سايت خبری فناوری اطلاعات (ايتنا) 19 ارديبهشت 1397 ساعت 12:31 https://www.itna.ir/news/52782/synack-چگونه-کسب-کارها-مورد-هدف-قرار-داده -------------------------------------------------- عنوان : SynAck چگونه کسب و کارها را مورد هدف قرار داده است! -------------------------------------------------- ایتنا - سازندگان بدافزارها غالبا با حملات پنهان‌کاری شده کار می‌کنند تا کدها را غیر قابل خواندن کرده و آنتی‌ویروس بدافزار را تشخیص ندهد. متن : به گزارش سرویس اخبار تکنولوژی از کسپرسکی آنلاین، بدافزارها با کلاهبردارانی که قابلیت‌ها و تکنیک‌های جدیدی که مانع شناخت آن‌ها توسط برنامه‌های آنتی ویروس شود در حال رشد هستند. گاهی اوقات، سرعت رشد نسبتا سریع است. برای مثال، باج افزار SynAck که از سپتامبر 2017 شناخته شده است (در آن زمان خیلی هوشمند نبود و معمولی بود) اخیرا بازسازی‌هایی انجام داده و به یک تهدید بسیار پیچیده با تاثیرگذاری بی‌نظیر به شمار می‌رود و از تکنیک جدیدی به نام Process Doppelgänging استفاده می‌کند. حملات پنهانی سازندگان بدافزارها غالبا با حملات پنهان‌کاری شده کار می‌کنند تا کدها را غیر قابل خواندن کرده و آنتی‌ویروس بدافزار را تشخیص ندهد و معمولا از نرم افزار بسته‌بندی خاصی برای این منظور استفاده می‌کنند. اگرچه که سازندگان آنتی ویروس هم اقدم کرده‌اند و نرم‌افزارهای آنتی ویروس در حال حاضر این چنین بسته‌هایی را باز می‌کند. توسعه دهندگان SynAck روش دیگری را انتخاب کرده‌اند که برای هر دو طرف زحمت بیشتری دارد. پنهان کردن کامل کد قبل از کامپایل آن شناسایی توسط ابزارهای امنیتی را بسیار سخت‌تر می‌کند. این تنها تکنیک حیله‌گرانه مورد استفاده در آخرین ورژن SynAck نیست. علاوه بر این از یک تکنیک نسبتا پیچیده‌تر Process Doppelgänging استفاده می‌کنند و این اولین باج‌افزاری است که از آن استفاده می‌کند. Process Doppelgänging نخستین بار در Black Hat 2017 توسط محققان امنیتی ارائه شد و پس از آن توسط بدافزارسازان برداشته شد و در انواع مختلف بدافزارها به کار رفته است. Process Doppelgänging بر برخی ویژگی‌های سیستم فایل NTFS و یک بارگذارنده ویندوز که در تمامی نسخه‌های ویندوز XP به بعد وجود دارد مبتنی است و به سازندگان و توسعه دهندگان امکان ساخت بدافزارهای بدون فایلی را می‌دهد که می‌توانند اقدامات خرابکارانه را بدون ضرر و شبیه یک فرآیند منطقی جا بزنند. SynAck دو ویژگی قابل ذکر دیگر هم دارد. اول اینکه محل نصب درست خود را چک می‌کند و اگر این چنین نباشد اجرا نمی‌شود. این روش برای جلوگیری از تشخیص توسط سندینگ باکس های خودکاری است که توسط راهکارهای امنیتی مختلف استفاده می‌شود به کار می‌رود. ویژگی دوم، SynAck این مورد را که بر روی یک کامپیوتر با کیبوردی که برای اسکریپت مشخصی؛ در اینجا Cyrillic تنظیم شده است،نصب می کند. این تکنیک رایجی برای محدود کردن بدافزار به نواحی خاص است. جرایم معمول از دیدگاه کاربران، SynAck بیشتر یک باج افزار است، احتمالا به دلیل درخواست گزاف 3000 دلاری اش. پیش از رمزنگاری فایل‌های کاربر، SynAck اطمینان حاصل می‌کند که با از بین بردن برخی پردازش‌ها به فایل‌های هدف مهم دسترسی داشته باشد، در غیر این صورت فایل‌ها را برای استفاده نگه داشته و محدودیت لحاظ نمی‌کند. قربانی پیام باج‌گیری شامل نحوه ارتباط را در صفحه لاگ آن می‌بیند. متاسفانه SynAck از یک الگوریتم رمزنگاری قوی استفاده می‌کند و هیچ نقصی در اجرای آن مشاهده نشده، بنابراین تا کنون هیچ راهی برای رمزگشایی فایل‌های رمزگذاری شده وجود ندارد. توزیع SynAck بیشتر با توسل به زور به صورت دسترسی از راه دور به دسکتاپ ویندوز دیده شده، بدین معنی که بیشتر کاربران تجاری را هدف قرار داده است. تعداد محدود حملات که همگی در ایالات متحده، کویت و ایران تا کنون رخ داده این فرضیه را تایید می‌کند.   آماده شدن برای نسل بعدی باج افزارها حتی اگر SynAck تا الان به سراغ شما نیامده، وجود آن نشانه واضحی از رشد باج‌افزارها و بیش از پیش پیچیده شدن آن‌ها و دشواری بیشتر برای حفاظت در برابر آن‌ها است. تجهیزات رمزگشایی کمتر مشاهده می‌شوند، چرا که مهاجمان یادگرفته‌اند از اشتباهاتی که ایجاد این رمزگشاها را ممکن می‌کند اجتناب کنند. و علی رغم واگذارکردن زمین به ماینرهای مخفی، باج‌افزار همچنان یک گرایش جهانی بزرگ دارد و دانستن نحوه محافظت در برابر این چنین تهدیدهایی برای هر کاربر اینترنتی واجب است. در اینجا برخی از نکاتی که می‌تواند به شما در جلوگیری از آلوده شدن و یا در شرایط اضطراری در حداقل کردن خسارت به شما کمک کند را ارائه می‌دهیم: به طور منظم از داده‌های خود بک آپ بگیرید. این بک آپ را بر روی واسطه‌ای که دائما به شبکه شما یا اینترنت متصل نیست ذخیره کنید. اگر از Windose Remote Desktop در فرآیندهای کاری خود استفاده نمی‌کنید آن را غیر فعال کنید. از یک راهکار امنیتی خوب با فایروال داخلی و اجزای مختص ضد باجگیری مانند Kaspersky Small Office Security برای کسب و کارهای کوچک و Kaspersky Endpoint Security برای شرکت‌های بزرگ‌تر استفاده کنید.محصولات لابراتوار کسپرسکی علی رغم استراتژی‌های مخفیکارانه SynAck قادر به شناسایی و تشخیص آن است. اگر در حال حاضر از یک راهکار امنیتی دیگر استفاده می‌کنید همچنان می‌توانید Kaspersky Anti Ransomware Tool را نیز نصب کنید که رایگان بوده و با مجموعه‌های امنیتی شرکت‌های دیگر نیز سازگاری دارد.