باج افزار رابین هود از درایور آسیب‌پذیر قدیمی سوء استفاده می‌کند

شرکت سوفوس دو مورد حمله باج افزاری را تحلیل کرده است که در آن‌ها از یک درایور مجاز و دارای امضای دیجیتال معتبر استفاده شده است. در این حملات ابتدا از یک آسیب‌پذیری موجود در این درایور برای از کار انداختن مکانیزم‌های امنیتی استفاده شده است. این درایور بخشی از یک بسته نرم‌افزاری است که توسط گیگابایت، تولیدکننده مادربرد، منتشر شده و اکنون منسوخ شده است.

این درایور دارای یک آسیب‌پذیری شناخته‌شده است که با شناسه CVE-2018-19320 رهگیری می‌شود. در سال ۲۰۱۸ این آسیب‌پذیری گزارش شده و کد اثبات مفهوم [۱] آن منتشر شد. در آن هنگام، کمپانی گیگابایت به محقق گزارش کننده آسیب‌پذیری گفته بود که محصولاتش تحت تأثیر این آسیب‌پذیری قرار ندارند. بعداً گیگابایت آسیب‌پذیر بودن درایور را پذیرفت و استفاده از آن را متوقف کرد، اما این محصول هنوز وجود دارد و آن طور که پیداست، خطرساز شده است.

درایور با استفاده از مکانیزم امضای کد Verisign (مرجع صدور گواهی) امضا شده است و Verisign هنوز گواهی را ابطال نکرده است و بنابراین هنوز امضای آن معتبر شناخته می‌شود. در این سناریو حمله، مجرمان از درایور گیگابایت به عنوان ابزاری استفاده کردند تا یک درایور امضا نشده دوم را درون ویندوز بارگذاری کنند. این درایور دوم، پردازه‌ها و فایل‌های مربوط به محصولات امنیتی را نابود کرده و بدین وسیله مکانیزم ضد دستکاری آن‌ها را دور میزند تا باج افزار بتواند بدون مزاحمت، حمله خود را اجرا کند.

متخصصان سوفوس می‌گویند: «این اولین باری است که مشاهده می‌کنیم یک باج افزار از یک درایور مورد اعتماد و امضا شده (اما آسیب‌پذیر) شخص ثالث استفاده می‌کند تا کرنل ویندوز را در حافظه دستکاری کند و برنامه‌های امنیتی را از فضای کرنل خارج کند. در هر دو مورد حمله، باج افزاری که در حال نصب بود خود را رابین هود می‌نامید».

باج افزاری که سعی در دور زدن محصولات امنیتی دارد جدید نیست، به عنوان مثال، باج افزار Nemty پردازه‌ها و سرویس‌ها را با استفاده از ابزار معمولی taskkill می‌کشت. باج افزار Snatch نیز کامپیوتر را به حالت Safe Mode ریبوت می‌کرد تا از نرم‌افزارهای امنیتی فرار کند. واضح است که کشتن پردازه‌ها از حالت کرنل فواید زیادی برای بدافزارها دارد.

در انتها سوفوس توصیه می‌کند:

۱- باج افزارهای امروزی از چندین تکنیک و تاکتیک استفاده می‌کنند و استفاده از یک فناوری دفاعی تنها، باعث آسیب‌پذیری شما می‌شود. بنابراین گستره‌ای از فناوری‌ها را به کار گیرید.

۲- از روش‌های امنیتی قوی استفاده کنید برای مثال:

  • از احراز هویت چندعاملی (MFA) استفاده کنید.
  • از گذرواژه‌های پیچیده و سامانه‌های مدیریت گذرواژه استفاده کنید.
  • سطح دسترسی کاربران را محدود کنید. به حساب‌های کاربری و ادمین‌ها تنها دسترسی‌هایی را بدهید که لازم دارند.
  • به طور مداوم پشتیبان تهیه کنید و آن را جایی دور از دسترسی مهاجمان قرار دهید.
  • اگر به ریموت دسکتاپ نیاز ندارید آن را غیرفعال کنید و در غیر این صورت از rate limiting، احراز هویت دوعاملی یا VPN استفاده کنید.
  • مکانیزم ضد دستکاری (tamper protection) ویندوز را فعال کنید. گونه‌های دیگر باج افزار سعی می‌کنند محافظت امنیتی سیستم را غیرفعال کنند و مکانیزم ضد دستکاری برای جلوگیری از این اتفاق طراحی شده است.

۳- آموزش مداوم کارکنان؛ انسان ضعیف‌ترین حلقه در زنجیره امنیت سایبری است و مجرمان سایبری متخصص سوء استفاده از ویژگی‌های رفتاری انسان‌ها برای مقاصد بدخواهانه هستند. بر روی آموزش کارکنان سرمایه‌گذاری کنید و این سرمایه‌گذاری را استمرار دهید.

منبع: Sophos


[۱] Proof of Concept (PoC)