NAS

طبق اطلاعاتی که محققان در اختیار The Hacker News قرار دادند، یک خانواده جدید از باج‌گیر افزارها کشف شدند که دستگاه‌های NAS(1) مبتنی بر لینوکس را که توسط QNAP Systems در تایوان ساخته‌شده‌اند را مورد هدف قرار داده و اطلاعات مهم کاربران را تا زمانی که باج درخواستی را پرداخت کنند، به‌صورت رمز شده نگه می‌دارند.

دستگاه‌های NAS برای کسب‌وکارهای کوچک و خانه‌ها ایده‌آل هستند، در حقیقت این دستگاه‌ها به‌طور اختصاصی برای ذخیره‌سازی فایل‌ها بوده که به یک شبکه متصل شده یا روی اینترنت قرار دارند که به کاربران این امکان را می‌دهند که اطلاعات خود را ذخیره کرده و به اشتراک بگذارند و توسط کامپیوترهای مختلف از آن‌ها پشتیبان تهیه کنند.

محققان در دو شرکت امنیتی به نام‌های Intezer و Anomali به‌طور جداگانه این باج‌گیر افزار را کشف کردند، که سرورهای QNAP NAS ای را که به‌طور ضعیف محافظت‌شده‌اند یا آسیب‌پذیر هستند را توسط brute force گواهی‌نامه‌های SSH ضعیف یا بهره‌برداری از آسیب‌پذیری‌های شناخته‌شده مورد هدف قرار می‌دهند.

این باج‌گیر افزار جدید که توسط Intezer  با عنوان QNAPCrypt شناخته می‌شود[۱] و eCh0raix آن را Anomali نام‌گذاری کرده است[۲]، به زبان برنامه‌نویسی Go نوشته شده است و فایل‌ها را با پسوندهای هدفمند و با استفاده از رمزگذاری AES رمزگذاری می‌کند و پسوند .encrypt را به انتهای هرکدام اضافه می‌کند.

بااین‌حال، اگر یک دستگاه NAS در معرض خطر در بلاروس، اوکراین یا روسیه قرار داشته باشد، این باج‌گیر افزار فرایند رمزگذاری فایل را خاتمه می‌دهد و بدون هیچ‌گونه آسیبی به فایل‌ها، از سیستم خارج می‌شود.

علاوه بر این، در ادامه توضیح دادیم که چگونه محققان از ضعف منطقی در زیرساخت این باج‌گیر افزار استفاده کردند، که به آن‌ها اجازه می‌دهد به‌طور موقت از آلوده کردن قربانیان جدید توسط این باج‌گیر افزار جلوگیری کنند.

پس از اجرا، این باج‌گیر افزار برای اولین بار به سرور فرمان و کنترل از راه دور خود که در پشت شبکه Tor محافظت شده است؛ متصل می‌شود. این اتصال توسط یک پروکسی SOCKS5 Tor برای اطلاع‌رسانی به مهاجمان در مورد قربانیان جدید، صورت می‌گیرد.

محققان Anomali دراین‌باره می‌گویند: “بر اساس تجزیه‌وتحلیل، مشخص شده است که این پروکسی توسط نویسنده برای دسترسی به شبکه Tor به این باج‌گیر افزار بدون استفاده از قابلیت Tor در این باج‌گیر افزار راه‌اندازی شده است.”

قبل از رمزگذاری فایل‌ها، این باج‌گیر افزار یک آدرس کیف پول بیت کوین منحصربه‌فرد را درخواست می‌کند، جایی که قربانیان می‌بایست مقدار باج را به سرور فرمان و کنترل مهاجم که حاوی یک لیست از پیش تعیین‌شده از آدرس‌های بیت کوین قبلاً ساخته شده است، انتقال دهد.

اگر سرور از آدرس‌های منحصربه‌فرد بیت کوین خالی شود، این باج‌گیر افزار رمزنگاری فایل‌ها را ادامه نمی‌دهد و منتظر مهاجمان می‌ماند تا یک آدرس جدید ساخته و آن را ارائه دهند.

این نکته جالب‌توجه است که محققان Intezer از این مکانیزم استفاده کردند و یک اسکریپت را ایجاد کردند که به آن‌ها اجازه داد تا سرور فرمان و کنترل مهاجم را گول بزنند تا آدرس‌های منحصربه‌فرد بیت کوین را به صدها قربانی مجازی اختصاص دهد و به‌این‌ترتیب از رمزگذاری فایل‌ها برای قربانیان واقعی جدید جلوگیری شود.

