به گزارش كارا پیام به نقل از ایسنا، در ماه آوریل سال ۲۰۱۷ گروه Shadow Brokers ابزارها و اكسپلویت هایی را در فضای وب منتشر نمودند كه گفته می گردد از سازمان امنیت ملی آمریكا (NSA) به سرقت رفته است كه حفره امنیتی EternalRomance و EternalBlue هم جزو آنان بود.
این گروه اكسپلویت ها و ابزارهای چهار حفره امنیتی را از آژانس امنیت ملی آمریكا به سرقت بردند كه عبارتند از: EternalBlue، EternalChampion، EternalRomance، EternalSynergy ؛ در ماه مارس شركت مایكروسافت به روزرسانی جدیدی را برای مرتفع ساختن صدمه پذیری EternalRomance عرضه كرد اما متاسفانه خیلی از شركت ها و سازمان های بزرگ سیستم های خویش را به روزرسانی نكردند.
مایكروسافت و شركت F-Secure (یك شركت فنلاندی تولیدكننده نرم افزارهای امنیتی و ضدویروس مستقر در هلسینكی است كه دفاتری در مالزی و آمریكا دارد و كار تحلیل ضدویروس و توسعه نرم افزاری آن را به صورت مداوم انجام می دهند) هم وجود این باج افزار را تایید نموده اند.
تا پیش از این گزارش شده بود كه هیچ یك از تروجان ها و باج افزارهای انتشار یافته در این هفته از هیچ یك از ابزارهای توسعه یافته آژانس امنیت ملی آمریكا استفاده نمی كند اما بر خلاف گزارش قبل، به تازگی گزارشی توسط بخش ابهام زدایی امنیت اطلاعات سیسكو تهیه شده كه طبق آن باج افزار خرگوش بد از حفره EternalRomance استفاده می نماید. همینطور علاوه بر باج افزار خرگوش بد، باج افزار NotPetya (كه با نام های ExPetr و Nyetya هم شناخته می شود) و باج افزار WannaCry هم از حفره های امنیتی EternalRomance و EternalBlue استفاده می كردند.
اما اكسپلویت حفره امنیتی EternalRomance از نوع RCE (remote code execution)، نقص امنیتی است كه به هكر اجازه می دهد تا دستورات ترمینال یا CMD از طریق دور برروی سرور اجرا نماید و از نقص امنیتی موجود در پروتكل smb ویندوز استفاده می نماید. طبق گزارش مركز اطلاع رسانی پلیس تولید و تبادل اطلاعات، پروتكل SMB( Server Message Block) پروتكلی برای به اشتراك گذاری فایل بین كلاینت و سرور است.
این پروتكل توسط شركت IBM با هدف به اشتراك گذاری منابعی مانند پرینتر، فایل و … توسعه داده شد. SMB در سیستم عامل های مایكروسافت استفاده شده است. باج افزار خرگوش بد در سایت های عرضه دهنده مالتی مدیا در روسیه با تحریك كاربران برای نصب فلش پلیر، كاربران خویش را آلوده می كند و از كاربران مبلغ ۰.۰۵ بیت كوین طلب می كند.
خرگوش بد چگونه در شبكه گسترش می یابد؟
خرگوش بد از EternalBlue استفاده نمی كند، بلكه از EternalRomance RCE بهره می گیرد تا در شبكه قربانیان خویش را گسترش دهد و به قول محققان ابتدا شبكه داخلی را به منظور یافتن پروتكل SMB جست و جو می كند، سپس سیستم را آلوده می كند و با دستور mimikatz هش های قربانی خویش را استخراج می كند.
دستور mimikatz در متاسپلویت (برنامه ای در سیستم عامل كالی لینوكس است كه به جمع آوری صدمه پذیری ها و اكسپلویت ها می پردازد و ابزار بسیار قدرتمندی برای نفود است) سبب می گردد تا هش های سیستم قربانی را به صورت ریموت استخراج كند.
چه كسی خرگوش بد را منتشر كرد؟
از آنجا كه هر دو باج افزار خرگوش بد و NotPetya با استفاده از كد دیجیتال DiskCryptor برای رمزگذاری هارددیسك قربانی و پاك كردن دیسك های متصل به سیستم آلوده استفاده می نمایند، محققان معتقدند كه هر دو باج افزار توسط یك گروه انتشار یافته اند.
روش های حافظت از سیستم در برابر ویروس
اگر كاربر خانگی هستید پروتكل SMB سیستم خویش را ببندید و اگر در شبكه قرار دارید و به پروتكل SMB نیاز دارید، پس WMI service را غیرفعال كنید تا در صورت آلوده شدن یك سیستم، سیستم های دیگر آلوده نشوند.
همچنین سیستم عامل خویش را همیشه به روز نگه دارید و از آنتی ویروس های قدرتمند و معتبر استفاده كنید. از آنجایی كه اغلب این بدافزارها با استفاده از ایمیل های فیشینگ وارد سیستم می شوند، از باز كردن لینك های مشكوك اجتناب كنید.
در آخر اینكه همیشه از اطلاعات خود پشتیبان تهیه كنید تا درصورت بروز هرگونه مشكل امكان بازگردانی اطلاعات را داشته باشید.