باجافزار رابینهود با سوءاستفاده از راهانداز Gigabyte باعث از کارافتادن آنتیویروس میشود.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، گردانندگان باجافزار RobbinHood با بهرهجویی (Exploit) از یک آسیبپذیری در راهانداز (Driver) شرکت Gigabyte و نصب راهاندازی مخرب و امضا نشده (Unsigned) در سیستم عامل Windows اقدام به متوقف کردن ضدویروس و سایر نرمافزارهای امنیتی نصب شده بر روی دستگاه میکنند.
یکی از اصلیترین موانع در موفقیت مهاجمان در انتشار بدافزارها، آنتیویروس فعال بر روی کامپیوترهاست که وظیفه آن شناسایی و حذف یا مسدودسازی فایل مخرب بهمحض کپی شدن است. با بهکارگیری این سازوکار، مهاجمان میتوانند فایل اجرایی مخرب خود را بهسرعت، بدون جلب توجه و با اطمینان از شناسایی و مسدود نشدن توسط محصولات امنیتی در سرتاسر شبکه توزیع کنند.
اکثر فرایندهای مرتبط با نرمافزارهای امنیتی در سیستم عامل Windows توسط فرایندهای عادی قابل متوقف شدن نبوده و تنها راهاندازهای موسوم به Kernel که بالاترین سطح دسترسی را در سیستم عامل Windows دارند قادر به انجام آن هستند.
همچنین Microsoft با لحاظ کردن سیاستی امنیتی با عنوان Driver Signature Enforcement در Windows از نصب آن دسته از راهاندازهای Kernel که توسط Microsoft امضا نشدهاند خودداری میکند. هدف از اعمال این سیاست، ناکام گذاشتن مهاجمان و بدافزارها در نصب راهاندازهای مخرب و دستیابی به سطح دسترسی Kernel در این سیستم عامل است.
اما بر اساس گزارش جدیدی که شرکت Sophos آن را منتشر کرده مهاجمان RobbinHood با بهرهجویی از یک راهانداز آسیبپذیر شناخته شده شرکت Gigabyte که دارای امضای Microsoft است اقدام به دور زدن سیاست Driver Signature Enforcement میکنند.
بر طبق گزارش Sophos، در این روش، مهاجمان راهانداز Gigabyte را بهعنوان ابزاری هک اجرا کرده و در ادامه یک راهانداز امضا نشده را فراخوانی میکنند. پس از آن، راهانداز دوم پروسهها و فایلهای متعلق به محصولات امنیت نقاط پایانی را از کار انداخته و با آسیبپذیر کردن سیستم امکان اجرای باجافزار را بدون هر گونه محدودیتی فراهم میکند.
حمله با توزیع فایلی با نام Steel.exe که وظیفه آن بهرهجویی از آسیبپذیری CORE-۲۰۱۸-۰۰۰۷ در فایل gdrv.sys – متعلق به راهانداز Gigabyte – است آغاز میشود.
با اجرا شدن، Steel.exe محتوای فایل ROBNR.EXE را در مسیر C:\Windows\Temp کپی میکند که در نتیجه آن دو راهانداز شامل راهانداز آسیبپذیر Gigabyte (gdrv.sys) و راهانداز مخرب RobbinHood (فایل rbnl.sys) در پوشه ایجاد میشود.
پس از آن ROBNR راهانداز Gigabyte را نصب و با بهرهجویی، Driver Signature Enforcement را متوقف میکند.
اکنون، ROBNR قادر به نصب راهانداز مخرب rbnl.sys و در ادامه فراهم کردن امکان استفاده از آن توسط Steel.exe جهت متوقف یا حذف کردن پروسههای مرتبط با ضدویروس و محصولات امنیتی نصب شده بر روی دستگاه است.
Steel.exe، فهرستی از پروسههایی که باید متوقف شوند و سرویسهایی که پروسههای آنها باید حذف شوند را استخراج و در فایلی با نام PLIST.TXT ذخیره میکند. در ادامه به سراغ هریک از فرایندهای مندرج در فهرست رفته و اقدام به متوقف یا حذف کردن آنها میکند.
در جریان تحقیقات انجام شده، امکان دستیابی به فایل PLIST.TXT و شناسایی پروسهها و سرویسهای مورد هدف فراهم نشده است.
زمانی که وظیفه Steel.exe در متوقف کردن نرمافزارهای امنیتی با موفقیت به فرجام میرسد، باجافزار میتواند بدون هر نوع ممانعتی از سوی محصولات امنیتی نصب شده بر روی دستگاه، فایلها را رمزگذاری کند.
با توجه به سود بالای اجرای حملات باجافزاری با دامنه آلودهسازی کل شبکه در مقایسه با حملات محدود به یک دستگاه، مهاجمان در حال یافتن و خلق راههای جدید برای عبور از سد محصولات امنیتی هستند. از آنجا که نقطه شروع اینگونه حملات نیز رخنه به یکی از دستگاههای شبکه است مؤثرترین راهکار پیشگیرانه و مقابله به حداقل رساندن آسیبپذیریهای امنیتی سازمان است. این شامل آموزش کاربران در برابر مقابله با حملات فیشینگ، اطمینان از نصب بهروزرسانیهای امنیتی و استفاده نکردن از پودمانها و سرویسهایی همچون RDP بر روی دستگاههای قابل دسترس در بستر اینترنت میشود.