در این مقاله سعی شده است به ویروس جدیدی از خانواده Ransom ware پرداخته شود که چند روزی است در ایران و در دیتاسنتر های ایرانی فعال شده است. این بدافزار با سرعت بسیار بالا در طی مدت چند ساعت کلیه اطلاعات روی ابزارهای ذخیره سازی مانند هارد دیسک ها، در صورت اتصال گوشی موبایل و فلش دیسک ها و تمام ابزارهای متصل به کامپیوتر شما را رمز می کند و تا این لحظه روشی برای رمز گشایی یافت نشده است.

در این لحظه (نهم اسفند ماه 1394) متاسفانه هنوز ضد ویروس های جاری مانند Norton Antivirus, Bitdefender,  Nod 32, caspersky , A Trend, macafee, Microsoft Security essentials قادر به تشخیص این ویروس نیستند. از علائم این ویروس تغییر نام فایلها و قرار گرفتن آدرس ایمیل در آکولاد است مثلاً sitebike.jpg به sitebike{evo_vector@AOL.com}.xtbl
تغییر نام پیدا می کند و محتویات آن با کلیدی نامعلوم رمز می گردد. پس از مطالعه و مشورت با همکاران امنیت سایبری، همچنین راه حل های ارائه شده در سایت مایکروسافت و چندین مرجع دیگر، عملا در این لحظه راه حلی برای بازیابی اطلاعات وجود ندارد. جهت پیشگیری، اطلاعات مهم خود را بر روی دی وی دی یا مدیاهای فقط خواندنی بکاپ بگیرید. 

کشف بد افزار

یک روز قبل از انتشار این مستند ، این شرکت از طرف یکی از کارفرمایان بزرگ بازار سرمایه ، گزارشی مبنی بر وجود اشکال در یکی از موتورهای جستجوی وب سایت دریافت کرد. پس از بازبینی سورس کد توسط تیم فنی و عدم مشاهده هیچگونه اشکال، تیم فنی عامل این اشکال را از سمت سرویس دهنده (سرور) بانک اطلاعاتی یافت. لذا در اولین ورود از طریق RDP وجود فایلهایی ناشناس نشانه ای برای یک اتفاق ناخوشایند امنیتی جلب توجه می نمود. 

در اسرع وقت با گروه امنیت تماس حاصل شد و به دستور تیم امنیتی ، به سرعت دستور بر برپایی سرور جدید داده شد و ماشین مجازی آلوده به بد افزار برای آزمایش بیشتر به انکوباتور ویروس ارسال گردید.

احتمالات ممکن

عموماً هر نوع نشانه عکس العمل یا اطلاعات غیر عادی نشانه ضعف امنیتی است که باید در اسرع با دفت تمام برای پیش بینی اتفاقات آتی مورد بازبینی قرار گیرد.

در این سناریو ، چندی از احتمالات ممکن برای بازبینی بیشتر در دستور کار قرار گرفت :

• بروز XSS یا یک نوع از Injection فایل آلوده به بد افزار 
• وجود نقص امنیتی در پیکربندی سرور
• عامل خارجی مانند بدافزار و نقص  اپراتوری سیستم عامل
• آلودگی به بدافزار به صورت خودکار با استفاده از ضعف سیستم عامل

بررسی سناریو اول : ارسال فایل آلوده به ویروس و فرایند اجرای بد افزار

متاسفانه یا خوشبختانه، نوک اولین پیکان همیشه به سمت برنامه نویسان و تولید کنندگان نرم افزار گرفته می شود. اما در این مورد آلودگی به بدافزار، سناریو آلودگی و اجرای بدافزار به دلایل زیر دور از منطق به نظر می آمد.

