بهرهبرداری باجافزار SODIN از یک آسیبپذیری افزايش سطح دسترسی در ويندوز
به تازگی باجافزار جدیدی به نام SodinoKibi (همچنین معروف به Sodin یا REvil) کشف شده است که از آسیبپذیری روزصفرم ویندوز با شناسهی CVE-2018-8453 بهمنظور افرایش امتیاز سوءاستفاده میکند تا در میزبانهای آلوده به امتیاز مدیریتی دست یابد. این آسیبپذیری که توسط محققان آزمایشگاه کسپرسکی کشف شده است، در بهروزرسانیهای امنیتی ماه اکتبر سال 2018 مایکروسافت وصله شده است. این آسیبپذیری پیش از وصلهشدن، در ماه اوت سال 2018، توسط یک گروه هک دولتی به نام FruityArmor که هدف اصلی آن کاربران خاورمیانه بود، مورد سوءاستفاده قرار گرفته بود. حال محققان کسپرسکی همان آسیبپذیری را در باجافزار sodin کشف کردهاند که به گفتهی آنها، به ندرت چنین آسیبپذیری در باجافزار استفاده میشود. در حال حاضر این باجافزار در سراسر جهان در حال گسترش است و عمدهی آلودگیهای آن در منطقه آسیا و اقیانوس آرام مشاهده شده است، به ویژه در تایوان (17.56%)، هنگکنگ و کرهجنوبی (8.78%). کشورهای دیگری که Sodinokibi در آنها شناسایی شده است عبارتند از ژاپن (8.05%)، ایتالیا (5.12%)، اسپانیا (4.88%)، ویتنام (2.93%)، ایالاتمتحده امریکا (2.44%) و مالزی (2.2%). با آمدن باجافزار Sodin، باجافزار GandCrab تمامی فعالیتهای اداری خود را در ماه گذشته متوقف ساخته است. GandCrab فعالترین باجافزار تاکنون بوده است (نه تنها در سال جاری، بلکه در سال گذشته). برخی از اعضای جامعهی امنیت اطلاعات، Sodin را وارث GandCrab و عدهای آن را مکمل GandCrab میدانند که به احتمال زیاد توسط همان گروه از توسعهدهندگان ایجاد شده است. محققان یک تجزیه و تحلیل فنی از فرایند افزایش امتیاز که به این تهدید اجازه میدهد به امتیاز سیستمی دست یابد را منتشر ساختهاند. Sodin بهمنظور افزایش امتیاز از یک آسیبپذیری روزصفرم در win32k.sys سوءاستفاده میکند. بدنهی هر نمونه Sodin شامل یک قطعه پیکربندی رمزنگاریشده است که تنظیمات و دادههای استفادهشده توسط بدافزار را ذخیره میسازد. پس از راهاندازی، Sodin قطعهی پیکربندی را بررسی میکند که آیا گزینهای که سوءاستفاده را به کار میگیرد فعال است یا نه. اگر فعال باشد، Sodin معماری پردازندهای که اجرا میکند را بررسی میکند و سپس یکی از دو shellcode گنجاندهشده در بدنهی این تروجان را بسته به معماری پردازنده، اجرا میکند. این shellcode تلاش میکند یک سری خاص از توابع WinAPI با آرگومانهای ساختگی مخرب را بهمنظور راهاندازی آسیبپذیری فراخوانی کند. بدین ترتیب، این تروجان به بالاترین سطح دسترسی در سیستم دست مییابد. در اینجا هدف این است که راهحلهای امنیتی نتوانند به راحتی این بدافزار را شناسایی کنند. Sodin یک طرح ترکیبی را برای رمزگذاری دادهها پیادهسازی میکند. این طرح از یک الگوریتم متقارن برای رمزگذاری فایلها و رمزگذاری نامتقارن منحنی بیضوی برای حفاظت از کلید استفاده میکند. کلید خصوصی نیز با یک کلید عمومی دومی که در بدافزار کد سخت (hardcoded) شده است رمزگذاری و نتیجه در رجیستری ذخیره میشود. پس از رمزگذاری فایلها، sodinokibi یک افزونهی تصادفی که برای هر رایانهای که آلوده کرده است متفاوت است را ضمیمه میکند. کد مخرب Sodin فایلهای با پوستههای صفحهکلید مخصوص کشورهای خاصی از جمله روسیه، اوکراین، بلاروس، تاجیکستان، ارمنستان، آذربایجان، گرجستان، قزاقستان، قرقیزستان، ترکمنستان، مالدیو، ازبکستان و سوریه را رمزگذاری نخواهد کرد. پیکربندی Sodin شامل فیلدهای کلید عمومی، شماره ID برای کمپین و توزیعکننده و برای بازنویسی دادهها، نام مسیرها و فایلها، لیست افزونههایی که رمزگشایی نشدهاند، نام فرایندهایی که باید به آنها خاتمه دهد، آدرسهای کارگزار C2، قالب نوشتهی باج و یک فیلد برای استفاده از سوءاستفاده بهمنظور دستیابی به امتیاز بالاتر در ماشین است. آنچه مهاجمان Sodin را پیچیدهتر میسازد، استفادهی آنها از تکنیک Heaven’s Gate است. Heaven’s Gate تکنیکی است که به یک فرایند 32 بیتی تروجان اجازه میدهد تکه کدهای 64 بیتی را اجرا کند. بسیاری از debuggerها از چنین معماری پشتیبانی نمیکنند؛ در نتیجه استفاده از این تکنیک، تجزیه و تحلیل بدافزار را برای محققان دشوار میسازد. همچنین تکنیک قدیمی Heaven’s Gate ممکن است بهمنظور دورزدن راهحلهای امنیتی مانند دیوارههای آتش و برنامههای آنتیویروس نیز مورد استفاده قرار گیرد. Heaven’s Gate در انواع مختلف بدافزارها از جمله کاوندههای سکه مشاهده شده است؛ اما این اولین باری است که محققان کسپرسکی استفادهی این تکنیک را در یک کمپین باجافزاری مشاهده کردهاند. Sodin به عنوان یک باجافزار-به عنوان-یک-سرویس (RaaS) طراحی شده است؛ بدین معنی که اپراتورها میتوانند روش گسترش را انتخاب کنند و به گفتهی محققان، این طرح به مهاجمان اجازه میدهد به توزیع باجافزار از طریق کانالها ادامه دهند. این باجافزار در حال حاضر از طریق نرمافزار کارگزار آسیبپذیر به کارگزار آسیبپذیر و همچنین از طریق malvertising و ابزارگان سوءاستفاده به نقطه پایانیها (endpoints) در حال گسترش است.