استفاده از نقص امنیتی SMB توسط EternalRocks

0
74
آسیب‌پذیری جدید بر مبنای نقص امنیتی SMB با EternalRocks

محققان اخیرا Worm جدیدی را شناسایی نموده‌اند که از طریق SMB در حال گسترش می باشد با این تفاوت که این نوع جدید در مقایسه با Ransomware یا باج‌افزار WannaCry (که در خبرهای قبلی سایت به آن پرداخته شد) به جای دو ابزار از هفت ابزار NSA استفاده می‌کند.

این Worm زمانی آشکار شد که توانست SMB Honeypot متعلق به Miroslav Stampar (عضو Croatian Government CERT و سازنده‌ی ابزار شناسایی و Exploit آسیب‌پذیری‌های SQL Injection با نام Sqlmap‌) را آلوده نماید.

بهره‌برداری باج افزار جدیدِ EternalRocks از هفت ابزار NSA

این  Worm که از سوی Stampar و بر اساس ویژگی‌های اجرایی یافت‌شده در یک نمونه‌، EternalRock نامیده شده می‌تواند با استفاده از شش ابزار NSA که مبتنی بر SMB بوده یک کامپیوتر را از طریق پورت‌های SMB متصل به اینترنت آلوده نماید. ETERNALBLUE ،ETERNALCHAMPION ،ETERNALROMANCE و ETERNALSYNERGY به عنوان Exploit‌های SMB بوده و برای تهدید کامپیوترهای آسیب‌پذیر مورد استفاده قرار‌می‌گیرند؛ لازم به ذکر است که SMBTOUCH و ARCHITOUCH نیز دو ابزار NSA دیگر محسوب می‌شوند که در عملیات شناسایی SMB کاربرد دارند. این Worm پس از کسب پایگاه اولیه برای خود، از یک ابزار NSA دیگر با نام DOUBLEPULSAR برای نفوذ به سایر سیستم‌های آسیب‌پذیر استفاده می‌کند.

در باج‌افزار WannaCry که بیش از ۲۴۰.۰۰۰ قربانی گرفت نیز از SMB Worm برای آلوده‌کردن کامپیوترها و گرفتن قربانی‌های جدید استفاده شده بود و این در حالیست که WannaCry برخلاف EternalRock تنها از ETERNALBLUE و DOUBLEPULSAR (برای انتشار در سیستم‌های جدید) استفاده کرده بود.

EternalRocks‌ با پیچیدگی بیشتر و خطرات کمتر

EternalRocks به عنوان یک Worm در مقایسه با WannaCry بسیار کم خطرتر  محسوب می‌شود چراکه تا کنون هیچ محتوای مخربی را ارائه نکرده است. با این حال به عقیده‌ی Stampar این موضوع نه تنها به معنای پیچیدگی کمتر EternalRock نیست، بلکه از پیچیدگی بالاتری نیز برخوردار است.

EternalRocks بسیار پیچیده‌تر از WannaCry به حساب می‌آید؛ به این‌ صورت که این Worm پس از آلوده‌کردن قربانی، از یک فرآیند نصب دومرحله‌ای استفاده می‌کند که مرحله‌ی دوم آن با تاخیر اجرا می‌گردد.

در مرحله‌ی اول، EternalRocks اقدام به کسب یک پایگاه در Host آلوده می‌نماید و Tor Client را دانلود می‌کند؛ سپس سرور C&C خود را که برروی یک دامین .Onion موسوم به Dark Web قرار دارد به سمت Host هدایت می‌کند.

پاسخگویی سرور C&C تنها پس از یک دوره‌ی زمانی از پیش تعریف‌شده (در‌حال‌حاضر ۲۴ ساعت) روی می‌دهد. به احتمال زیاد نقشی که این تاخیر طولانی ایفا می‌کند آن است که امکان عبور از محیط‌های آزمایشی Sandbox که به ارزیابی وضعیت امنیت می‌پردازند و همچنین امکان گریز از آنالیز Worm توسط محققان امنیتی را فراهم می‌کند؛ دلیل این تاخیر نیز آن است که تنها تعداد بسیار اندکی از آنها جهت دریافت پاسخ از سمت سرور C&C، یک روز کامل را انتظار می‌کشند.

در‌حال‌حاضر چندین محقق با اجرای نسخه‌های قدیمی‌ و Patch‌نشده‌ی سرویس‌های SMB، به Scan کامپیوترها می‌پردازند. مدیران شبکه‌ها در‌حال‌حاضر اهمیت شرایط را دریافته و برای Patch نمودن PC‌های آسیب‌پذیر یا غیرفعال کردن پروتکل قدیمی SMBv1 فعالیت می‌کنند و به این ترتیب به مرور از تعداد سیستم‌های آسیب‌پذیر و در معرض آلودگی EternalRocks می‌کاهند.

علاوه بر این موارد برخی بدافزار‌ها همچون Adylkuzz با بستن پورت‌های SMB‌ مانع از انجام Exploit‌های بیشتر از سوی سایر تهدیدات می‌گردند. در نتیجه EternalRocks و سایر بدافزارهایی که برای مقاصد خود از SMB استفاده می‌کنند، سیستم‌های کمتری را هدف قرار می‌دهند. Forcepoint ،Cyphort و Secdo به تفصیل گزارش‌هایی از سایر تهدیدات حال‌حاضر که با بهره‌گیری از پورت‌های SMB کامپیوترها را مورد هدف قرار می‌دهند، ارائه کرده‌اند.

Stampar در پایان صحبت‌های خود به مدیران شبکه‌ها هشدار داده است که هرچه سریع‌تر اقدام به Patch نمودن سیستم‌های خود نمایند، چراکه Wom‌ها تلاش می‌کنند تا پیش از اجرای Patchهای امنیتی از سوی مدیران، سیستم‌ها را آلوده نمایند. هرچند که پس از وقوع آلودگی نیز همچنان راه‌هایی برای مقابله با آن وجود دارد.

بدون دیدگاه

دیدگاهتان را بنویسید

*