• ابزار مورد استفاده طی بازبینی های دوره ای، توسط نرم افزار ها و هکر های کلاه سفید مورد آزمایش قرارگرفته بود.
• ابزار توسط Web Application Firewall  در لایحه 7 در حال بازبینی لجظه ای بوده است.
• گاربر اجرا کننده سیستمی توسط Trust Level به سطح یک پراسس ایزوله شده.
• با توجه به معماری نرم افزار ، تمام مسیرهای ممکن ورودی تمام متد ها مانند Get / Post / Put  و...  ، تک به تک توسط ابزارهای متفاوت در خود مدیر محتوا کنترل می گردد.
• سیستم گزارش هوشمند خطاها ، در صورت بروز هر نوع خطای نرم افزاری روی سرور ، اطلاعات خطا را ذخیره و برای دپارتمان نرم افزار ارسال می نماید. در این مرحله طی فرایند اداری تعریف شده ، تک تک خطاها مورد بازبینی قرار گرفته و با توجه به درجه امنیت توسط گروه مرتبط برنامه نویسی مورد بازبینی قرار می گیرد.

بررسی سناریو دوم : نقص امنیتی در پیکربندی سرور

• سرویس دهنده وب ترکیبی از 3 ماشین متفاوت با سطوح دسترسی مشخص در سیستم عامل عملاً امکان اجرای ویروس را سلب می کرد. زیرا بخش های داینامیک مدیر محتوا توسط یک وب سرور، محتوای استاتیک و ارسالی توسط کاربر در سرور دیگر که توسط یه File Handler بازبینی شده و فقط به صورت بسته های اطلاعاتی به سمت کاربر هدایت می گردد و دسترسی برای اجرای برنامه (Execute) ندارد و سرور بانک اطلاعاتی که فقط محل ذخیره سازی اطلاعات صفحات و متون است، اگر هکر احتمالی قدرت ارسال بد افزار را به سرویس دهنده می داشت حداکثر قادر به آلوده کردن سرور محتوای ایستا را داشته و حتی در صورت بروز حمله ، فقط قادر به تغییر محتوای استاتیک بوده است. با توجه به آلوده شدن سرور بانک اطلاعاتی و با اطمینان از مسدود سازی Shell execute های SQL Server  و کاربر اختصاصی سرویس، ارسال بد افزار از سمت وب سایت بسیار بعید به نظر می رسید.
• با توجه به تفکیک دقیق دسترسی های کاربر و Application Pool  و تنظیمات صحیح Trust Level عملاً کاربر سرویس وب سایت امکان اجرای هیچ نوع نرم افزاری خارج از محیط ایزوله نرم افزار را نداشته است.
• بجز بخش عمومی، دسترسی ها در سطح سیستم عامل به شکلی تنظیم شده بود که حتی با دسترسی به سیستم عامل ، امکان نوشتن اطلاعات توسط کاربر واسط وجود نداشته است. (Folder Permissions)

بررسی سناریو سوم : وجود بد افزار و استفاده از نقایص اپراتوری سیستم عامل

پس از بررسی سناریو های اصلی و چندین سناریو فرعی و بازبینی فعالیت ناصحیح، وجود ویروس بیشتر به واقعیت نزدیک بود. لذا قرارگرفتن این ماشین در انکوباتور بدافزار و ایزوله کردن آن در دستور کار قرار گرفت که نتیجه این آزمایش خودخوری فایلها ، رمز شدن و غیر قابل استفاده شدن به مرور بود. نکته بسیار نگران کننده این واقعه ، نوع آلوده شدن این سرور به بدافزار بود که با توجه به استفاده این ماشین و عملاً عدم نیاز به لاگین به سیستم بجز موارد مورد کنترل لاگ ها ، محدودیت دسترسی کاربران به این سرور به دلایل امنیتی، همچنین عدم امکان آسان دسترسی به سرور در مرکز داده ، عامل خطای انسانی بعید به نظر می رسد. 

آلودگی به بدافزار به صورت خودکار با استفاده از ضعف سیستم عامل

پس از پیگیری های مکرر و صحبت با افراد دسترسی مسجل شد ، اشکال به وجود آمده ناشی از اشکال در سیستم عامل سرویس دهنده بوده است. در این مرحله با توجه به عدم وجود اطلاعات کافی از سورس برنامه نویسی هسته سرور ویندوز، عملاً تحلیل اتفاق بسیار پیچیده به نظر می آمد. لذا با همکاری تیم برنامه نویسی و امنیت شبکه، شروع به تحلیل و بازخوانی سورس کد (Low Level Assembly Debug) پروسس های فعال امری بسیار الزامی بود. پس از ساعت ها Debug کردن پروسس ها و تحت نظر گرفتن منابع مورد نظر هر برنامه درحال اجرا، بدافزار شروع به فعالیت  نموده و به شکل نسبتاً خاموشی شروع به از بین بردن فایل ها کرد. در همین حال، پس از بررسی دقیق تر سرویس WMI ویندوز احتمال وجود اشکال در سیستم عامل قوت گرفت. Windows Management Instrumentation عموماً برای نصب نرم افزار به صورت خودکار نرم افزارهایی مانند Microsoft Office در شبکه های بزرگ مورد استفاده قرار می گیرد،

