استفاده از ماشین‌های مجازی برای جلوگیری از شناسایی‌شدن توسط باج‌افزار Ragnar Locker

مدیر

براساس گزارش‌های منتشرشده، باج‌افزار Ragnar Locker از یک ماشین مجازی کامل برای جلوگیری از شناسایی‌شدن خود استفاده می‌کند.

به گفته‌ی محققان امنیتی، مجرمان سایبری پشت باج‌افزار Ragnar Locker از بهره‌برداری‌های مختلف یا هدف قراردادن اتصال‌های پروتکل دسترسی از راه دور به دسکتاپ برای به خطرانداختن شبکه‌ها و همچنین، سرقت داده‌های شبکه‌های هدف و به این ترتیب، باج‌خواهی از قربانیان استفاده می‌کنند. به‌عنوان بخشی از حمله‌ی اخیراً مشاهده‌شده، این باج‌افزار درون یک ماشین مجازی Oracle VirtualBox Windows XP اجرا شده است. برای این منظور، مهاجمان برای اجرای msiexec.exe و نصب مخفیانه‌ی یک بسته‌ی MSI ۱۲۲ مگابایتی، از یک وظیفه‌ی Group Policy Object ویندوز استفاده کرده‌اند.

این بسته، حاوی یک ناظر ماشین مجازیِ قدیمی Oracle VirtualBox (Sun xVM VirtualBox، نسخه‌ی ۳٫۰٫۴ از تاریخ ۵ آگوست سال ۲۰۰۹ میلادی) و یک فایل تصویری دیسک مجازی (VDI) است که شامل فایل اجرایی باج‌افزار Ragnar Locker با حجم ۴۹ کیلوبایت می‌باشد.

بسته‌ی MSI همچنین یک فایل اجرایی، یک فایل دسته‌ای و چند فایل پشتیبانی را مستقر می‌کند. اسکریپت دسته‌ای نیز به نوبه‌ی خود، افزونه‌های VBoxC.dll و VBoxRT.dll، به همراه درایور VboxDrv.sys برای برنامه‌ی VirtualBox را ثبت و اجرا می‌کند. در مرحله‌ی بعد، این اسکریپت پس از فهرست‌کردن دیسک‌های محلی، درایوهای قابل‌حمل متصل و درایوهای شبکه‌ی نقشه‌برداری‌شده، به‌منظور غیرفعال‌کردن قابلیت اطلاع‌رسانی AutoPlay، سرویس Windows Shell Hardware Detection را متوقف و نسخه‌های volume shadow موجود در رایانه را حذف می‌کند.

همچنین، فایل دسته‌ای فهرستی از ۵۰ فرآیند (عمدتاً برنامه‌های خط شغلی، پایگاه داده، مدیریت از راه دور و برنامه‌های پشتیبان) را مرور کرده و آن‌ها را خاتمه می‌دهد. به این ترتیب، فایل‌های مرتبط با آن‌ها قفل شده و برای رمزنگاری در دسترس قرار می‌گیرند. فهرست فرآیندهای هدف در یک فایل متنی ذخیره شده و به فهرست نام سرویس‌‌های متناسب با محیط شبکه‌ی سازمان قربانی ضمیمه می‌شود. در مرحله‌ی بعد، اسکریپت مذکور ماشین مجازی و باج‌افزار را که در آن به‌عنوان vrun.exe اجرا می‌شود، آغاز می‌کند.

این ماشین مجازی با رم ۲۵۶ مگابایتی، یک CPU، یک فایل micro.vdi ۲۹۹ مگابایتی و یک آداپتور شبکه‌ی Intel PRO/1000 متصل به NAT اجرا می‌شود. به گفته‌ی محققان، باج‌افزار اجراشده در داخل این ماشین مجازی، به‌طور انحصاری برای هر قربانی کامپایل می‌شود، زیرا یادداشت باج ارائه‌شده توسط آن، حاوی نام قربانی است.

در نهایت، این اسکریپت می‌تواند درایوهای مشترک پیکربندی‌شده در micro.xml را روی دستگاه میزبان نصب کند، به‌گونه‌ای که باج‌افزار می‌تواند به دیسک‌های محلی، درایوهای قابل‌حمل متصل و درایوهای شبکه‌ی نقشه‌برداری‌شده به‌صورت مستقیم از ماشین مجازی مهمان دسترسی داشته باشد. زمانی که باج‌افزار در داخل ماشین مجازی مهمان اجرا شود، فرآیند و رفتار آن از دسترس نرم‌افزارهای امنیتی موجود در دستگاه میزبان خارج است. داده‌های مربوط به دیسک‌ها و درایوهای ماشین فیزیکی نیز توسط VboxHeadless.exe، نرم‌افزار مجازی‌سازی VirtualBox مورد حمله قرار می‌گیرند.

منبع

پست‌های مشابه

Leave a Comment