انتشار شده در تاریخ 1395/02/06 - 18:17

ردیاب باج‌افزار عمومی برای OS X

به گزارش واحد متخصصین سایبربان؛ با هر باج‌افزار جدیدی که ظاهر می‌شود، محققان امنیتی می‌فهمند صرف‌نظر از اینکه ضد بدافزار چقدر سریع به‌روزرسانی می‌شود یا رمزگشاها چقدر سریع ساخته و به اشتراک گذاشته می‌شوند، راه‌های دفاعی همچنان مورد رخنه قرار می‌گیرند.

مشکل این است که بیشتر راه‌های دفاعی برای نمونه‌های خاصی ساخته می‌شوند؛ آزمایشگاه کسپراسکی رمزگشای باج افزاری برای Cion Vault و Cryptor Bit ساخته است و سیسکو نیز ابزار مشابه ای برای رمزگشایی آلودگی‌های Tesla Crypt دارد.

تعداد سازوکارهای دفاعی عمومی اندک هستند. CryptoMonitor راهکار هم‌زمان آسان (Easy Sync Solutions) که در ماه ژانویه توسط MalwareBytes منتشر شد، برای مثال نمونه‌های بسیاری را روی ویندوز بیش از اینکه باج‌افزارها اجرا شوند و پرونده‌ها را رمزگذاری کنند را شناسایی و مسدود می‌کند.

برای سیستم‌عامل OS X تعداد حملات باج‌افزارها به‌طور قابل‌توجهی اندک است و حتی سازو‌کار‌های شناسایی عمومی کمتر نیز می‌باشند.

محقق پاتریک واردل که رهبر تیم تحقیقاتی در Synack است و به‌عنوان یک پژوهش‌گر در مورد مسائل امنیتی سیستم‌عامل شناخته‌شده است، امروز شناساگر باج‌افزار خود را با نام RansomWhere را عرضه کرد. این ابزار، راهنماهای خانگی روی دستگاه‌های OS X را برای فرآیندهای ناشناخته و نامطمئن کنترل می‌کند که پرونده‌ها را رمزگذاری می‌کنند.

این شناساگر هنگامی‌که فرآیندی را مسدود کرد به کاربر هشدار می‌دهد و منتظر می‌ماند تا کاربر به آن اجازه ادامه فرآیند دهد یا به آن پایان دهد.

واردل گفت: «من دیدم که راه‌های موجود کار نمی‌کنند و ضد بدافزارها هم نقص‌های خود را دارند. KeReg با یک اعتبارنامه‌ی ID اپل قانونی امضاشده است که از سد سیستم‌عامل به عنوان یک برنامه قانونی و معتبر می‌گذرد.
GateKeeper ابزار امنیتی OS X به نام GateKeeper هم آن را مسدود نمی‌کند؛ بنابراین باید فکری کنید و راه‌های انتخاب کنید که فقط برای یک نمونه خاص نباشد».

باج‌افزار KeRenger ماه گذشته منتشر شد و محققان شبکه‌های Palo Alto لقب اولین باج‌افزار OS X عملکردی به آن دادند. حقیقت این است که KeRenger با اعتبارنامه‌ی حقیقی اپل امضاشده است که به او اجازه می‌دهد از راه‌های حفاظتی OS X رد شود؛ اما این باج‌افزار یک دوره سه‌روزه دارد و این زمان به محققان فرصتی برای آگاهی دادن به اپل و Transmission می‌دهد تا گواهی را مسدود و بدافزار را از فهرست بارگیری‌های مشتری حذف کنند.

واردل گفت: باج‌افزار یک‌راه خیلی خوب برای مجرمان است که بتوانند با آن پول بسیاری به جیب بزنند. اگر شما بتوانید به رایانه‌ای حمله کنید و حتی شماره کارت اعتباری کاربر را بدزدید، هیچ ایده‌ای برای استفاده از آن ندارید. در بهترین حالت باید کسی را پیدا کنید که بتواند پول را از این کارت بیرون بکشد.

حالا شما می‌توانید باج‌افزاری بنویسید و شاید بتوانید با آن‌یک نسخه از یک برنامه را بازکنید و آن را روی Pirate Bay (وب‌گاه به اشتراک‌گذاری پرونده‌های تورنت) قرار دهید. همین روش کار باج‌افزارهاست که یک روش به دست آوردن و آسان پول است.

واردل توضیح داد که ابزار وی زمانی رفتاری را به‌عنوان باج‌افزار علامت‌گذاری می‌کند که تعدادی مشخصه داشته باشد، برای مثال تعیین کند که آیا به یک فرایند در حال اجرا اعتماد کند یا خیر. برای مثال فرآیندهای امضاشده توسط اپل یا فرآیندهایی که توسط کاربر تأیید شوند. سپس این ابزار رفتار فرآیندهای غیرقابل‌اعتماد را کنترل می‌کند تا مشخص کند آیا پرونده‌های ساخته‌شده یا تغییریافته، رمزگذاری شده‌اند یا خیر. اگر مشخص شد که این فرآیندها پرونده را رمزگذاری کرده‌اند، این ابزار سریعاً به کاربر هشدار می‌دهد و از کاربر می‌خواهد قدم بعدی را بردارد.

واردل اعتراف کرد که نسخه‌ی ۱.۰ ابزار Ransome Where محدودیت‌هایی دارد و حتی ممکن است موردحمله واقع شود.

او گفت این ابزار شناسایی در پاسخ به واکنشی صورت می‌گیرد و کاربر پیش از اینکه هشداری را دریافت کند ممکن است تعدادی پرونده را هم از دست دهد. این ابزار هم‌چنین عملیاتی که توسط اپل امضاشده باشد را قابل‌اعتماد دانسته و آلودگی‌های تزریق‌شده توسط یک عملیات امضاشده را شناسایی نمی‌کند. واردل جزییات فنی چگونگی کارکرد این ابزار را منتشر کرده است.

در ضمن واردل گفت که نسخه آینده‌ی Ransome Where ممکن است تمامی پرونده‌های دستگاه‌ها را نیز کنترل کنند. او همچنین مایل است که این ابزار شناسایی را در هسته مرکزی قرار دهد و بتواند در آن سطح نیز مؤثر باشد. واردل گفت این اولین ابزاری است که زمان‌بندی در آن فوق‌العاده است.