بهتازگی نسخه جدیدی از باجافزار LockBit ۲,۰ کشف شده است که عملیات رمزگذاری فایلهای ذخیره شده بر روی دستگاههای عضو دامنه را بهصورت خودکار از طریق Active Directory Group Policy انجام میدهد.
بهگزارش مرکز مدیریت راهبردی افتا، نخستین نسخه از LockBit در اواخر تابستان ۱۳۹۸، در قالب “باجافزار بهعنوان سرویس” (Ransomware-as-a-Service – بهاختصار RaaS) ظهور کرد.
در RaaS، صاحب باجافزار، فایل مخرب را بهعنوان یک سرویس به متقاضی اجاره میدهد.
متقاضی که ممکن است در برنامهنویسی تخصصی نداشته باشد تنها وظیفه انتشار باجافزار را بر عهده دارد و در نهایت بخشی از مبلغ اخاذی شده (معمولاً ۷۰ تا ۸۰ درصد از باج پرداخت شده توسط قربانی) را دریافت میکند و بخشی دیگر به برنامهنویسان باجافزار میرسد.
در سالهای اخیر، این باجافزار بسیار فعال بوده و گردانندگان آن علاوه بر تبلیغ فروش خدمات RaaS ، به ارائه خدمات پشتیبانی این باجافزار در تالارهای گفتگوی اینترنتی (Forum) هکرها، نیز پرداختهاند. در پی ممنوعیت تبلیغ باجافزار در تالارهای گفتگوی هک، گردانندگان این باجافزار تبلیغات در خصوص ارائه خدمات RaaS برای نسل جدید آن – معروف به LockBit ۲,۰ – را در سایت خود آغاز کردند.
در ادامه این مطلب به دو مورد از قابلیتهای جدید نسخه جدید LockBit پرداخته شده است.
بهرهگیری از Group Policy برای رمزگذاری دستگاهها
باج افزار LockBit ۲,۰ دارای امکانات متعددی است که یکی از قابلیتهای خاص آن توزیع باجافزار در سطح دامنه (Domain) بدون نیاز به استفاده از اسکریپتهایی است که در نمونههای مشابه دیده میشود.
در حملات باجافزاری مشابه، پس از رخنه به شبکه و در تصاحب Domain Controller، مهاجمان با استفاده از نرمافزارها و ابزارهای ثالث اقدام به توزیع اسکریپتهایی میکنند که وظیفه آنها غیرفعالکردن ضدویروس و اجرای فایل باجافزار بر روی دستگاهها است.
اما نمونههایی جدید از LockBit ۲,۰ به دست محققان رسیده است که نشان میدهد با اجرای باجافزار برای سرور Domain Controller فرایند مذکور از طریق Group Policy بهصورت خودکار و بدون استفاده از اسکریپت انجام میشود.
بدین نحو که پس از اجرا شدن، نسخ جدیدی از Group Policy در سطح دامنه ایجاد و سپس بر روی تمامی دستگاههای عضو دامنه اعمال میشود.
این پالیسیها قابلیتهای حفاظتی و هشداردهی Microsoft Defender را مطابق با تنظیمات زیر غیرفعال میکنند:
[General]
Version=%
sdisplayName=%s
[Software\Policies\Microsoft\Windows Defender;DisableAntiSpyware]
[Software\Policies\Microsoft\Windows Defender\Real-Time Protection;DisableRealtimeMonitoring]
[Software\Policies\Microsoft\Windows Defender\Spynet;SubmitSamplesConsent]
[Software\Policies\Microsoft\Windows Defender\Threats;Threats_ThreatSeverityDefaultAction]
[Software\Policies\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction]
[Software\Policies\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction]
[Software\Policies\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction]
[Software\Policies\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction]
[Software\Policies\Microsoft\Windows Defender\UX Configuration;Notification_Suppress]
همچنین با دستکاری تنظیمات Group Policy یک Scheduled Task ایجاد میشود که وظیفه آن فراخوانی فایل اجرایی باجافزار است.
در ادامه نیز با اجرای فرمان زیر تغییرات جدید در Group Policy به دستگاههای عضو دامنه اعمال میشود.
powershell.exe -Command “Get-ADComputer -filter * -Searchbase ‘%s’ | foreach{Invoke-GPUpdate -computer $_.name -force -RandomDelayInMinutes ۰}”
ضمن آن که با استفاده از برخی توابع Active Directory API باجافزار، فهرست دستگاهها را از طریق LDAP استخراج میکند؛ با در اختیار داشتن فهرست مذکور، فایل اجرایی باجافزار بر روی Desktop هر دستگاه کپی و فایل توسط Group Policy از طریق فرمان زیر بدون هرگونه مزاحمت UAC، اجرا میشود:
“Software\Microsoft\Windows NT\CurrentVersion\ICM\Calibration “DisplayCalibrator
در نتیجه ازکارافتادن UAC، باجافزار در پشتصحنه اجرا و رمزگذاری فایلهای دستگاهها، بیسروصدا آغاز میشود.
اگرچه درگذشته نیز از توابع Active Directory API توسط باجافزار MountLocker بهره گرفته شده بود اما این اولینبار است که فرایند توزیع فایل مخرب از طریق Group Policy و بدون دخالت هرگونه اسکریپت بهصورت خودکار انجام میشود.
چاپ انبوه پیام باجگیری LockBit ۲,۰ توسط چاپگرهای متصل به شبکه
باج افزار LockBit ۲,۰ به قابلیت جدیدی مجهز شده است که پیام باجگیری (Ransom Note) را بهتمامی چاپگرهای متصل به شبکه ارسال میکند. استفاده از این تکنیک قبلاً در باجافزار Egregor استفاده شده است.
هنگامی که رمزگذاری فایلهای یک دستگاه به پایان میرسد باجافزار برای جلب توجه قربانی، به طور مستمر پیام باجگیری را به هر چاپگر متصل به شبکه ارسال میکند.
در حمله Egregor به شرکت خردهفروشی سنکوسود (Cenconsud) این کار باجافزار موجب شد تا پیام باجگیری توسط چاپگرهای رسید خرید نیز چاپ شود.
منابع:
https://www.bleepingcomputer.com/news/security/lockbit-ransomware-now-encrypts-windows-domains-using-group-policieshttps://www.bleepingcomputer.com/news/security/egregor-ransomware-print-bombs-printers-with-ransom-notes
دیدگاه شما