باج افزار های هزار چهره

ابزار بهره جویی که در ماههای اخیر انواع باج افزارها را بر روی کامپیوترهای آسیب پذیر نصب کرده، اکنون توان دور زدن امکانات امنیتی مایکروسافت را نیز به دست آورده است.

هر وقت یک نقطه ضعف جدید در محصولات مایکروسافت و یا دیگر نرم افزارهای کاربردی بر روی Windows شناسایی می شود که هنوز اصلاحیه ای برای ترمیم آن وجود ندارد، یکی از ابزارهای مهم امنیتی که کاربران سازمانی می توانند برای مقابله با تهدیدات ناشی از نقطه ضعف ناشناخته بکار بگیرند، ابزار EMET یا Enhanced Mitigation Experience Toolkit متعلق به شرکت مایکروسافت است.

تولکیت ویندوز در مقابل باج افزار

از EMET می توان در برابر تهدیداتی که ابزارهای بهره‌جو ایجاد می کنند و اغلب حاوی انواع راهکارهای سوء استفاده از نقاط ضعف مرورگرها و نرم افزارهای پرطرفدار مانند Flash و Java است، استفاده کرد.

ابزار بهره‌جو (Exploit Kit) مشهور Angler که سالهاست بدافزارهای بانکی را منتشر کرده و بر روی کامپیوترهای آسیب پذیر نصب و فعال می کند، مدتی است که انتشار باج افزارهایی نظیر TeslaCrypt، CryptoWall و CryptXXX را نیز عهده دار شده است. بهره‌جوی Angler بر روی سایت های دستکاری شده، پنهان و مخفی در انتظار مرورگرهای آسیب پذیر می ماند.

به گزارش شرکت مهندسی شبکه گستر و به نقل از شرکت امنیتی FireEye، اخیراً گونه هایی از بهره‌جوی Angler مشاهده شده است که می تواند ابزار امنیتیEMET را دور زده و از نقاط ضعف نرم افزارهایی مانند Flash و Silverlight سوء استفاده کند.

در ابزار امنیتی EMET مایکروسافت راهکارهای مختلفی بکار رفته است. در گونه های مشاهده شده، بهره‌جوی Angler قادر بوده تا راهکار امنیتی DEP یا Data Execution Protection و راهکار امنیتی EAF یا Export Address Table Filtering را دور زده و از آنها گذر کند. راهکار ِِDEP مانع از اجرای کد در بخش های خاصی از حافظه می شود. راهکار EAF نیز از محتوای حافظه محافظت کرده و اجازه شناسایی محل قرارگیری اطلاعات در حافظه را نمی دهد.

از طرف دیگر، علیرغم فعالیت چشمگیر بهره‌جوی Angler در انتشار انواع باج افزارها در اقصی نقاط جهان، اکنون به نظر می رسد که باج افزارهای مشهور این بهره‌جو را رها کرده و به بهره‌جوی دیگری به نام  Neutrino مهاجرت کرده اند. در این بین، باج افزار CryptXXX که به تازگی با قابلیت های بیشتر و جدیدتری ظهور کرده است، بهره‌جوی Angler را در یک چشم به هم زدن کاملا ترک کرده و در چند روز اخیر، Angler هیچ گونه ای از CryptXXX را توزیع و منتشر نکرده است.

ابزار بهره‌جو جدید Neutrino اکثراً از نقاط ضعف درنرم افزارهای Flash و Java سوء استفاده می کند تا قادر به نفوذ به کامپیوترهای آسیب پذیر شده و بتواند باج افزار و یا هر بدافزار دیگری را بر روی کامپیوتر قربانی نصب و فعال کند.