استفاده از تکنيک‌های جديد برای جلوگيری از شناسايی‌شدن در نسخه‌ی جديد باج‌افزار SynAck

شنبه ۲۲ اردیبهشت ۱۳۹۷
باج‌افزار SynAck از تکنیک جدیدی برای جلوگیری از شناسایی شدن در نسخه‌ی جدید خود استفاده کرده است.
مرکز آپا شریف
SUT-APA-LOGO

بدافزارها تمایل دارند تکامل یابند و کلاهبرداران با افزودن توابع و تکنیک‌های جدیدی که مانع از شناسایی‌شدن آن‌ها توسط برنامه‌های آنتی‌ویروس می‌شود به تکامل آن‌ها کمک می‌کنند.گاهی اوقات سرعت این تکامل زیاد است. برای مثال، در باج‌افزار SynAck که از سپتامبر سال 2017 شناخته شده است (زمانی که یک باج‌افزار متوسط بود، نه هوشمند)، به تازگی بررسی‌هایی انجام شده است تا به یک تهدید بسیار پیشرفته تبدیل شود که به راحتی قابل شناسایی نباشد و از تکنیک جدیدی به نام Process Doppelgänging استفاده می‌کند.
سازندگان بدافزار معمولاً از ابهام‌سازی (تلاش برای غیرقابل‌خواندن کردن کد تا آنتی‌ویروس نتواند آن را شناسایی کند) استفاده می‌کنند. معمولاً برای این هدف، نرم‌افزار بسته‌بندی ویژه‌ای را به‌کار می‌گیرند. با این حال، توسعه‌دهندگان آنتی‌ویروس توانستند بر این روش غالب شوند و در حال حاضر نرم‌افزار آنتی‌ویروس به‌راحتی چنین بسته‌هایی را باز می‌کند. توسعه‌دهندگان SynAck روش دیگری انتخاب کرده‌اند که به تلاش بیشتری نیاز دارد. آن‌ها کد را قبل از کامپایل‌شدن ابهام‌سازی می‌کنند. اگر چه این روش نیز مغلوب خواهد شد؛ اما به زمان و تلاش فراوانی نیاز دارد.
این روش تنها تکنیکی نیست که نسخه‌ی جدید SynAck برای فرار از شناسایی‌شدن به‌کار می‌گیرد. این نسخه، از تکنیک نسبتاً پیچیده‌ی Process Doppelgänging نیز استفاده می‌‌کند. نسخه‌ی جدید SynAck اولین باج‌افزاری است که از این تکنیک استفاده می‌کند. Process Doppelgänging ابتدا توسط محققان امنیتی Black Hat Europe در سال گذشته معرفی شد؛ اما بعد از آن کلاهبرداران آن را در انواع بدافزارها به کار بردند.
Process Doppelgänging از یک مکانیزم مایکروسافت ویندوز به نام تعاملات NTFS که در تمامی نسخه‌های ویندوز وجود دارد استفاده می‌کند و این مزیت بزرگی برای نویسندگان بدافزار است که وابسته به فرایندهای موجود در سیستم هدف هستند. علاوه‌براین، از آنجاییکه این تکنیک از قابلیت پیش‌فرض ویندوز استفاده می‌کند، وصله‌کردن آن را غیرممکن می‌سازد.
نکته‌ی کلیدی این است که اکثر ابزارهای ضد بدافزاری به دنبال تغییرات غیرمنتظره‌ای در سیستم‌فایل یا کد غیرمنتظره‌ای که در حافظه اجرا می‌شود و از برنامه‌ای در سیستم‌فایل نیامده است، هستند. بااستفاده از تعاملات NTFS، باج‌افزار SynAck قادر به اجرا در حافظه تحت پوشش برنامه‌ای قانونی است که در دیسک ذخیره شده است بدون آنکه تغییری در فایل ایجاد کند. از آنجایی‌که تعاملات NTFS رویدادهای طبیعی ویندوز هستند، بنابراین همه چیز عادی به‌نظر می‌رسد.
SynAck دارای دو ویژگی قابل‌توجه دیگر نیز است. ویژگی اول این است که بررسی می‌کند آیا در مسیر درستی نصب شده است یا نه. اگر نه، اجرا نمی‌شود. این امر، تلاش برای جلوگیری از شناسایی جعبه‌های شنی خودکاری است که راه‌‌حل‌های امنیتی مختلفی به‌کار می‌گیرند. ویژگی دوم این است که SynAck زبان تنظیمی صفحه‌کلید سیستم هدف را نیز بررسی می‌کند. این بدافزار در سیستمی که زبان پیش‌فرض آن Cyrillic تنظیم شده است، اجرا نخواهد شد.
از دیدگاه کاربران، SynAck منفورترین باج‌افزار است. دلیل این امر عمدتاً درخواست میزان باج آن یعنی 3000 دلار است. قربانی متن باج‌خواهی، از جمله دستورالعمل برقراری تماس را در صفحه‌ی ورود به سیستم می‌بیند.
طبق مشاهدات محققان آزمایشگاه کسپرسکی، بردار حمله‌ی SynAck اغلب پروتکل Windows Remote Desktop (RDP) است. بدان معنی که بیشتر کاربران تجاری را هدف قرار داده است. تعداد محدود حملات تاکنون (همه‌ی آن‌ها در ایالات‌متحده امریکا، کویت و ایران) این فرضیه را تأیید می‌کند. اگر کاربران نیازی به RDP ندارند، بهتر است فوراً آن را خاموش کنند.
متأسفانه SynAck از الگوریتم رمزنگاری قدرتمندی استفاده می‌کند و هیچ نقصی در پیاده‌سازی آن یافت نشده است، بنابراین هیچ راهی برای رمزگشایی فایل‌های رمزشده وجود ندارد.