امنیت

فناوری اطلاعات

July 24, 2019
17:48 چهارشنبه، 2ام مردادماه 1398
کد خبر: 101173

Sodin یک باج‌افزار معمولی نیست

اواخر ماه مارس سال جاری، خبری مبنی بر حمله‌ی باج‌افزاری موسوم به GandCrab به مشتریان «ارائه‌دهندگان خدمات مدیریت‌شده[1]» منتشر شد که از همان زمان احتمال می‌دادیم این تنها پرونده در نوع خود نخواهد بود. ارائه‌دهندگان خدمات مدیریت‌شده در حقیقت برای مجرمان سایبری آنقدر لقمه‌ی چرب و نرمی هستند که نمی‌شود نادیده‌شان گرفت. ظاهراً هم حق با ما بود.
روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ در ماه آوریل، باج‌افزاری تحت عنوان Sodin توجه متخصصین ما را جلب کرد. این باج‌افزار با باج‌افزارهای دیگر تفاوت داشت؛ تفاوتش هم این بود که علاوه بر استفاده از شکاف‌های امنیتی در سیستم MSPها همچنین از آسیب‌پذیری‌ای در پلت‌فرم Oracle WebLogic نیز اکسپلویت می‌کرده است. و برخلاف معمول که همیشه باج‌افزار به داخلت کاربری نیاز دارد (برای مثال نیاز قربانی به اجرای یک فایل از ایمیل فیشینگ) در این مورد خاص هیچ مداخله‌ی کاربری‌ای نیز در کار نیست. از دیدگاه ما جالب‌ترین چیز در مورد این بدافزار، طریقه‌ی توزیعش است.
 
روش‌های توزیع Sodin
مهاجمین با هدف توزیع این بدافزار برای اجرای فرمان PowerShell روی سرور آسیب‌پذیرِ Oracle WebLogic بوسیله‌ی WebLogic از آسیب‌پذیری CVE-2019-2725 استفاده کردند. این کار بدان‌ها اجازه داد تا یک دراپر در سرور آپلود که بعداً هم نصب پی‌لود را به همراه داشت. پی‌لود چه بود: همان باج‌افزار Sodin. پچ‌های این باگ در تاریخ آوریل منتشر شدند اما اواخر ماه ژوئن باز آسیب‌پذیری مشابهی کشف شد- CVE-2019-2729.
در حملاتی که پای MSPها وسط می‌آید، Sodin به طرق مختلف روی دستگاه کاربر می‌نشیند. کاربرانِ دست کم سه ارائه‌دهنده‌ی خدمات مدیریت‌شده همین الانش هم قربانی این تروجان شدند. گفته می‌شود در برخی موارد مهاجمین از کنسول‌های دسترسی ریموت Webroot و Kaseya برای تزریق این تروجان استفاده کرده بودند. در برخی موارد دیگر مهاجمین با استفاده از کانکشن RDP، امتیازات بالا، راه‌حل‌های امنیتی دی‌اکتیوشده و بک‌آپ‌ها توانستند به زیرساخت MSP نفوذ کنند. سپس آن‌ها باج‌افزار در کامپیوتر مشتری دانلود کردند.
 
چه کاری از دست ارائه‌دهندگان سرویس برمی‌آید؟ ‌
برای شروع، تا جایی که ممکن است ذخیره‌ی رمزعبور برای دسترسی ریموت و همچنین احراز هویت دو عاملی را جدی بگیرید. کنسول‌های ریموت Kaseya و Webroot هر دو از احراز هویت دو عاملی پشتیبانی می‌کنند. علاوه بر این، بعد از این رویداد، توسعه‌دهندگان شروع کردند به در اختیار گرفتنِ کارکردِ آن. ظاهراً مهاجمینی که Sodin را توزیع می‌کنند منتظر یک فرصت استثنائی نیستند؛ آن‌ها از قصد دنبال متودهای گوناگونند تا بتوانند این بدافزار را از طریق ارائه‌دهندگان MSP توزیع کنند. به همین دلیل مجبورند به دقت به تمام ابزار دیگر که در این حوزه مورد استفاده قرار می‌گیرند نگاه کنند.
MSPها و خصوصاً آن‌هایی که خدماتی در راستای امنیت سایبری ارائه می‌دهند باید از زیرساخت‌های خود نهایت حراست را بکنند (حتی باید بیش از اینکه حواسشان به زیرساخت کلاینت است به زیرساخت خودشان باشد).
 
شرکت‌های دیگر باید چکار کنند؟
البته که آپدیت کردن نرم‌افزار هنوز هم از مهم‌ترین کارهاست. اینکه بدافزاری با آسیب‌پذیری‌هایی کشف‌شده به زیرساخت نفوذ کند و چند ماه پیش تازه بخواهد پچ شود نشان از سهل‌انگاری در اموری بسیار ساده دارد. شرکت‌هایی که از Oracle WebLogic استفاده می‌کنند ابتدا می‌بایست خود را با مشاوره‌های امنیتی Oracle (برای هر دو آسیب‌پذیری) آشنا کنند- CVE-2019-2725 و CVE-2019-2729. همچنین توصیه می‌کنیم از راه‌حل‌های امنیتی مطمئنی استفاده کنید که زیرمجموعه‌های مجهز به شناسایی باج‌افزار دارند و می‌توانند ایستگاه‌های کار را از گزند آن‌ها مصون نگه دارند.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.