باج افزار جدید Ryuk با قابلیت پخش در شبکه

باج افزار جدید Ryuk با قابلیت پخش در شبکه


کارشناسان فرانسوی نوع جدیدی از باج افزار Ryuk را مشاهده کردند که قابلیت پخش خود را برای آلوده کردن دستگاه های دیگر در شبکه های محلی قربانیان پیاده سازی می کند.
کارشناسان آژانس امنیت سایبری ملی فرانسه ANSSI نسخه جدیدی از باج افزار Ryuk را مشاهده کرده اند که قابلیت های کرم مانند را که در شبکه های محلی امکان پذیر است ، پیاده سازی می کند.

"این نسخه علاوه بر عملکردهای معمول خود ، ویژگی جدیدی را در اختیار دارد که به آن امکان می دهد تا از طریق شبکه محلی خود را تکثیر کند." گزارش منتشر شده توسط ANSSI را می خواند. "با استفاده از کارهای برنامه ریزی شده ، بدافزار خود را - ماشین به ماشین - در دامنه ویندوز منتشر می کند. پس از راه اندازی ، خود را بر روی هر دستگاه قابل دستیابی که دسترسی RPC ویندوز در آن امکان پذیر است گسترش می دهد. "

این نوع باج افزار Ryuk شامل هیچ مکانیزمی برای جلوگیری از اجرای باج افزار نیست (مانند MUTEX یا موارد دیگر) ، خود را با پسوند rep.exe یا lan.exe کپی می کند.

باج افزار هر آدرس IP ممکن را در شبکه های محلی تولید می کند و یک پینگ ICMP برای آنها ارسال می کند. این آدرس IP های حافظه پنهان محلی ARP را لیست می کند و یک بسته برای آنها ارسال می کند ، سپس همه منابع اشتراک گذاری باز شده در IP های پیدا شده را لیست می کند ، هر یک را نصب می کند و سعی در رمزگذاری محتوای آنها دارد. این نوع همچنین می تواند از راه دور یک کار برنامه ریزی شده ایجاد کند تا خودش را روی این میزبان اجرا کند.
کارهای برنامه ریزی شده با استفاده از ابزار بومی ویندوز schtasks.exe ایجاد می شوند.

"نسخه Ryuk که در این سند تجزیه و تحلیل شده است ، قابلیت تکثیر خود دارد. انتشار با کپی کردن موارد اجرایی در سهام شبکه مشخص شده به دست می آید. این مرحله با ایجاد یک کار برنامه ریزی شده در دستگاه از راه دور دنبال می شود. " گزارش را ادامه می دهد. "محتوای این کار برنامه ریزی شده در تجزیه و تحلیل موجود در این سند شرح داده شده است. برخی از نام های پرونده برای این نسخه مشخص شده است: rep.exe و lan.exe. سرانجام ، Ryuk نسخه های Volume Shadow را حذف می کند تا از بازیابی پرونده جلوگیری کند. "

باج افزار با تنظیم کلید رجیستری HKEY_CURRENT_USER \ SOFTWARE \ Microsoft به ماندگاری دست می یابد
\ Windows \ CurrentVersion \ Run \ svchost را با مسیر فایل خود.

گزارش ANSSI نشان داد که باج افزار بررسی نمی کند که آیا دستگاهی قبلاً آلوده شده است یا خیر ، کد مخرب از یک حساب ممتاز دامنه برای انتشار آن استفاده می کند. کارشناسان فرانسوی خاطرنشان کردند که حتی در صورت تغییر رمز ورود کاربر ، تا زمانی که بلیط های Kerberos منقضی نشوند ، نسخه برداری ادامه خواهد یافت.

"یکی از راه های حل این مشکل می تواند تغییر رمز عبور یا غیرفعال کردن حساب کاربری (مطابق با حساب استفاده شده) و سپس اقدام به تغییر رمز عبور دامنه KRBTGT مضاعف باشد. این امر باعث ایجاد بسیاری از اختلالات در دامنه می شود - و به احتمال زیاد به راه اندازی مجدد بسیاری نیاز دارد اما بلافاصله شامل انتشار نیز می شود. 

ANSSI همچنین شاخص های سازش (IOC) مرتبط با این نوع جدید باج افزار Ryuk را ارائه داد.


1399-12-09
برای ثبت دیدگاه باید ورود کنید.ورود