اخبار

نوع جدیدی از KillDisk سازمان‌های مالی را در آمریکای لاتین مورد هدف قرار داد.

نوع جدیدی از بدافزار KillDisk (پاک‌کننده دیسک) که آزمایشگاه Trend Micro آن را به‌عنوان TROJ_KILLDISK.IUB معرفی کرده است، سازمان‌های مالی را در آمریکای لاتین مورد هدف قرار می‌داد. آنالیز اولیه (که هنوز ادامه دارد) نشان می‌دهد که این KillDisk ممکن است جزء یک payload دیگر یا بخشی از یک حمله بزرگ‌تر باشد. این نسخه جدید KillDisk همچنان تحت بررسی بوده و به‌مرور که جزئیات بیشتری در مورد این تهدید منتشر خواهد شد.

سازمان‌ها و موسسات سیستم‌های خود را به‌روزرسانی کرده، آخرین وصله‌های امنیتی را نصب و از داده‌های خود پشتیبان تهییه کنند.

KillDisk به همراه BlackEnergy که یک جاسوس سایبری چندمنظوره است، در اواخر دسامبر ۲۰۱۵ (دی‌ماه ۹۴) در حملات سایبری علیه بخش انرژی، بانکداری، راه‌آهن و صنایع معدنی اوکراین استفاده شد؛ بعدازآن این بدافزار به تهدیدی برای اخاذی دیجیتال تبدیل‌شده است که Windows و Linux را تحت تأثیر قرار می‌دهد. تاکنون شواهدی مبنی بر باج افزار بودن این بدافزار مشاهده نشده است و بازیابی فایل‌های تخریب‌شده مسئله سیستم‌های آلوده‌شده نیست چراکه این بدافزار فایل‌ها را بازنویسی و حذف می‌کند.

چگونه وارد سیستم می‌شود؟

به نظر می‌رسد که این نوع KillDisk به‌طور عمدی توسط یک پردازه یا مهاجم دیگر وارد سیستم می‌شود. مسیر فایل آن در کد برنامه بدافزار نوشته‌شده است (C:\windows\dimens.exe).

بدافزار KillDisk همچنین دارای یک فرایند خود تخریب است، اگرچه واقعاً خود را حذف نمی‌کند. در اصل هنگام اجرا فایل خود را به c:\windows\0123456789 تغییر نام می‌دهد. این رشته در نمونه‌ای که مورد تجزیه‌وتحلیل قرارگرفته است نیز در کد منبع قرار داده‌شده است. بر این اساس، اگر نرم‌افزار جرم‌شناسی دیسک اجرا شود و نام dimens.exe از طریق آن جستجو شود، فایلی که بازیابی خواهد شد، فایل جدید ایجادشده با محتوای بایت 0x00 خواهد بود.

چگونه فایل‌ها را حذف می‌کند؟

این نسخه جدید KillDisk از طریق تمام درایوهای منطقی (ثابت و جابجایی پذیر) با شروع از درایو b اجرا می‌شود. اگر درایو منطقی حاوی دایرکتوری سیستم باشد، فایل‌ها و پوشه‌های موجود در دایرکتوری‌ها و زیرشاخه‌های زیر از حذف معاف می‌شوند:

  • WINNT
  • Users
  • Program Files
  • Program Files (x86)
  • ProgramData
  • Recovery
  • $Recycle.Bin
  • System Volume Information
  • old
  • PerfLogs

قبل از حذف یک فایل، ابتدا به‌صورت تصادفی آن را تغییر نام می‌دهد. بدافزار KillDisk اولین 0x2800 بایت فایل و بلوک دیگری که بزرگی‌اش به‌اندازه 0x2800 بایت است را با 0x00 بازنویسی می‌کند.

چگونه دیسک را پاک می‌کند؟

بدافزار تلاش می‌کند \\.\PhysicalDrive0 تا \\.\PhysicalDrive4 را پاک کند. رکورد Master Boot (MBR) هر دستگاهی که با موفقیت باز کند را می‌خواند و اولین 0x20 سکتور دستگاه را با 0x00 بازنویسی می‌کند. از اطلاعات MBR برای آسیب‌رسانی بیشتر به پارتیشن‌هایی که لیست می‌کند، استفاده می‌کند. اگر پارتیشنی که پیدا می‌کند یک پارتیشن گسترش‌یافته نباشد، اولین 0x10 بخش و آخرین بخش از حجم واقعی را بازنویسی می‌کند. اگر یک پارتیشن گسترش‌یافته را پیدا کند، رکورد Extended Boot (EBR) را به همراه دو پارتیشن دیگر که به آن‌ها اشاره می‌کند را بازنویسی می‌کند.

