گسترش باج افزار Locky با استفاده از آسیب پذیری هسته ویندوز و فلش

گسترش باج افزار Locky با استفاده از آسیب پذیری هسته ویندوز و فلشگسترش باج افزار Locky با استفاده از آسیب پذیری هسته ویندوز و فلش

دیسنا - وب سایت خبری و آموزشی شرکتها و محصولات آنتی ویروس

کمپانی امنیتی ترندمیکرو ( Trend Micro ) ، گزارشی را درباره نحوه عملکرد و گسترش ویروس باج افزار Locky منتشر نمود .

به گزارش دیسنا به نقل از ترندمیکرو ، ویروس باج افزار ( باج گیر ) لاکی ( Locky ) از نقص امنیتی موجود در هسته های ( کرنل ) نرم افزارهای میکروسافت و فلش به سیستمهای کاربران نفوذ کرده و خود را گسترش میدهد .

در اوایل آوریل امسال Adobe Flash Player دچار یک حمله سریع و غافلگیرانه با عنوان CVE-2016-1019 شد. طولی نکشید که این نقص توسط Magnitude Exploit Kit مورد استفاده قرار گرفت که آنرا به یک بخش خارج از چرخه Adobe اعمال کرد. این نقص زمینه دانلود مخفیانه یک عملیات مخرب توسط باج افزار Locky را بوجود می آورد.

هرچند، این موضوع بطور کامل تهدیدات برای کاربران را از بین نبرد. ما اخیراً متوجه نوع جدیدی از این حمله شدیم که پیچیدگی غیر عادی را به آن اضافه کرده است. در صدر حمله Flash یک تشدید قدیمی از این حمله در ویندوز با عنوان CVE-2015-1701 به جهت عبور از تکنولوژیهای جعبه شی (سند باکس) مورد استفاده قرار گرفته بود.
رفتار مخرب پنهان
به منظور بررسی این تهدید، ما هم ترافیک شبکه مبتلا شده و هم یک فایل دانلودر (که با عنوان TROJ-LOCKY.DLDRA شناسایی شد) را مورد آزمایش قرار دادیم. تحقیقات نشان داد که ترافیک شبکه CVE-2016-1019 مورد سوء استفاده قرار داشت. در همین حال دانلودر از کرنل بطور عجیبی سوء استفاده کرد و به سرور دستور و کنترل (C&C) که در محل 202[.]102[.]110[.]204:80 قرار دارد متصل و باج افزار Locky را نصب کرد. برای این کار، لازم بود که از چند مکانیزم سطح کرنل سیستم استفاده کند که عبارتند از: آیتم های کاری، تهدیدات سیستم، و فراخوانی های به روش آسنکرون (APC). این ها نیازی به ایجاد هیچ گونه فایلی ندارند و به بدافزار اجازه می دهند بدون شناسایی بر روی سیستم نصب شود.
همچنین دانلودر رفتار مخربش را در زمان اجرا مخفی می کند و با Svchest.exe پروسه سیستم که ویندوز استفاده می کند برای میزبانی سرویس های متعدد، همکاری می کند؛ همینطور با در نظر گرفتن ورژن ویندوز و تاریخی که فایل آسیب پذیر (Win32k.sys) قبلاً تغییر کرده سوءاستفاده خود را می کند که این امر باعث کاهش امکان شناسایی می شود.
این سوء استفاده ها شاید قادر به شناسایی نبوده اند علی الخصوص آنهایی که از تکنولوژی سند باکس استفاده می کنند. بعلاوه این رفتار پنهان سازی براساس این سوء استفاده کرنلی، پیچیدگی زیادی به آن اضافه می کند و آنالیز و شناسایی از طریق سند باکس را بسیار دشوار می سازد.
یک بخش کد در حین آنالیز پیدا شد که سوءاستفاده های کرنلی مختلفی که ممکن است برای ورژن های بعدی ویندوز مورد استفاده قرار گیرند، را پیشنهاد می دهد.
نگاهی به دانلود کننده Locky
TROJ_LOCKY.DLDRA همانند هر دانلودر دیگر، به غیر کاربرد آن در سوء استفاده های کرنلی جهت مخفی کردن رفتار مخربش نیز کاربرد دارد. دیاگرام زیر نگاه کلی به عملکرد معمول آن را نشان می دهد.

Downloader_work_flow
براساس آنالیزهای ما، نمونه دارای ترفندهای ضد دیباگ متعدد و همچنین روش بسته بندی جدیدی هستند. که اینها شامل زنجیره های رمزگشایی API و ساختار آدرس های API در زمان اجرا می باشد.
پروسه اولیه که بعنوان والدین شناخته می شود هیچ کاری جز ایجاد یک شاخه (فرزند) با پارامترهای تصادفی خط فرمان، انجام نمی دهد. سپس، فرآیند فرزند و ورژن سیستم عامل مورد نظر را بررسی کرده و نهایتاً از قابلیت آسیب پذیری CVE – 2015 – 1701 سوء استفاده می کند. اگر چنین بود Svchest.exe بد افزار APC را مجبور به اتصال دوباره به سرورهای C&C و باج افزار Locky را دانلود می کند. آخرین عملیات مخربی که توسط Trand Micro شناسایی شد با عنوان RANSOM_LOCKY.PUY شناخته می شود.
راه انداز آسیب پذیری
زمانیکه فرآیند فرزند اجرا می شود، برای حصول اطمینان از اینکه هنوز آسیب پذیری فوق اصلاح نشده باشد، ورژن سیستم عامل را بررسی می کند. اگر چنین بود، سیستم مورد بهره برداری قرار می گیرد. در غیر اینصورت، دانلودر به سرورهای C&C متصل باقی می ماند، مگر اینکه بخواهد بدون تکنیک پنهان، بصورت مستقیم این کار را انجام می دهد.
جهت برطرف کردن این ایراد، ابتدا دانلودر ClientCopylmage را به شکلDetourClientCopyImage در جدول
ارسال User32.dll!afnDispact در می آورد. از آنجایی که سیستم پاسخ معکوس توسط مایکروسافت ارائه شده است، این API در زمانیکهUSER32!CreateWindowsEx فراخوانده می شود، پاسخ داده می شود.

