سیمانتک و معرفی باجافزار جدید 3AM و استفاده به عنوان جایگزین در حملات ناکام لاکبیت
در دنیای امنیت سایبری، باجافزارها به عنوان یکی از تهدیدات جدی برای کسب و کارها و کاربران فردی شناخته میشوند. به تازگی، یک خانواده جدید باجافزار به نام "3AM" توسط تیم شکار تهدیدات سیمانتک (Symantec Threat Hunter Team) شناسایی شده است. این باجافزار تاکنون به صورت محدود استفاده شده و به عنوان جایگزینی در یک حمله ناموفق از باجافزار لاکبیت (LockBit) به کار گرفته شده است. در این مقاله، به بررسی دقیق این باجافزار جدید و نحوه عملکرد آن، همچنین روشهای حمله و اقدامات پیشگیرانه خواهیم پرداخت.
باجافزار 3AM: ابزار جایگزین در حملات سایبری
باجافزار 3AM اولین بار توسط سیمانتک در یک حمله مشاهده شد که در آن، مهاجمین قصد داشتند لاکبیت را در شبکه قربانی اجرا کنند. هنگامی که تلاش آنها برای استفاده از لاکبیت مسدود شد، مهاجمین به سراغ استفاده از 3AM رفتند. اگرچه این باجافزار جدید بهطور گستردهای مورد استفاده قرار نگرفته است، اما به دلیل استفاده آن توسط گروههای مرتبط با لاکبیت، انتظار میرود که در آینده بیشتر از آن بشنویم.
این باجافزار با استفاده از زبان برنامهنویسی Rust نوشته شده است، که در چند سال اخیر به دلیل سرعت و امنیت بالا، توجه مهاجمین سایبری را به خود جلب کرده است. پس از اجرای موفقیتآمیز این باجافزار، فایلهای سیستم قربانی رمزنگاری شده و پسوند آنها به ".threeamtime" تغییر میکند. همچنین، یک یادداشت باج در قالب فایلی به نام "RECOVER-FILES.txt" در هر پوشهای که فایلها رمزنگاری شدهاند، ایجاد میشود. این یادداشت حاوی توضیحات مهاجمان در مورد چگونگی بازگرداندن فایلها و پرداخت باج است.
عملکرد و تحلیل باجافزار 3AM
باجافزار 3AM عملکرد خود را با متوقف کردن سرویسهای مختلف در سیستم قربانی آغاز میکند. این سرویسها عمدتاً شامل نرمافزارهای امنیتی و پشتیبانگیری هستند که متوقف کردن آنها باعث میشود مهاجمین بتوانند بدون مزاحمت به رمزنگاری فایلهای سیستم بپردازند. این اقدام شامل توقف سرویسهای مهمی مانند Veeam، Acronis، SQL Server، و برخی دیگر از نرمافزارهای پشتیبانگیری و امنیتی است.
در مرحله بعد، این باجافزار اقدام به رمزنگاری فایلهای سیستم میکند. این فرآیند به گونهای طراحی شده که با استفاده از پارامترهای خاص، سرعت رمزنگاری کنترل میشود. برای مثال، پارامتری به نام "-s" در این باجافزار وجود دارد که میزان دادههایی که باید رمزنگاری شوند را مشخص میکند.
نکته جالب در مورد این باجافزار استفاده آن از کلیدهای دسترسی خاص (Access Key) است. هنگامی که فایلها رمزنگاری میشوند، این کلید دسترسی برای باز کردن قفل فایلها ضروری است و این کلید از طریق دستور "-k" در خط فرمان به باجافزار ارائه میشود.
یادداشت باج 3AM
در یادداشت باجی که توسط 3AM در سیستم قربانیان قرار داده میشود، لحن مهاجمان به گونهای است که به نوعی بر رمز و راز ساعت 3 صبح تأکید میکند. در متن این یادداشت آمده است:
"سلام. ساعت ۳ صبح. زمانی اسرارآمیز، نیست؟ تمام فایلهای شما به طرز مرموزی رمزنگاری شدهاند و سیستمها دیگر کار نمیکنند، نسخههای پشتیبان ناپدید شدهاند. اما ما میتوانیم این مشکل را به سرعت برطرف کنیم و تمامی فایلهای شما را به حالت اولیه بازگردانیم."
مهاجمان در این یادداشت همچنین هشدار میدهند که هرگونه تلاش برای بازیابی دادهها توسط قربانی میتواند منجر به آسیب دائمی به فایلها شود. علاوه بر این، آنها اعلام میکنند که اطلاعات حساس قربانی را به سرقت بردهاند و در صورت عدم توافق برای پرداخت باج، این اطلاعات در دارکوب به فروش خواهند رسید.
