نوع جدیدی از باجافزار Satan که بهتازگی مشاهده شده است، بهرهبرداریهای جدیدی را به نمونه کارهای خود اضافه کرده است و در تلاش است تا با هدف قرار دادن آسیبپذیریهای بیشتر، دستگاههای بیشتری را در معرض خطر قرار دهد.
این بدافزار که اولین بار در اوایل سال ۲۰۱۷ میلادی مشاهده شد، بهروزرسانی های ثابتی دریافت کرده است تا بهطور مؤثرتر دستگاهها را در معرض خطر قرار دهد و سود مهاجمان را به حداکثر برساند. بهگفتهی پژوهشگران امنیتی Fortinet یکی از پویشهای مشاهدهشده، از یک استخراجکنندهی رمزارز استفاده کرده است. Satan هم دستگاههای ویندوز و هم لینوکس را هدف قرار میدهد و تلاش میکند تا با بهرهبرداری از تعدادی زیادی از آسیبپذیریها خود را ترویج دهد.
توزیعکنندهی اولیه بسته به پویش میتواند تنها از طریق شبکهی خصوصی و یا از طریق شبکههای خصوصی و عمومی ترویج پیدا کند. مؤلفهی ویندوز این باجافزار همچنان از بهرهبرداری EternalBlue استفاده میکند.
این بدافزار همچنان از آسیبپذیریهایی که قبلاً هدف قرار گرفتهاند، بهرهبرداری میکند که ازجملهی آنها آسیبپذیری پیکربندی پیشفرض JBoss (CVE-2010-0738)، آسیبپذیری بارگذاری فایل دلخواه Tomcat (CVE-2017-12615)، آسیبپذیری بارگذاری فایل دلخواه WbLogic (CVE-2018-2894)، آسیبپذیری مؤلفهی WLS در WebLogic (CVE-2017-10271)، آسیبپذیری اجرای کد از راه دور Windows SMB (MS17-010) و آسیبپذیری اجرای کد از راه دور Spring Data Commons (CVE-2018-1273) هستند.
توسعهدهندگان این باجافزار تصمیم گرفتهاند که آسیبپذیریهای اجرای کد از راه دور Apache Struts 2 را از فهرست بهرهبرداریها حذف کنند. بااینحال، چند بهرهبرداری اجرای کد از راه دور برنامهی وب به این فهرست اضافه شده و در نسخههای ویندوز و لینوکس پیادهسازی شده است که شامل آسیبپذیریهای Spring REST Patch Request (CVE-2017-8046)، ElasticSearch (CVE-2015-1427) و اجرای کد از راه دور ThinkPHP 5.X است.
شرکت Fortinet تشریح میکند که این بدافزار برای انتشار خود پیمایش آدرس آیپی را انجام میدهد و تلاش میکند تا کل فهرست بهرهبرداریهای موجود در هر آدرس آیپی را بههمراه فهرست درگاه مربوطه اسکن و اجرا کند. این باجافزار برای ترویج خود از طریق هر آیپی و پورت هدف یک نخ متفاوت ایجاد میکند. این بدافزار در شبکههای خصوصی همهی آدرسهای آیپی احتمالی را بازیابی میکند. نسخهی ویندوز آن تلاش میکند تا بدون توجه به نوع کلاس شبکه در میزبانها ترویج پیدا کند، درحالیکه نسخهی لینوکس از شبکهی خصوصی کلاس A پرهیز میکند.
هنگامیکه آدرسهای آیپی عمومی هدف قرار میگیرند، توزیعکننده فهرست اهداف را از سرور فرمان و کنترل بازیابی میکند، سپس از طریق همهی این اهداف تکثیر میشود. پژوهشگران امنیتی تنها در آیپیهای واقع در چین حملاتی را مشاهده کردهاند. آنها همچنین متوجه شدند که این باجافزار تلاش میکند تا برخی برنامهها ازجمله دروپال، XML-RPC، ادوبی و برنامههای دیگر را اسکن کند و درصورتی که برنامهای وجود داشته باشد به سرور اطلاع دهد. بااینکه هیچ بار دادهی بهرهبرداری از این برنامهها مشاهده نشده است، نویسندگان این بدافزار بهراحتی میتوانند این کار را انجام دهند.
شرکت Fortinet در انتها نتیجهگیری میکند که باجافزار Satan با انتشار خود روزبهروز تهاجمیتر میشود. با افزایش تعداد وبسرویسها و برنامههای آسیبپذیری که هدف قرار میدهد، شانس خود را برای یافتن قربانیهای دیگر و کسب سود بیشتر افزایش میدهد. علاوهبرآن، باجافزار Satan در قالب باجافزار بهعنوان سرویس ( Ransomware-as-a-Service) شناخته میشود و عاملان تهدید بیشتری میتوانند از آن استفاده کنند؛ درنتیجه حملات و درآمد حاصل از آنها نیز افزایش مییابد.