fig2_CVE-2016-1019
زمانیکه SetWindowLongA اجرا شده است، Fake_WinProc_exploit_403A90 که حاوی کدهای مخرب می باشد به همراه کرنل اجرا می شود.
شبه کدهای بالا نشان دهنده چگونگی اجرای CVE-2015-1701 با فراخوانیCreateWindowExA می باشد.

fig4_CVE-2016-101
فراخوانی که در بالا نشان داده شده، نشان می دهد که چگونه کد باینری مخرب آماده شده در مد کاربر در Fake_WinProc_exploit_403A90 اجرا می شود می باشد با این کار win32k!xxxSendMessage از کرنل فراخوانده می شود.
ترفندهای کاری (سوء استفاده)
بعد از اینکه آسیب پذیری کرنل راه اندازی شد، دانلودر از تکنیک های متعددی برای پنهان کردن خراب کاری خود استفاده می کند. بطوریکه در شکل 1 نشان داده شده است، کرنل از صف های اول یک آیتم کاری مخرب توسط nt!ExQueueWorkItem از فضای پروسه فرزند استفاده می کند. این آیتم های کاری برای ارتقاء کارایی برنامه ریزی و مدیریت شده اند.
زمانیکه روال آیتم کاری مخرب بعد از یک رشته برنامه ریزی شده، فراخوانی می شود، برای پیدا کردن یک پروسه Svchest.exe با پارامتر_k netsvcs”"در خط دستورات خود، تمامی فرآیندهای سیستم را شمارش می کند. سپس به آن حمله کرده، حافظه را به خود اختصاص می دهد و کدهای مخرب را زیر فضای آن کپی می کند و در آخر نیز یک حالت کاربر APC (فراخوانی غیر همزمان) را برای این فرآیند ارائه می دهد.
طراحی به گونه ای است که در این حالت مد کاربر APC تنها در زمینه مشخص شده یا پروسه Svchest.exe قابل اجرا می باشد. وقتی که پروسه Svchost با یک APC مخرب در معرض خطر قرار می گیرد، رشته جدیدی را در فضای خود بوجود می آورد. سپس، این رشته جدید بوسیله فراخوانی یک API خاص، خرابکاری دیگری را دانلود می کند.
اقدامات متقابل
این دانلودر از تکنیک های پیچیده و دقیقی برای اتصال به سرور C&C استفاده می کند. ما معتقدیم این کار برای مخفی کردن خرابکاریها زیر ظاهر طبیعی و رفتار نرمال سیستم صورت می گیرد تا از هرگونه حفاظتی عبور کند.
تعداد نسبتاً کمی از مردم به سوء استفاده از کرنل و هرگونه رفتار ناشی از آن اهمیت می دهند که این می تواند دلیل خوبی برای استفاده دانلودر از این روش باشد. بعلاوه، استفاده از مکانیزم مهیا شده سیستم مثل آیتمهای کاری (APC ها) و ریشه های سیستم معمولاً نادیده گرفته می شوند و بر روی رفتار مخرب نظارتی صورت نمی گیرد؛ که البته انجام چنین کاری، به دلیل اینکه ساختار آنها فرّار است و فقط در زمان اجرا راه اندازی می شوند، بسیار دشوار است.

fig5_CVE-2016-1019
از سویی دیگر، با توجه به اینکه روند انجام کار طوری طراحی شده است که سرویس های متعددی را برای پروسه های دیگر مایکروسافت تهیه می کند، روند اتصال Svchost با شبکه های بیرونی کاملاً عادی به نظر می رسد. در اینجا هدف، مخفی سازی ترافیک شبکه است.
ما به شدت به کاربران توصیه میکنیم سیستم عاملهای خود و نرم افزارهایی مانند آدوب فلش پلیر را آپدیت و بروزرسانی نمایند .
مخصوصآ در مورد باج افزارها که در صورت آلوده شدن به آنها دیگر تضمینی بر برگشت و بازیابی اطلاعات وجود ندارد .
Trend Micro Deep Security and Vulnerability Protection protect systems from threats that may leverage these vulnerabilities via the following DPI rule:

1007572 – Adobe Flash Player Remote Code Execution Vulnerability (CVE-2016-1019)

TippingPoint customers are protected from attacks exploiting the CVE-2016-1019 vulnerability with the following MainlineDV filter:

24253: HTTP: Adobe Flash FileReference Type Confusion Vulnerability

Trend Micro™ Deep Discovery can frequently detect zero-day attacks without an update being needed. Trend Micro endpoint solutions such as Trend Micro™ Security, Trend Micro™ Smart Protection Suites, and Trend Micro Worry-Free™ Business Security already protect user systems from Locky ransomware by detecting the malicious files.

Here is the related SHA1 hash in this attack:

FED07EC9CDE2A7B1581F192644CFA03D680A6245

ترجمه :

شرکت دورانتاش
واحد آموزش و اطلاع رسانی

Locky Ransomware Spreads via Flash and Windows Keel Exploits

منبع خبر

دیسنا : پایگاه اطلاع رسانی امنیت اطلاعات ایران

گفتگوی هم میهن...