واقعه ناخوشایند و زنگ خطر

همزمان با عملیات مطالعه عکس العمل بد افزار متاسفانه خبر بسیار ناخوشایند آلودگی دیگر سرویس دهنده ها دریافت شد. این خبر زنگ شروع یک بحران را به صدا در آورد. در این لحظه دیگر پیدا کردن عکس العمل آتی بدافزار به علت از دست رفتن داده ها با سرعت بسیار زیاد ، در اولویت دوم قرار می گرفت.  تصمیم در این لحظات سخت بر حفظ اطلاعات و حتی الامکان جلوگیری از پخش بیشتر گرفته شد. با توجه به شناخت اولیه از رفتارهای بدافزار، تنها کار ممکن استخراج داده های زنده ، قبل از دسترسی ویروس به بزرگترین دغدغه تیم تبدیل شد.

روش فعالیت بدافزار

با توجه به نیاز به زیرساخت سخت افزاری گسترده و نیاز به استفاده بهینه از سخت افزارها، تمام محیط برنامه نویسی در یک سرور پرقدرت ضمن کاهش هزینه ، آسیب پذیری را نیز بالاتر می برد و در صورت بروز بدافزارهایی مانند این سناریو، از بین رفتن محیط کار به معنای دوباره رفتن راه گذشته است. این دوباره کاری بستگی به تیم پشتیبان فنی و زمان آخرین بکاپ دارد. نکته خوب کشف شده در این بدافزار، پایبندی به حروف الفبای انگلیسی آن است.  یعنی به ترتیب کاراکترهای ASCII شروع به آلوده کردن فایل ها می کند. از شانس خوب مجموعه، چند فولدر بسیار حجیم سر راه این بدافزار قرار گرفته بود. اولین آنها Recycle Bin$ و دومین پوشه Download بود که با وجود حدود 500 گیگابایت حجم زمان بیشری به ما برای مهار ویروس داد.

تصویر نمونه فایل های رمز شده غیر قابل بازگشت

در ادامه مقاله در فایل بعدی خواهید خواند :

• هدف ویروس : اخاذی
• احتمال سنتریو دزدی و ارسال اطلاعات
• روش جلوگیری در فایروال
• استفاده از ابزارهایی مانند VmWare  و مجازی ساز ها برای کنترل بدافزارها
• روش های پشتیبان گیری دقیق و منظم
• کنترل ترافیک - بلاک شده
• راه حل های سریع

برای بازدید از این گزارش، از شما سپاس گزاریم.

تیم امنیت سایبری تحولگران عرصه اطلاعات.

منابع : 

• تیم تحقیق و توسعه نرم افزار شرکت تحولگران عرصه اطلاعات ، گزارش 348
• تیم امنیت سایبری شرکت تحولگران عرصه اطلاعات : گزارش 362
•  
• https://en.wikipedia.org/wiki/
  Windows_Management_Instrumentation
• https://msdn.microsoft.com/en-us/library/aa394582(v=vs.85).aspx
• https://msdn.microsoft.com/en-us/library/ms811530.aspx
• https://msdn.microsoft.com/en-us/library/ms811553.aspx
• https://www.microsoft.com/en-us/download/details.aspx?id=8572
• http://j-interop.org/
• http://www.theregister.co.uk
  /2014/08/06/decryptolocker/
• https://blogs.technet.microsoft.com/mmpc
  /2015/08/09/emerging-ransomware-troldesh/
• https://www.microsoft.com/security
  /portal/threat/Encyclopedia
  /Entry.aspx?Name=Ransom:Win32/Troldesh.A