أسبوع الأمن 22: برامج الفدية في جهاز افتراضي

في الأسبوع الماضي، كشفت المتخصصين سوفوس التفاصيل من راجنار المنجد طروادة التشفير مثيرة للاهتمام (المقالة في زدنيت والتقنية آخر على بلوق سوفوس ل). يقوم برنامج الفدية بسحب جهاز افتراضي كامل إلى النظام الذي تمت مهاجمته ، والذي يبدأ فيه ، ويحصل على الوصول إلى نظام الملفات المضيف ويقوم بتشفير البيانات. من بين أمور أخرى ، تظهر هذه الحالة أن تضخم المثبت وصل إلى البرامج الضارة. لإخفاء الشفرة الخبيثة الفعلية التي يبلغ حجمها 49 كيلوبايت ، يتم تسليم المثبت 122 ميغابايت للضحية ، والذي يتم فك ضغطه إلى 282 ميجابايت.

وفقًا لـ Sophos ، تستخدم برامج الفدية مجموعة موجهة نحو الأعمال. ومن الأمثلة على ذلك الهجوم على مورّد الكهرباء Energias de Portugal. ويزعم أن 10 تيرابايت من البيانات قد سُرقت منهم ، وطُلبت 1580 بيتكوين لفك تشفير المجرمين الإلكترونيين. في الوسائط ، يتم وصف عملية الجهاز الظاهري بأنها خدعة فعالة لتجاوز برامج مكافحة الفيروسات. ولكن في الواقع ، لا يتطلب هذا "الابتكار" أي تغييرات في تقنيات الأمان.

فقط التطبيق الصحيح للموجودات الحالية ضروري.

لم يذكر تقرير الشركة بالضبط كيفية إصابة الكمبيوتر. لإطلاق كائن ضار ، يجب عليك إما إقناع المستخدم للقيام بذلك أو الاستفادة من الثغرة الأمنية. لا يوجد سوى تلميح لاستغلال الثقوب أو كلمات المرور البسيطة لاتصال RDP. وبعبارة أخرى ، فإن الهجمات على موفري الخدمات المدارة ، بعبارة أخرى ، لمسؤولين عن بُعد من شركة أخرى لديهم حق الوصول الكامل إلى البنية التحتية للضحية المحتملة. بما فيه الكفاية لاختراق مثل هذه المنظمة لتكون قادرة على مهاجمة عملائها.

ثم كل شيء بسيط. تم تثبيت جهاز Oracle Virtualbox الظاهري على الكمبيوتر ، وهو قديم بشكل لا يصدق - إصدار 2009 ، أيضًا نيابة عن Sun. باستخدام البرنامج النصي ، يتم إرسال معلمات التكوين للجهاز الظاهري. تم إطلاق صورة مقطوعة لنظام التشغيل Windows XP (MicroXP 0.82 ، بناء 2008). يتم إنشاء اتصال شبكة افتراضية ويرتفع الوصول إلى كافة الأقراص الموجودة على المضيف:

لم يتم وصف عملية التشفير في منشور Sophos. قبله ، يغلق برنامج نصي آخر قائمة التطبيقات والخدمات على النظام الرئيسي من أجل فتح الملفات القابلة للتحرير. في النهاية ، يتم وضع ملف نصي مع طلب فدية على الكمبيوتر المهاجم.

لا توجد تقنيات متقدمة هنا: هذه آلة افتراضية معدة ومجموعة من البرامج النصية. من وجهة نظر الحل الوقائي ، لا يختلف مثل هذا الهجوم بشكل أساسي عن المظهر على شبكة الشركة لجهاز كمبيوتر مصاب يمكنه الوصول إلى مجلدات الشبكة. نعم ، هناك فارق بسيط - من الواضح أن البرامج الضارة على الجهاز الذي تمت مهاجمته لا تظهر حتى: فهي مخفية داخل صورة افتراضية ، ويتم تشغيل البرامج الشرعية فقط.

يتم حل المشكلة عن طريق تحليل سلوك البرنامج أو الإجراءات من الكمبيوتر البعيد للعلامات الواضحة "أريد تشفير شيء ما هنا." طريقة غريبة للتوفير في تطوير التقنيات الخبيثة المعقدة.

ماذا حدث

وقد سجل نشرت تفاصيل الهجوم على EasyJet. بين أكتوبر 2019 ويناير 2020 ، سرق مجرمو الإنترنت معلومات بطاقة الائتمان من عدد صغير نسبيًا من العملاء (وفقًا للأرقام الرسمية ، حوالي 2200). استنادًا إلى تقارير الضحايا ، فقد أثر تسرب معلومات الحجز (ولكن ليس بيانات الدفع) على ملايين المستخدمين. تشير

Trustwave إلى أن المهاجمين يستخدمون خدمة Google Firebase. يتم استخدام خدمة تم إنشاؤها للمطورين لاستضافة صفحات التصيد. هذه مجرد واحدة من محاولات عديدة لاستخدام أدوات Google الشرعية في الهجمات السيبرانية. يهاجم مجرمو الإنترنت الخدمات لدفع تعويضات لضحايا الوباء. جديد (ولكن ليس الوحيد)

مثال على ذلك الهجمات على الخدمات الحكومية في الولايات المتحدة. تستخدم المجموعة ، التي يُزعم أنها تعمل من نيجيريا ، بيانات من المقيمين والشركات لإرسال تعويضات إلى حساباتهم المصرفية. تم

توقيف الموزع المزعوم لقاعدة بيانات اسم المستخدم وكلمة المرور والمعروفة باسم Collection 1. وكانت هذه القاعدة متاحة في الأصل في السوق السوداء ، وقد تم إتاحة قاعدة البيانات هذه التي تضم 773 مليون إدخال للجمهور في يناير الماضي.

وجد باحثون من المملكة المتحدة وألمانيا وسويسرا ثغرة جديدة في بروتوكول البلوتوث ( الأخبار والعمل البحثي) تسمح أوجه القصور في عملية التفويض للمهاجم بمحاكاة جهاز أقامت الضحية اتصالًا به بالفعل. تم تأكيد المشكلة على عينة من 31 جهازًا مزودًا بتقنية Bluetooth ، على 28 مجموعة شرائح مختلفة.