![[-]](https://forum.romaak.ir/images/first18/collapse.png "[-]")
۹۷/۱/۸، ۰۲:۰۵ صبح
باج افزار خرگوش بد (Bad Rabbit) از حفره امنیتی EternalRomance استفاده میکند. باج افزار جدیدی بنام خرگوش بد منتشر شده است. این باج افزار در یک هفته توانسته بیش از 200 سازمان بزرگ که عمدتا در روسیه و اکراین هستند را هدف قرار دهد.
در ماه آوریل گروه Shadow Brokers ابزارها و اکسپلویتهایی را در فضای وب منتشر کردند که گفته میشود از سازمان امنیت ملی امریکا (NSA) به سرقت رفته است و اکسپلویت حفره امنیتی EternalRomance و EternalBlue هم جزء آنان بود. گروه Shadow Brokers اکسپلویتها و ابزارهای 4 حفره امنیتی را از آژانس امنیت ملی امریکا به سرقت بردند که این 4 حفره عبارتند از:
در ماه آوریل گروه Shadow Brokers ابزارها و اکسپلویتهایی را در فضای وب منتشر کردند که گفته میشود از سازمان امنیت ملی امریکا (NSA) به سرقت رفته است و اکسپلویت حفره امنیتی EternalRomance و EternalBlue هم جزء آنان بود. گروه Shadow Brokers اکسپلویتها و ابزارهای 4 حفره امنیتی را از آژانس امنیت ملی امریکا به سرقت بردند که این 4 حفره عبارتند از:
- EternalBlue
- EternalChampion
- EternalRomance
- EternalSynergy
تا پیش از این گزارش شده بود که هیچ یک از تروجانها و باج افزارهای منتشر شده در این هفته از هیچ یک از ابزارهای توسعه یافته آژانس امنیت ملی آمریکا استفاده نمیکند اما بر خلاف گزارش قبل، اخیرا گزارشی توسط Cisco's Talos Security Intelligence (بخش ابهامزدایی امنیت اطلاعات سیسکو) تهیه شده که در این گزارش مشخص شده که باج افزار خرگوش بد از حفره EternalRomance استفاده میکند. همچنین علاوه بر باج افزار خرگوش بد، باج افزار NotPetya (که با نام های ExPetr و Nyetya هم شناخته میشود) و باج افزار WannaCry هم از حفرههای امنیتی EternalRomance و EternalBlue استفاده میکردند.
اکسپلویت حفره امنیتی EternalRomance از نوع RCE (remote code execution)، نقص امنیتی است که به هکر اجازه میدهد تا دستورات ترمینال یا CMD از راه دور برروی سرور اجرا کند و از نقص امنیتی موجود در پروتکل smb ویندوز استفاده میکند.پروتکل SMB( Server Message Block) پروتکلی برای به اشتراکگذاری فایل بین کلاینت و سرور است. این پروتکل توسط شرکت IBM با هدف به اشتراک گذاری منابعی مانند پرینتر، فایل و … توسعه داده شد. SMB در سیستمعاملهای مایکروسافت استفاده شده است. باج افزار خرگوش بد در سایت های ارائه دهنده مالتی مدیا در روسیه با تحریک کاربران برای نصب فلش پلیر،کاربران خود را آلوده میکند و از کاربران مبلع 0.05 بیت کوین ( هم اکنون 50 میلی بیت کوین معادل 1 میلیون و 350 هزار تومان میباشد) از قربانیان خود طلب میکند.
باج افزار خرگوش بد چگونه در شبکه گسترش مییابد؟
خرگوش بد از EternalBlue استفاده نمیکند، بلکه از EternalRomance RCE بهره میگیرد تا در شبکه قربانیان خود را گسترش دهد. به گفته محققین باج افزار خرگوش بد ابتدا شبکه داخلی را به منظور یافتن پروتکل SMB جست و جو میکند، سپس سیستم را آلوده میکند و با دستور mimikatz هشهای قربانی خود را استخراج میکند.دستور mimikatz در متاسپلویت (برنامه ای در سیستم عامل کالی لینوکس است که به جمعآوری آسیب پذیریها و اکسپلویتها میپردازد و ابزار بسیار قدرتمندی برای نفود است) باعث میشود تا هشهای سیستم قربانی را به صورت ریموت استخراج کند. همچنین این بدافزار از طریق Windows Management Instrumentation Command-line (:WMICیکی از تکنولوژیهای مدیریت ویندوز است که از طریق این تکنولوژی میتوان کامپیوترهای remote و local را مدیریت نمود) کدها را بر روی دیگر کامپیوترها اجرا میکند.
آیا گروه منتشر کننده باج افزار NotPetya ، باج افزار خرگوش بد را منتشر کرده است؟
از آنجایی که هردو باج افزار خرگوش بد و NotPetya با استفاده از کد دیجیتال DiskCryptor برای رمزگذاری هارددیسک قربانی و پاک کردن دیسکهای متصل به سیستم آلوده استفاده میکنند، محققان معتقدند که هر دو باج افزار توسط یک گروه منتشر شده است.
