اشتراک امنیت
مرکز امنیت و‌ رخدادهای‌ سایبری | APK

حملات باج‌افزاری مخفیانه با استفاده از ماشین مجازی

حملات باج‌افزاری

‌ماشین‌های مجازی ابزار مناسبی برای تحلیل‌گران تهدید هستند زیرا آنها بدافزار را Debug و بررسی می‌کنند. اما حالا مستنداتی از مهاجمان سایبری مخربی وجود دارد که با سواستفاده از یک ماشین مجازی، حملات باج‌افزاری Ragnar Locker را مخفی می‌کنند.

محققان Sophos که این ترفند را آشکار کردند ادعا می‌کنند که چنین حقه‌ای، اولین مرحله حملات باج‌افزاری و احتمالا هر عملیات بدافزاری است. مارک لومان سرپرست بخش مهندسی و کاهش تهدیدات در Sophos طی مصاحبه‌ای با SC Media گفت: این ترفند به خوبی خود را با باج‌افزار سازگار کرده و از آنجا که هدف آن رمزگذازی فایل‌هاست، مهاجمان می‌خواهند تا این امر توسط یک برنامه کاربردی قابل اعتماد انجام شود. 

در مطلبی مربوط به این بحث، آقای لومان توضیح می‌دهد که حملات باج‌افزاری با استفاده از محیط ماشین مجازی سطح جدیدی از گریز از سیستم دفاعی را به همراه داشته است. به دلیل اینکه وقتی کد مخرب قادر است دیسک‌ها و درایوهای یک میزبان آلوده را مورد هجوم قرار دهد، نرم‌افزار امنیتی نصب شده می‌گوید که میزبان نمی‌تواند به بدافزار دسترسی داشته باشد. سیستم‌های دفاعی تنها بر ماشین‌های فیزیکی نظارت دارند نه ماشین‌های مجازی.

شرکت APK دارای مجرب ترین تیم طراحی امنیت شبکه و SOC/SIEM در کشور


Sophos تکنولوژی ماشین مجازی را به عنوان یک Oracle VirtualBox Hypervisor از سال 2009 معرفی کرده – اما در آن زمان، این تکنولوژی با عنوان Sun xVM VirtualBox شناخته می‌شد، (نسخه 3.0.4). Oracle بعدا می‌خواست به Sun Microsystems برسد.  

این حمله از یک امر Windows Group Policy Objects برای اجرای Microsoft Installer استفاده کرده و سپس بسته MSI بی‌علامت را از یک سرور وب Remote، نصب می‌کند. این بسته ماشین مجازی، فایل Image دیسک مجازی (VDI) که حاوی فایل اجرایی باج‌افزار است، و فایل‌های اضافی دیگری که از زنجیره آلودگی پشتیبانی می‌کنند را Deploy می‌کند.

بیشتر بخوانید: ده روش کاربردی جهت محافظت سازمان ها در مقابل باج‌افزار

به عنوان بخشی از فرآیند آلودگی، Ragnar Locker نسخه‌های Shadow Copy را حذف می‌کند تا مانع ذخیره‌سازی دوباره فایل‌ها شود. این فایل‌ها شامل تمامی دیسک‌های Local، درایوهای متصل قابل جداسازی و درایوهای شبکه Mapشده در ماشین مجازی هستند. بنابراین آنها می‌توانند پیکربندی شوند تا با استفاده از پوشه‌های به اشتراک گذاشته شده از درون ماشین مجازی قابل دسترسی باشند.

 لومان در مصاحبه خود شرح می‌دهد: برای اینکه یک باج‌افزار بر ماشین مجازی تاثیرگذار باشد، نیازمند تاثیر گذاشتن بر داده‌ها در دنیای واقعی است. برای انجام این کار، مهاجم با استفاده از پوشه‌های اشتراکی، مجرایی از ماشین مجازی به دامین فیزیکی ایجاد می‌کند که سرانجام طبیعی Hypervisor راه‌اندازی ماشین مجازی است. با وجود اینکه محافظت Endpoint تنها می‌تواند ماشین‌های فیزیکی را کنترل کند و هیچ تاثیری بر نوع مجازی آن ندارد، ماشین Ghost برای شناسایی بدافزار، ازدسترس خارج است، بنابراین باینری باج‌افزار، آزادی کاملی در ماشین مجازی دارد.

سپس، باج‌افزار لیستی از نام‌های فرآیندها و سرویس‌ها فراهم می‌کند و هرکدام که باز باشند را نابود می‌کند تا همانطور که باج‌افزار می‌خواهد رمزگذاری شوند. Sophos توضیح می‌دهد که این لیست‌ها به محیط شبکه سازمان قربانی اختصاص دارند و شامل نام‌های فرآیندها و سرویس‌هایی هستند که به نرم‌افزار محافظتی End Point تعلق دارند.

این جایی نیست که تغییرات شخصی‌سازی پایان یابد، Sophos مشاهده کرده که باج‌افزار برای هر هدفی بطور جداگانه کامپایل می‌کند، درست طبق توضیحات گزارش باج‌گیری که بطور ویژه به نام شرکت قربانی رجوع می‌کند. باج‌افزاری که درون محیط مجازی فعالیت می‌کند، فرآیندها و رفتارهایش بدون مانع است زیرا خارج از دسترسی نرم‌افزارهای امنیتی در ماشین فیزیکی میزبان هستند.

خوشبختانه، آقای لومان به SC Media گفت که چنین حملات بدافزاری ای، پیش از وارد شدن خسارت می‌توانند شناسایی شوند. محافظت End Point با مدل Zero-Trust در مقابل باج‌افزار، همچنان می‌تواند فرآیند Hypervisor  که ماشین مجازی را راه‌اندازی می‌کند را مانیتور کند. با بررسی دقیق هر فایلی که Hypervisor   با آن در دنیای واقعی تماس دارد، این حملات بدافزاری قابل شناسایی هستند  اگر یک سند یا تصویر با رمزگذاری از شکل طبیعی خود خارج شده باشد.   

مقاله های مرتبط:

پکیج آموزشی VMware NSX شرکت APK