ابزارها و تکنیکهای استفاده شده توسط مهاجمان
یکی از نکات مهم در مورد حملهای که توسط تیم سیمانتک مشاهده شد، استفاده مهاجمان از ابزارها و تکنیکهای پیشرفته برای اجرای حمله بود. در مرحله آمادهسازی حمله، مهاجمین از ابزارهای معروفی مانند Cobalt Strike برای جستجو و نفوذ به سیستم قربانی استفاده کردند. Cobalt Strike یکی از ابزارهای محبوب در بین هکرها برای انجام حملات نفوذ و ارتقای دسترسی در شبکههای قربانی است.
همچنین، مهاجمین از دستوراتی مانند gpresult برای دریافت تنظیمات سیاستهای گروهی سیستم و از PsExec برای ارتقای دسترسی به سطح ادمین استفاده کردند. آنها همچنین از whoami، netstat، و quser برای انجام شناسایی شبکه استفاده کردند. این ابزارها به مهاجمین امکان میدهد که اطلاعات بیشتری درباره محیط شبکه قربانی کسب کنند و سرورهای دیگر را برای حرکت جانبی (lateral movement) شناسایی کنند.
تلاشهای مهاجمین برای پایداری در سیستم
علاوه بر رمزنگاری فایلها، مهاجمان از تکنیکهای متعددی برای پایداری در سیستم قربانی استفاده کردند. آنها با ایجاد یک کاربر جدید در سیستم قربانی به عنوان راهی برای دسترسی مجدد به سیستم در صورت نیاز استفاده کردند. همچنین، برای جلوگیری از کشف شدن، اقدام به پاک کردن لاگهای امنیتی و سیستمی با استفاده از دستورات wevtutil کردند.
نقاط ضعف و شکست 3AM
اگرچه مهاجمان موفق به اجرای 3AM در برخی از سیستمهای قربانی شدند، اما موفقیت آنها محدود بود. در حمله مورد بررسی، آنها تنها توانستند باجافزار را در سه سیستم اجرا کنند و در دو سیستم از این سه مورد نیز باجافزار توسط ابزارهای امنیتی مسدود شد. این موضوع نشان میدهد که باجافزار 3AM هنوز کاملاً بهینه نشده و دارای نقاط ضعفی است که میتواند توسط نرمافزارهای امنیتی شناسایی و مسدود شود.
راهکارهای پیشگیری و محافظت
با توجه به اینکه باجافزارها یکی از تهدیدات بزرگ دنیای سایبری محسوب میشوند، پیشگیری از حملات باجافزاری امری حیاتی است. برخی از راهکارهایی که میتوان برای محافظت در برابر حملات باجافزاری مانند 3AM به کار برد، عبارتاند از:
بروزرسانی منظم نرمافزارها و سیستمعامل: بسیاری از باجافزارها از نقاط ضعف امنیتی در نرمافزارها استفاده میکنند. با بروزرسانی منظم این نرمافزارها، میتوان از بسیاری از حملات جلوگیری کرد.
پشتیبانگیری منظم: داشتن نسخههای پشتیبان از اطلاعات حیاتی میتواند در صورت وقوع حمله باجافزاری، به بازگردانی اطلاعات کمک کند. این پشتیبانها باید در مکانی امن و جدا از شبکه اصلی نگهداری شوند.
استفاده از نرمافزارهای امنیتی قوی: نصب و بروزرسانی منظم نرمافزارهای ضدویروس و فایروالها میتواند به شناسایی و جلوگیری از اجرای باجافزارها کمک کند.
آموزش کاربران: بسیاری از حملات باجافزاری از طریق فیشینگ و ایمیلهای مشکوک انجام میشود. آموزش کاربران در مورد نحوه تشخیص ایمیلها و پیوستهای مشکوک میتواند خطر حمله را کاهش دهد.
با ظهور باجافزار جدید 3AM، مشخص شد که مهاجمان سایبری به دنبال یافتن ابزارهای جدید و کارآمدتری برای حملات خود هستند. اگرچه 3AM در مقایسه با سایر باجافزارها مانند لاکبیت هنوز به صورت گسترده استفاده نشده است، اما استفاده از آن به عنوان جایگزین در حملات اخیر نشان میدهد که این باجافزار ممکن است در آینده تبدیل به تهدیدی جدیتر شود. برای مقابله با این تهدیدات، سازمانها باید به بروزرسانی نرمافزارها، تقویت سیستمهای امنیتی و آموزش کاربران خود توجه ویژهای داشته باشند. آلما شبکه نماینده سیمانتک در ایران، آماده ارائه مشاوره در خصوص امنیت سازمان شما، بر اساس نرم افزارهای شرکت سیمانتک می باشد.
