بدافزارها

باج افزار SamSam
۲۷ فروردین ۱۳۹۷

باج‌افزار SamSam

محققان Cisco Talos به تازگی اعلام کردهاند کمپینی بزرگ و در حال گسترش از انواع باجافزار Samas/Samsam/MSIL.BLC را کشف کردهاند. این کمپین از باج‌افزار با روشی متفاوت بهره می‌برد. SamSam از طریق نفوذ به سرورها اقدام به نفوذ و آلودهسازی شبکه مینماید. طریقه نفوذ به سرور را هم جلوتر شرح خواهیم داد. باجافزار SamSam اکثرا در حملات هدفمند بر ضد سازمانها استفاده میشود. بعد از نفوذ به یک سرور با راهاندازی JexBoss (ابزاری متنباز برای بهرهبرداری از برنامههای کاربردی JBoss) اقدام به گرفتن دسترسی به شبکه مینماید. بعد از دسترسی به شبکه این باجافزار اقدام به رمزگذاری سیستمهایی که سیستمعاملشان ویندوز است میکند.

جزئیات فنی

باجافزار SamSam فایلها را با الگوریتم  Rijndael رمز کرده و کلید آن را با RSA-2048 bit رمز میکند. این موضوع باعث میشود فایل رمز شده بدون داشتن کلید آن قابل رمزگشایی نباشد. این باجافزار از هیچ مکانیزمی برای پنهان کردن فعالیتهایش استفاده نمینماید. در نمونههایی که Talos بررسی کرده هیچگونه مکانیزم anti-debugging ای استفاده نشده است.  

 نکته جالب در مورد این باجافزار این است که اگر یک ماشین با سیستم عامل ویستا و یا قبل از آن را آلوده نماید، فایلی را رمز نمیکند. همچنین این باجافزار مستقل است و نیازی به ارتباط با یک سرور C2 ندارد.

 ابزار

باجافزار SamSam از چندین ابزار متنباز استفاده مینماید. این ابزار عبارتند از: JexBoss که در واقع یک فریمورک برای سنجش و تحلیل برنامههای کاربردی JBoss سرورهاست. این برنامه همانطور که قبلا نیز اشاره کردیم در گام اول و برای نفوذ به سرورها مورد استفاده قرار میگیرد.

ابزار Microsoft Active Directory (csdv.exe) ابزاری است که این باجافزار بعد از نفوذ به سرور از آن استفاده مینماید. بعد از نفوذ به سرور برای شناخت شبکه و کشیدن نقشه شبکه با استفاده از این ابزار و یک سری اسکریپت انجام میشود.

  ابزار سوم tunnel.jsp است، این ابزار قسمتی از فریمورک REGeorg است. این فریمورک متنباز برای ساختن پراکسیهای socks استفاده میشوند. باجافزار SamSam برای برقراری ارتباط از این پروکسیها استفاده میکند.

پرداخت باج

باج درخواستی SamSam یک بیتکوین به ازای هر PC بوده است. بعد از مدتی به ۱٫۵ بیت افزایش یافته همچنین سازندگان این باجافزار انتخاب دیگری یا به عبارتی پیشنهاد ویژهای در اختیار قربانیان گذاشتهاند. در این پیشنهاد برای رمزگشایی تمامی سیستمهای شبکه مبلغ بیست بیت‌کوین پیشنهاد شده است.

 همچنین مواردی دیده شده است که به جای ۱٫۵ بیتکوین برای هر PC مبلغ ۱٫۷ بیتکوین پیشنهاد شده است. همچنین در موارد مختلف کیفپولهای بیتکوینی مختلفی برای پرداخت باج در اختیار قربانیان قرار گرفته است. برخی از آنها حاوی صفر بیتکوین و برخی حاوی مقادیر زیادی بیتکوین بودهاند. در مجموع تخمین زده شده است که رقم ۲۷۵ بیتکوین در این کیف پولها موجود هستند این رقم معادل ۱۱۵٫۰۰۰ دلار آمریکا میباشد.  

نتیجهگیری

کمپین SamSam مانند باجافزارهای دیگر عمل نمینماید یعنی یک کاربر را هدف قرار نمیدهد. بلکه از راه دور یک سرور آسیبپذیر را مورد هدف قرار داده و از طریق آن به شبکه پشت سرش نفوذ میکند. سرورهای وصله نشده JBoss در برابر SamSam آسیبپذیر هستند. وقتی این کمپین از آسیبپذیریهای سرور JBoss بهره‌برداری میکند قبل از نصب یک web shell، شبکه متصل به این سرور را شناسایی کرده و سپس باجافزار SamSam را بر روی سیستمهای شبکه نصب مینماید تا فایلهای موجود بر روی آن، سیستمها را رمزگذاری نماید.

راهکارهای مقابله

آرمان‌ داده پویان نماینده پلاتینویم محصولات کسپرسکی در ایران


تازه ترین ها