این گروه اکسپلویتها و ابزارهای چهار حفره امنیتی را از آژانس امنیت ملی آمریکا به سرقت بردند که عبارتند از: EternalBlue, EternalChampion, EternalRomance, EternalSynergy ؛ در ماه مارس شرکت مایکروسافت بهروزرسانی جدیدی را برای برطرف کردن آسیبپذیری EternalRomance ارائه کرد اما متاسفانه بسیاری از شرکتها و سازمانهای بزرگ سیستمهای خود را بهروزرسانی نکردند.
مایکروسافت و شرکت F-Secure (یک شرکت فنلاندی تولیدکننده نرمافزارهای امنیتی و ضدویروس مستقر در هلسینکی است که دفاتری در مالزی و آمریکا دارد و کار تحلیل ضدویروس و توسعه نرمافزاری آن را بهطور مداوم انجام میدهند) هم وجود این باج افزار را تایید کردهاند.
تا پیش از این گزارش شده بود که هیچ یک از تروجانها و باجافزارهای منتشر شده در این هفته از هیچ یک از ابزارهای توسعه یافته آژانس امنیت ملی آمریکا استفاده نمیکند اما بر خلاف گزارش قبل، اخیرا گزارشی توسط بخش ابهامزدایی امنیت اطلاعات سیسکو تهیه شده که طبق آن باج افزار خرگوش بد از حفره EternalRomance استفاده میکند. همچنین علاوه بر باج افزار خرگوش بد، باجافزار NotPetya (که با نامهای ExPetr و Nyetya هم شناخته میشود) و باج افزار WannaCry هم از حفرههای امنیتی EternalRomance و EternalBlue استفاده میکردند.
اما اکسپلویت حفره امنیتی EternalRomance از نوع RCE (remote code execution)، نقص امنیتی است که به هکر اجازه میدهد تا دستورات ترمینال یا CMD از راه دور برروی سرور اجرا کند و از نقص امنیتی موجود در پروتکل smb ویندوز استفاده میکند. طبق گزارش مرکز اطلاع رسانی پلیس تولید و تبادل اطلاعات، پروتکل SMB( Server Message Block) پروتکلی برای به اشتراکگذاری فایل بین کلاینت و سرور است.
این پروتکل توسط شرکت IBM با هدف به اشتراک گذاری منابعی مانند پرینتر،
فایل و … توسعه داده شد. SMB در سیستمعاملهای مایکروسافت استفاده شده
است. باج افزار خرگوش بد در سایتهای ارائه دهنده مالتی مدیا در روسیه با
تحریک کاربران برای نصب فلش پلیر، کاربران خود را آلوده میکند و از
کاربران مبلغ ۰.۰۵ بیتکوین طلب میکند.
خرگوش بد چگونه در شبکه گسترش مییابد؟
خرگوش بد از EternalBlue استفاده نمیکند، بلکه از EternalRomance RCE بهره میگیرد تا در شبکه قربانیان خود را گسترش دهد و به گفته محققان ابتدا شبکه داخلی را به منظور یافتن پروتکل SMB جست و جو میکند، سپس سیستم را آلوده میکند و با دستور mimikatz هشهای قربانی خود را استخراج میکند.
دستور mimikatz در متاسپلویت (برنامهای در سیستم عامل کالی لینوکس است که به جمعآوری آسیب پذیریها و اکسپلویتها میپردازد و ابزار بسیار قدرتمندی برای نفود است) باعث میشود تا هشهای سیستم قربانی را به صورت ریموت استخراج کند.
چه کسی خرگوش بد را منتشر کرد؟
از آنجا که هر دو باج افزار خرگوش بد و NotPetya با استفاده از کد
دیجیتال DiskCryptor برای رمزگذاری هارددیسک قربانی و پاک کردن دیسکهای
متصل به سیستم آلوده استفاده میکنند، محققان معتقدند که هر دو باج افزار
توسط یک گروه منتشر شدهاند.
روشهای حافظت از سیستم در برابر ویروس
اگر کاربر خانگی هستید پروتکل SMB سیستم خود را ببندید و اگر در شبکه قرار دارید و به پروتکل SMB نیاز دارید، پس WMI service را غیرفعال کنید تا در صورت آلوده شدن یک سیستم، سیستمهای دیگر آلوده نشوند.
همچنین سیستمعامل خود را همیشه بهروز نگه دارید و از آنتی ویروسهای قدرتمند و معتبر استفاده کنید. از آنجایی که اکثر این بدافزارها از طریق ایمیلهای فیشینگ وارد سیستم میشوند، از باز کردن لینکهای مشکوک اجتناب کنید.
در پایان اینکه همیشه از اطلاعات خود پشتیبان تهیه کنید تا درصورت بروز هرگونه مشکل امکان بازگردانی اطلاعات را داشته باشید.