رفتن به محتوای اصلی
ثبت گزارش
ثبت گزارش

اپراتورهای باج افزار Ryuk از جعبه ابزار Pentester برای عملیات هدفمند جرائم اینترنتی هدفمند استفاده می‌کنند.

1399-08-29 08:00
تنظیم اندازه قلم

پ

2:06

اپراتورهای باج افزار Ryuk از جعبه ابزار Pentester برای عملیات هدفمند جرائم اینترنتی هدفمند استفاده می‌کنند.

اپراتورهای باج افزار Ryuk از جعبه ابزار Pentester برای عملیات هدفمند جرائم اینرنتی هدفمند استفاده می‌کنند.

امروزه، حملات باج افزار با سرعت زیادی در حال رشد است و این باج افزارهای تهدید کننده، دسترسی زیادی به ایستگاه‌های کاری امروزی پیدا می‌کنند. اخیراً، اقتصاد تقریباً متوقف شده و دفاتر سنتی نیز از بین رفته‌اند.

گروه Advaced Intel کشف کرده است که اپراتورهای باج افزار Ryuk از جعبه ابزارPentester برای عملیات هدفمند جرائم اینترنتی استفاده نموده‌اند و توفیقات زیادی در این زمینه حاصل شده است.

با این حال، تیم پژوهشی امنیت سایبری، زنجیره کشتاری که توسط متجاوزان استفاده و اجرایی شده‌اند را شناسایی کرده است.

عوامل تهدید کننده باج افزار Ryuk از بدافزار خالص مانند BazarBackdoor،Bazaloader و Ryuk استفاده کرده‌اند.

بسیاری از مراحل میانی در زنجیره کشتار وجود دارد که همه انواع ابزارهای تجاری یا ابزارهای منبع باز را درگیر می‌کند.

حوزه‌های فعالیت بدافزار شامل حوزه‌های تکنولوژی، سلامت، انرژی، سرویس‌های مالی و خدمات دولتی است.

آلوده کردن قربانیان در 15 مرحله:

اپراتورهای گروه باج افزار Ryuk شامل 15 مرحله مختلف از نقطه ابتلا به آلودگی اولیه تا توزیع بارهای باج افزار بر روی شبکه قربانیان هستند. در اینجا 15 مرحله به شرح ذیل ذکر شده است:

1-دامنه ادمین رو از طریق اسکریپت "Invoke-DACheck" بررسی می‌کند.

2-رمزهای عبور میزبان رو از طریق Mimikatz جمع آوری می‌کند.

3-توکن (یک نوع رمز ارز دیجیتال) رو عودت می‌دهد و یک توکن برای درخواست رسمی تولید می‌کند.

4-شبکه میزبان را از طریق "net view" تحلیل می‌کند.

5-روی پورت‌های FTP،SSH و.... پورت اسکن انجام می‌دهد.

6-در میزبان‌های قابل دسترسی به فایل‌ها دسترسی پیدا می‌کند.

7-کیت جستجوگر"Adfind" بارگزاری می‌کند.

8-نام آنتی ویروس میزبان را با درخواست "WMIC" نمایش می‌دهد.

9-ابزار بازیابی رمز چند منظوره "LaZagn" را برای اسکن میزبان بارگذاری می‌کند.

10-ابزار بازیابی رمز را استخراج می‌کند.

11- ADFind را اجرا می‌کند و خروجی‌ها را ذخیره می‌کند.

12-پاسخ‌های کاذب ابزار ADFind را حذف می‌کند و خرجی را بارگیری می‌کند.

13-در طول همه حملات Ryuk اجازه دسترسی کامل به همه شبکه را می‌دهد.

14-نرم افزار اجرا از راه دور "PSExec" را بارگیری می‌کند و برای شبکه‌های میزبان برنامه ریزی کرده و آنتی ویروس را غیرفعال می‌کند.

15-اسکریپت‌های اجرایی را بارگیری می‌کند و شبکه میزبان را تجزیه می‌کند و نهایتاً باج افزار Ryuk را از طریق PsExec در کاربران مختلف به اجرا درمی آورد.

شناسایی و کم کردن اثر جملات باج افزار:

طبق توضیحات بالا کاربران با رعایت نکاتی می‌توانند از حملات باج افزار در امان بمانند:

1-اجرای Mimikatz رو در شبکه میزبان کشف کنید.

2-هرنوع فعالیت مراقبتی را ازطریق دستورات "ipconfig‏" ، "net view" و"nltest" را شناسایی و نشانه گذاری کنید.

3-هرگونه فعالیت مربوط به اسکن پورت در داخل شبکه را شناسایی و اطلاع دهید.

4-اجرای PsExec را در شبکه شناسایی کنید.

5-دستورات WIMIC را برای همه فعالیت‌های ضدویروسی شناسایی کنید.

6-ابزارهای AdFinder و LazaGne را در محیط کشف و اطلاع دهید.

کلمات کلیدی :

افزودن دیدگاه جدید

700X100.gif

مطالب آموزشی مرتبط