از جدی ترین تهدیدات در 12 ماه آینده خواهد بود." 
وی اعتقاد دارد  که گروه های جاسوسی تحت حمایت دولتی می توانند از نقص موجود در SMB استفاده کنند تا به کمک آن  بتوانند عناصر خنثی را روی رایانه ها بکار ببرند و آنها را الوده کنندو این در حالیکه آنتی ویروس ها همچنان مشغول مبارزه با حملات ویروسی هستند.
شرکت امنیتی BinaryEdge، که متخصص در اسکن اینترنت می باشد، بیش از 1 میلیون سیستم عامل ویندوز را شناسایی کرده است که سرویس SMB را در معرض حملات اینترنت قرار می دهد. این تعداد بطور قابل توجهی بالاتر از 200،000 رایانه تحت تاثیر  WannaCry می باشد ، بنابراین ممکن است حملات بیشتر و قربانیان رایانه ای بیشتر نیز همچنان بوجود آید .
موفقیتهایی  WannaCry به همه شرکت ها و سازمانها نشان داد که تعداد زیادی از سازمانها که دچار مشکل شدند از  بسیاری از سیستم هایی با  نسخه های قدیمی تر ویندوز استفاده می کردند .باید توجه داشت که شرکت ها قبل از نصب  باید کد های تست را آزمایش کنند تا اطمینان حاصل کنند که آنها مشکلات سازگاری با برنامه های موجود را ندارند .
در موارد دیگر سازمانها ممکن است با سیستم های خاصی که نسخه های پشتیبانی نشده ویندوز را اجرا می کنند نیاز داشته باشد که  کار بکنند . کار با دستگاهایی چون دستگاه های خودپرداز، دستگاه های پزشکی، ماشین های فروش بلیط، کیوسک های سرویس خودکار الکترونیکی مانند فرودگاه ها و حتی سرورهایی است که برنامه های قدیمی را اجرا می کنند که نمی توان به راحتی آنها را مجددا طراحی کرد .در این شرایط  اقداماتی وجود دارد که می تواند برای محافظت از این سیستم ها، مانند جدا شدن آنها در بخش های شبکه ای دسترسی آنهارا محدود و کنترل کنند  یا با غیرفعال کردن پروتکل ها و خدمات غیر ضروری، سعی در بالا بردن امنیت این دستگاهها داشته باشند . 
Carsten Eiram، مدیر تحقیقاتی شرکت امنیتی Risk Based Security، از طریق ایمیل خود بیان نمود که : "سازمان ها یا بخش های خاصی نظیر پزشکی وجود دارد ، که ضروری است که آنها به درستی خطرات را درک کرده و به راه حل هایی برای محدود کردن تهدید بیندیشند."
حمله  EternalBlue شامل بخش بزرگتر به نام "Lost In Translation" است که آسیب پذیری های متعددی از آسیب های ساده به موارد بسیار شدید را شامل می شود. "Bogdan Botezatu تحلیلگر ارشد تهدید اینترنتی Bitdefender، در ایمیل خود می گوید "ما انتظار داریم که  بدافزار های تجاری طبقه بندی شود، همانطور که در گذشته اتفاق افتاده است."

در همین حال، Eiram معتقد است که در آینده آسیب پذیری های بسیاری وجود خواهد داشت که حملات مشابهی را انجام خواهند داد.

او گفت: "من شک ندارم که هر ساله با چنین حمله های سایبری رو برو نباشیم  "