آسیب پذیری سرورهای Exchange مورد هدف حملات باج‌افزاری قرار گرفت

آسیب پذیری موجود در سرورهای Exchange با نام ProxyShell مورد هدف باج افزار LockFile قرار گرفت. 

خانواده جدیدی از باج افزارها در ماه گذشته پا به عرصه گذاشت که از ترفندی نوین برای دور زدن راهکارهای امنیتی به نام “کدگذاری متناوب” استفاده می‌کند. توسعه دهندگان LockFile از آسیب پذیری‌های سه گانه ProxyShell موجود در Microsoft Exchange server برای ورود به ایمیل سرورهای ویندوزی وصله نشده بهره می‌گیرد و با حمله NTLM relay (شناخته شده با نام PetitPotam) کنترل دامنه را در اختیار گرفته و فایل‌های موجود را رمزگذاری می‌کند.

تکنیک مورد استفاده LockFile

تکنیک این باج افزار، رمزگذاری تنها ۱۶ بایت متناوب از هر فایل است که این امر به دور زدن تمام راهبردهای امنیتی کمک می‌کند. خانواده‌های بدافزاری BlackMatter ،DarkSide و LockBit 2.0 نیز در گذشته از روش رمزگذاری “بخشی از فایل‌ها” استفاده کرده‌اند اما LockFile به صورت یک درمیان ۱۶ بایت از یک فایل را رمزگذاری کرده که کار شناسایی را به شدت سخت می‌کند. بنابراین، ضد باجگیرهایی که با تحلیل آماری محتویات فایل را زیر نظر دارند، با این روش دور زده می‌شوند و فایل به صورت آماری سالم به نظر می‌رسد چرا که تنها بخشی از آن رمزگذاری شده است.

LockFile قبل از اقدام به رمزگذاری فایل‌ها و به محض ورود به سیستم، با استفاده از رابط مدیریتی ویندوز (WMI) تمام پردازه های حیاتی که مورد نیاز پایگاه های داده ویندوز می‌باشد را از کار می اندازد. در نهایت نیز پس از انجام عملیات رمزگذاری و به سرقت بردن اطلاعات مورد نظر قربانی، فایل باج افزار به سرعت از سیستم حذف شده که همین موضوع کار شناسایی و بررسی باج افزار را برای نرم افزارهای امنیتی پیچیده‌تر می‌کند. پسوند اضافه شده به فایل‌های رمز شده lockfile. بوده و متن نمایش داده شده به کاربر نیز شباهت‌های بسیاری به متن به کار رفته از سوی بدافزار LockBit 2.0 دارد.

راهکارها

1. وصله‌های مربوط به آسیب پذیری ProxyShell منشر شده از سوی مایکروسافت را نصب نمایید تا از نفوذهای احتمالی جلوگیری کنید:
   • CVE-2021-34473
   • CVE-2021-34523
   • CVE-2021-31207
2. ضدباج‌گیر پادویش، این باج افزار را شناسایی و از سیستم شما محافظت می‌کند. برای مطالعه سایر راهکارهای مقابله با باج‌افزارها، به مقاله توصیه‌نامه امنیتی پادویش در مقابله با باج‌افزارها و سایر تهدیدات سایبری در پایگاه دانش پشتیبانی امن‌پرداز مراجعه نمایید.
3. در صورت رویت مورد مشکوک یا عدم توانایی در بررسی فارنزیک، با تیم‌های متخصص فارنزیک تماس بگیرید (شرکت امن‌پرداز مانند همیشه آماده ارائه مشاوره در خصوص مسائل امنیتی و بررسی فارنزیک می‌باشد).