برای جلوگیری از تشخیص توسط آنتیویروسها، سازندگان بدافزارها به طور مداوم و با اضافه کردن توابع و تکنیکهایی به محصولات خود در حال تکامل دادن آنها هستند. برخی اوقات سرعت این تکامل نسبتا بالاست. برای مثال باجافزار SynAck که باجافزاری شناخته شده از September سال ۲۰۱۷ است (در آن زمان این باجافزار، بدافزاری معمولی و نه مشخصا هوشمندانه بود) اخیرا در راستای تبدیل به یک تهدید پیشرفته بهگونهای مورد ویرایش قرار گرفته که به طور بیسابقه تشخیص آن دشوار شده و از تکنیکی به نام Doppelganging استفاده میکند.
حمله دزدکی
برای جلوگیری از شناسایی توسط آنتیویروسها، سازندگان بدافزارها غالبا از نرمافزارهای packaging استفاده کرده و به غیرخوانا کردن کد بدافزارها از طریق obfuscate کردن میپردازند. با این حال، توسعهدهندگان آنتیویروسها نیز پیشرفت کرده و امروزه نرمافزارهای آنتیویروس بدون هیچ گونه مشکلی خروجی نرمافزارهای packaging را باز میکنند. برخلاف رویه رایج، توسعهدهندگان SynAck از روشی دیگر برای غیرخوانا کردن کدها استفاده کردهاند. Obfuscate کردن کامل کد قبل از کامپایل آن، که این مساله به طور چشمگیری تشخیص را برای راهکارهای امنیتی دشوار میکند. این تکنیک تنها راه گریز به کار گرفته شده توسط نسخه جدید SynAck نیست. علاوه بر این تکنیک، این بدافزار از یک فرایند پیچیده به نام Doppelganging استفاده میکند. نکته مهم اینکه SynAck اولین باجافزار شناخته شده است که از این تکنیک استفاده میکند. فرایند Doppelganging برای اولین بار در سال ۲۰۱۷ توسط محققان امنیت در کنفرانس Black Hat معرفی شده است. پس از معرفی، این تکنیک توسط خرابکاران در چند گونه از بدافزارها مورد استفاده واقع شده است.
فرایند Doppelganging بر اساس برخی ویژگیهای فایلهای سیستمی NTFS و یک پیادهسازی قدیمی از Loader فرایند ویندوز است که در همه نسخههای ویندوز از XP به بعد وجود دارد و به توسعهدهندگان اجازه میدهد بدافزارهای بدون فایلی ایجاد کنند که میتوانند فعالیتهای مخرب را به فرایندهایی بیخطر و قانونی تجزیه کنند.
SynAck دو ویژگی قابل توجه دیگر نیز دارد: ۱) این نرمافزار نصب شدن در مسیر صحیح را بررسی میکند. در صورتی که در مسیر صحیح نصب نشده باشد، SynAck برای جلوگیری از کشف توسط sandboxهای خودکار استفاده شده توسط راهکارهای متنوع امنیتی اجرا نمیشود. ۲) SynAck نصب شدن بر روی کامپیوتری با صفحه کلید تنظیم شده بر روی یک script مشخص-در این مورد Cyrill- را بررسی میکند و در غیر این صورت نیز اجرا نخواهد شد. لازم به ذکر است که این تکنیک یک روش رایج برای محدود کردن بدافزار به یک منطقه جغرافیایی مشخص است.
اقدام خرابکارانه معمول
از دید کاربر SynAck فقط یک باجافزار دیگر است که نقطه برجسته آن مقدار باج قابلتوجه درخواستی توسط آن یعنی ۳۰۰۰ دلار است. قبل از رمزگذاری فایلهای یک کاربر، SynAck در ابتدا با متوقف کردن برخی فرایندها (که در غیر این صورت فایلها را قابل استفاده و بدون محدودیت نگه میدارد) اطمینان حاصل میکند که به فایلهای مهم مورد هدف خود دسترسی دارد. در ادامه، قربانی یک پیام باجخواهی شامل اطلاعات تماس بر روی صفحه logon خود میبیند.
متاسفانه SynAck از یک الگوریتم رمزگذاری قوی استفاده میکند که تا به حال هیچ نقطهضعفی در پیادهسازی آن دیده نشده است. بنابراین، هنوز راهی برای رمزگشایی فایلهای رمز شده توسط این بدافزار وجود ندارد.
دیدهها حاکی از آن است که SynAck اغلب با استفاده از پروتکل Remote Desktop و به صورت brute force توزیع میشود و این بدین معنی است که این باجافزار بیشتر کاربران تجاری را مورد هدف قرار میدهد. تعداد محدود حملات انجام شده توسط این باجافزار تا به امروز، که همه آنها در آمریکا، کویت و ایران رخ دادهاند، تاییدکننده این فرضیه است.
آماده شدن برای نسل بعدی باجافزارها
حتی اگر شما مورد هدف SynAck واقع نشوید، وجود SynAck نشانهای واضح دال بر تکامل باجافزارها بوده و نشان میدهد که روز به روز این بدافزارها پیچیدهتر شده و مقابله با آنها سختتر میشود. علاوهبراین، درس گرفتن از اشتباهات گذشته، نویسندگان باجافزارها را خبرهتر کرده و ارائه ابزارهای رمزگشا برای باجافزارها را به مرور سخت و غیرممکن کرده است. در نتیجه، باجافزارها همچنان مسالهای بزرگ و جهانی هستند و دانستن نحوه مقابله با این تهدیدات یک باید برای هر کاربر اینترنت است.
در ادامه چند نکته که میتواند به شما برای جلوگیری از آلوده شدن و یا کاهش پیامدها در صورت آلوده شده به باجافزارها کمک کند، بیان خواهد شد:
– به طور منظم از دادههای خود پشتیبان گیری کنید. Backupها را روی رسانهای جدا که همیشه به شبکه شما و اینترنت متصل نیست ذخیره کنید.
– در صورتی که از Remote Desktop ویندوز در کسبوکار خود استفاده نمیکنید، آن را غیرفعال کنید.
– از یک راهکار امنیتی خوب که شامل یک فایروال و یک جزء ضد باج افزار است استفاده کنید.