بعدازاینکه MBR، فایل‌ها و پوشه‌ها بازنویسی و/یا حذف می‌شوند، چه اتفاقی می‌افتد؟

بدافزار KillDisk دارای یک پارامتر عددی است که تعداد دقیقه (۱۵ دقیقه به‌طور پیش‌فرض) را نشان می‌دهد. این عدد مدت‌زمانی است که بدافزار صبر کرده و سپس ماشین آلوده را خاموش می‌کند. در راستای تلاش برای راه‌اندازی مجدد دستگاه، سعی خواهد کرد که پردازه‌های زیر را متوقف کند:

  • زیرسیستم زمان اجرای مشتری/سرور (csrss.exe)
  • برنامه راه‌اندازی ویندوز (wininit.exe)
  • برنامه ورود ویندوز (winlogon.exe)
  • سرویس زیرسیستم امنیت محلی (lsass.exe)

به‌احتمال‌زیاد برای بازنشانی سیستم و یا اجبار کاربر به راه‌اندازی مجدد سیستم این کار را انجام می‌دهد. به‌عنوان‌مثال، پایان دادن به csrss.exe و wininit.exe، یک صفحه آبی مرگ (BSOD) ایجاد خواهد کرد. پایان دادن به winlogon.exe کاربر را وادار به ورود مجدد به سیستم می‌کند، درحالی‌که پایان دادن به lsass.exe باعث راه‌اندازی مجدد سیستم می‌شود. بدافزار KillDisk همچنین از تابع ExitWindowsEx استفاده می‌کند تا دستگاه را مجدداً راه‌اندازی کند.

سازمان‌ها چه‌کاری می‌توانند انجام دهند؟

توانایی‌های مخرب بدافزار KillDisk و اینکه می‌تواند فقط بخشی از یک حمله بزرگ‌تر باشد، اهمیت دفاع در عمق را برجسته می‌کند: امن کردن محیط پیرامون، از gatewayها، نقاط پایانی و شبکه‌ها تا سرورها، برای کاهش هر چه بیشتر سطح حمله. در اینجا برخی از بهترین روش‌ها برای سازمان‌ها ارائه‌شده است.

  • سیستم و برنامه‌های آن را به‌روز نگهدارید؛ وصله‌های امنیتی را اعمال کرده تا از سو استفاده مهاجمان از شکاف‌های امنیتی جلوگیری شود.
  • به‌طور منظم از داده‌ها پشتیبان گیری کنید و از یکپارچگی آن اطمینان حاصل کنید.
  • از اصل کمترین مجوز دسترسی پیروی کنید. تقسیم‌بندی شبکه و طبقه‌بندی داده‌ها به جلوگیری از حرکت جانبی و قرار گرفتن در معرض خطر کمک می‌کند.
  • مکانیسم‌های امنیتی مانند کنترل برنامه / لیست سفید و نظارت بر رفتار پیاده‌سازی کنید که می‌تواند برنامه‌های مشکوک را از اجرا بازدارد و از تغییرات غیرمجاز سیستم جلوگیری کند.
  • به‌طور فعال سیستم و شبکه را نظارت کنید. فایروال‌ها و همچنین سیستم‌های تشخیص و جلوگیری از نفوذ را فعال کرده و از آن‌ها استفاده کنید.
  • یک سیاست پاسخ به حادثه مدیریت‌شده اجرا کنید که این عمل استراتژی‌های بازدارندگی پیشگیرانه را باعث می‌شود. وضعیت امنیتی سازمان را با تمرکز بر یک محیط کاری آگاه از امنیت سایبری، تقویت کنید.

منبع: Trend Micro

نوع جدیدی از KillDisk سازمان‌های مالی را در آمریکای لاتین مورد هدف قرار داد.
To Top