نوع جدیدی از بدافزار KillDisk (پاککننده دیسک) که آزمایشگاه Trend Micro آن را بهعنوان TROJ_KILLDISK.IUB معرفی کرده است، سازمانهای مالی را در آمریکای لاتین مورد هدف قرار میداد. آنالیز اولیه (که هنوز ادامه دارد) نشان میدهد که این KillDisk ممکن است جزء یک payload دیگر یا بخشی از یک حمله بزرگتر باشد. این نسخه جدید KillDisk همچنان تحت بررسی بوده و بهمرور که جزئیات بیشتری در مورد این تهدید منتشر خواهد شد.
سازمانها و موسسات سیستمهای خود را بهروزرسانی کرده، آخرین وصلههای امنیتی را نصب و از دادههای خود پشتیبان تهییه کنند.
KillDisk به همراه BlackEnergy که یک جاسوس سایبری چندمنظوره است، در اواخر دسامبر ۲۰۱۵ (دیماه ۹۴) در حملات سایبری علیه بخش انرژی، بانکداری، راهآهن و صنایع معدنی اوکراین استفاده شد؛ بعدازآن این بدافزار به تهدیدی برای اخاذی دیجیتال تبدیلشده است که Windows و Linux را تحت تأثیر قرار میدهد. تاکنون شواهدی مبنی بر باج افزار بودن این بدافزار مشاهده نشده است و بازیابی فایلهای تخریبشده مسئله سیستمهای آلودهشده نیست چراکه این بدافزار فایلها را بازنویسی و حذف میکند.
چگونه وارد سیستم میشود؟
به نظر میرسد که این نوع KillDisk بهطور عمدی توسط یک پردازه یا مهاجم دیگر وارد سیستم میشود. مسیر فایل آن در کد برنامه بدافزار نوشتهشده است (C:\windows\dimens.exe).
بدافزار KillDisk همچنین دارای یک فرایند خود تخریب است، اگرچه واقعاً خود را حذف نمیکند. در اصل هنگام اجرا فایل خود را به c:\windows\0123456789 تغییر نام میدهد. این رشته در نمونهای که مورد تجزیهوتحلیل قرارگرفته است نیز در کد منبع قرار دادهشده است. بر این اساس، اگر نرمافزار جرمشناسی دیسک اجرا شود و نام dimens.exe از طریق آن جستجو شود، فایلی که بازیابی خواهد شد، فایل جدید ایجادشده با محتوای بایت 0x00 خواهد بود.
چگونه فایلها را حذف میکند؟
این نسخه جدید KillDisk از طریق تمام درایوهای منطقی (ثابت و جابجایی پذیر) با شروع از درایو b اجرا میشود. اگر درایو منطقی حاوی دایرکتوری سیستم باشد، فایلها و پوشههای موجود در دایرکتوریها و زیرشاخههای زیر از حذف معاف میشوند:
- WINNT
- Users
- Program Files
- Program Files (x86)
- ProgramData
- Recovery
- $Recycle.Bin
- System Volume Information
- old
- PerfLogs
قبل از حذف یک فایل، ابتدا بهصورت تصادفی آن را تغییر نام میدهد. بدافزار KillDisk اولین 0x2800 بایت فایل و بلوک دیگری که بزرگیاش بهاندازه 0x2800 بایت است را با 0x00 بازنویسی میکند.
چگونه دیسک را پاک میکند؟
بدافزار تلاش میکند \\.\PhysicalDrive0 تا \\.\PhysicalDrive4 را پاک کند. رکورد Master Boot (MBR) هر دستگاهی که با موفقیت باز کند را میخواند و اولین 0x20 سکتور دستگاه را با 0x00 بازنویسی میکند. از اطلاعات MBR برای آسیبرسانی بیشتر به پارتیشنهایی که لیست میکند، استفاده میکند. اگر پارتیشنی که پیدا میکند یک پارتیشن گسترشیافته نباشد، اولین 0x10 بخش و آخرین بخش از حجم واقعی را بازنویسی میکند. اگر یک پارتیشن گسترشیافته را پیدا کند، رکورد Extended Boot (EBR) را به همراه دو پارتیشن دیگر که به آنها اشاره میکند را بازنویسی میکند.
بعدازاینکه MBR، فایلها و پوشهها بازنویسی و/یا حذف میشوند، چه اتفاقی میافتد؟
بدافزار KillDisk دارای یک پارامتر عددی است که تعداد دقیقه (۱۵ دقیقه بهطور پیشفرض) را نشان میدهد. این عدد مدتزمانی است که بدافزار صبر کرده و سپس ماشین آلوده را خاموش میکند. در راستای تلاش برای راهاندازی مجدد دستگاه، سعی خواهد کرد که پردازههای زیر را متوقف کند:
- زیرسیستم زمان اجرای مشتری/سرور (csrss.exe)
- برنامه راهاندازی ویندوز (wininit.exe)
- برنامه ورود ویندوز (winlogon.exe)
- سرویس زیرسیستم امنیت محلی (lsass.exe)
بهاحتمالزیاد برای بازنشانی سیستم و یا اجبار کاربر به راهاندازی مجدد سیستم این کار را انجام میدهد. بهعنوانمثال، پایان دادن به csrss.exe و wininit.exe، یک صفحه آبی مرگ (BSOD) ایجاد خواهد کرد. پایان دادن به winlogon.exe کاربر را وادار به ورود مجدد به سیستم میکند، درحالیکه پایان دادن به lsass.exe باعث راهاندازی مجدد سیستم میشود. بدافزار KillDisk همچنین از تابع ExitWindowsEx استفاده میکند تا دستگاه را مجدداً راهاندازی کند.
سازمانها چهکاری میتوانند انجام دهند؟
تواناییهای مخرب بدافزار KillDisk و اینکه میتواند فقط بخشی از یک حمله بزرگتر باشد، اهمیت دفاع در عمق را برجسته میکند: امن کردن محیط پیرامون، از gatewayها، نقاط پایانی و شبکهها تا سرورها، برای کاهش هر چه بیشتر سطح حمله. در اینجا برخی از بهترین روشها برای سازمانها ارائهشده است.
- سیستم و برنامههای آن را بهروز نگهدارید؛ وصلههای امنیتی را اعمال کرده تا از سو استفاده مهاجمان از شکافهای امنیتی جلوگیری شود.
- بهطور منظم از دادهها پشتیبان گیری کنید و از یکپارچگی آن اطمینان حاصل کنید.
- از اصل کمترین مجوز دسترسی پیروی کنید. تقسیمبندی شبکه و طبقهبندی دادهها به جلوگیری از حرکت جانبی و قرار گرفتن در معرض خطر کمک میکند.
- مکانیسمهای امنیتی مانند کنترل برنامه / لیست سفید و نظارت بر رفتار پیادهسازی کنید که میتواند برنامههای مشکوک را از اجرا بازدارد و از تغییرات غیرمجاز سیستم جلوگیری کند.
- بهطور فعال سیستم و شبکه را نظارت کنید. فایروالها و همچنین سیستمهای تشخیص و جلوگیری از نفوذ را فعال کرده و از آنها استفاده کنید.
- یک سیاست پاسخ به حادثه مدیریتشده اجرا کنید که این عمل استراتژیهای بازدارندگی پیشگیرانه را باعث میشود. وضعیت امنیتی سازمان را با تمرکز بر یک محیط کاری آگاه از امنیت سایبری، تقویت کنید.
منبع: Trend Micro