Intezer دراین‌باره گفت: “ازآنجایی‌که نویسندگان این باج‌گیر افزار، یک کیف پول بیت کوین را به ازای هر قربانی از یک صندوق استاتیک از کیف پول‌های تولیدشده، تحویل دادند، ما می‌توانیم بسته‌های آلوده‌شده را برای بازیابی تمام کیف پول‌ها تا زمانی که هیچ کیف پول دیگری تحت کنترل آن‌ها نباشد، تکثیر کنیم.”

“ما توانستیم مجموعاً ۱،۰۹۱ کیف پول منحصربه‌فرد را که بین قربانیان جدید در بین ۱۵ کمپین مختلف توزیع‌شده بود را جمع‌آوری کنیم.”

اگر این باج‌گیر افزار یک کیف پول بیت کوین منحصربه‌فرد ایجاد کند، یک ‌رشته تصادفی ۳۲ کاراکتری ایجاد می‌کند تا یک کلید مخفی AES-256 ایجاد کند و سپس آن را برای رمزگذاری تمام فایل‌های ذخیره‌شده در دستگاه NAS مورد هدف با الگوریتم AES در CFB(2) استفاده می‌کند و فایل‌های اصلی را حذف می‌کند.

ازآنجایی‌که این ماژول رمزگذاری از یک بسته‌ی ریاضی برای تولید کلید مخفی استفاده می‌کند، Anomali گفت که این احتمال برای محققان وجود دارد که یک رمزگشا را برای این خانواده جدید از باج‌گیر افزارها بنویسند؛ زیرا که این تابع کاملاً تصادفی نیست.

محققان Anomali گفتند: “این باج‌گیر افزار صفحه تصادفی ریاضی را با seed  زمان فعلی راه‌اندازی می‌کند. ازآنجایی‌که از یک بسته ریاضی برای تولید کلید مخفی استفاده می‌کند، ازنظر رمزنگاری تصادفی نیست، و احتمال دارد که بتوان یک رمزگشا برای آن نوشت.”

“تهدیدکنندگان، دستگاه‌های NAS QNAP را هدف قرار دادند که برای ذخیره‌سازی فایل‌ها و پشتیبان گیری مورداستفاده قرار می‌گیرند. برای این دستگاه‌ها معمول نیست که محصولات آنتی‌ویروس را اجرا کنند، و در حال حاضر، این نمونه‌ها تنها توسط دو یا سه محصول از VirusTotal شناسایی ‌شده‌اند که این موضوع نشان‌دهنده آن است که این باج‌گیر افزار به‌راحتی می‌تواند روی این دستگاه‌ها اجرا شود.”

محققان همچنین اشاره کردند که قبل از رمزگذاری فایل‌های ذخیره‌شده در دستگاه‌های NAS مورد هدف، این باج‌گیر افزار تلاش می‌کند یک لیست خاص از فرآیندها را ازجمله apache2، httpd، nginx، MySQL، mysql و PostgreSQL را kill کند.

به‌عنوان یک یادآوری، درگذشته از کاربران خواسته شده است تا به‌صورت آگاهانه یا غیرضروری دستگاه‌های NAS خود را به‌طور مستقیم به اینترنت متصل نکنند و همچنین به‌روزرسانی‌های خودکار را برای firmware های خود فعال کنند.

علاوه بر این، به کاربران همیشه توصیه می‌شود تا از رمزهای عبور قوی برای امنیت دستگاه‌های NAS خود استفاده کرده و به‌طور منظم از اطلاعات ذخیره‌شده روی این دستگاه‌ها پشتیبان‌ تهیه کنند، به‌طوری‌که در صورت بروز هرگونه فاجعه، اطلاعات مهم را بتوان بدون پرداخت هزینه به مهاجمان بازیابی کرد.

 

منابع

[۱] https://www.intezer.com/blog-seizing-15-active-ransomware-campaigns-targeting-linux-file-storage-servers

[۲] https://www.anomali.com/blog/the-ech0raix-ransomware

[۳] https://thehackernews.com/2019/07/ransomware-nas-devices.html


(۱) Network Attached Storage
(۲) Cipher Feedback Mode