ماشینهای مجازی ابزار مناسبی برای تحلیلگران تهدید هستند زیرا آنها بدافزار را Debug و بررسی میکنند. اما حالا مستنداتی از مهاجمان سایبری مخربی وجود دارد که با سواستفاده از یک ماشین مجازی، حملات باجافزاری Ragnar Locker را مخفی میکنند.
محققان Sophos که این ترفند را آشکار کردند ادعا میکنند که چنین حقهای، اولین مرحله حملات باجافزاری و احتمالا هر عملیات بدافزاری است. مارک لومان سرپرست بخش مهندسی و کاهش تهدیدات در Sophos طی مصاحبهای با SC Media گفت: این ترفند به خوبی خود را با باجافزار سازگار کرده و از آنجا که هدف آن رمزگذازی فایلهاست، مهاجمان میخواهند تا این امر توسط یک برنامه کاربردی قابل اعتماد انجام شود.
در مطلبی مربوط به این بحث، آقای لومان توضیح میدهد که حملات باجافزاری با استفاده از محیط ماشین مجازی سطح جدیدی از گریز از سیستم دفاعی را به همراه داشته است. به دلیل اینکه وقتی کد مخرب قادر است دیسکها و درایوهای یک میزبان آلوده را مورد هجوم قرار دهد، نرمافزار امنیتی نصب شده میگوید که میزبان نمیتواند به بدافزار دسترسی داشته باشد. سیستمهای دفاعی تنها بر ماشینهای فیزیکی نظارت دارند نه ماشینهای مجازی.
Sophos تکنولوژی ماشین مجازی را به عنوان یک Oracle VirtualBox Hypervisor از سال 2009 معرفی کرده – اما در آن زمان، این تکنولوژی با عنوان Sun xVM VirtualBox شناخته میشد، (نسخه 3.0.4). Oracle بعدا میخواست به Sun Microsystems برسد.
این حمله از یک امر Windows Group Policy Objects برای اجرای Microsoft Installer استفاده کرده و سپس بسته MSI بیعلامت را از یک سرور وب Remote، نصب میکند. این بسته ماشین مجازی، فایل Image دیسک مجازی (VDI) که حاوی فایل اجرایی باجافزار است، و فایلهای اضافی دیگری که از زنجیره آلودگی پشتیبانی میکنند را Deploy میکند.
بیشتر بخوانید: ده روش کاربردی جهت محافظت سازمان ها در مقابل باجافزار
به عنوان بخشی از فرآیند آلودگی، Ragnar Locker نسخههای Shadow Copy را حذف میکند تا مانع ذخیرهسازی دوباره فایلها شود. این فایلها شامل تمامی دیسکهای Local، درایوهای متصل قابل جداسازی و درایوهای شبکه Mapشده در ماشین مجازی هستند. بنابراین آنها میتوانند پیکربندی شوند تا با استفاده از پوشههای به اشتراک گذاشته شده از درون ماشین مجازی قابل دسترسی باشند.
لومان در مصاحبه خود شرح میدهد: برای اینکه یک باجافزار بر ماشین مجازی تاثیرگذار باشد، نیازمند تاثیر گذاشتن بر دادهها در دنیای واقعی است. برای انجام این کار، مهاجم با استفاده از پوشههای اشتراکی، مجرایی از ماشین مجازی به دامین فیزیکی ایجاد میکند که سرانجام طبیعی Hypervisor راهاندازی ماشین مجازی است. با وجود اینکه محافظت Endpoint تنها میتواند ماشینهای فیزیکی را کنترل کند و هیچ تاثیری بر نوع مجازی آن ندارد، ماشین Ghost برای شناسایی بدافزار، ازدسترس خارج است، بنابراین باینری باجافزار، آزادی کاملی در ماشین مجازی دارد.
سپس، باجافزار لیستی از نامهای فرآیندها و سرویسها فراهم میکند و هرکدام که باز باشند را نابود میکند تا همانطور که باجافزار میخواهد رمزگذاری شوند. Sophos توضیح میدهد که این لیستها به محیط شبکه سازمان قربانی اختصاص دارند و شامل نامهای فرآیندها و سرویسهایی هستند که به نرمافزار محافظتی End Point تعلق دارند.
این جایی نیست که تغییرات شخصیسازی پایان یابد، Sophos مشاهده کرده که باجافزار برای هر هدفی بطور جداگانه کامپایل میکند، درست طبق توضیحات گزارش باجگیری که بطور ویژه به نام شرکت قربانی رجوع میکند. باجافزاری که درون محیط مجازی فعالیت میکند، فرآیندها و رفتارهایش بدون مانع است زیرا خارج از دسترسی نرمافزارهای امنیتی در ماشین فیزیکی میزبان هستند.
خوشبختانه، آقای لومان به SC Media گفت که چنین حملات بدافزاری ای، پیش از وارد شدن خسارت میتوانند شناسایی شوند. محافظت End Point با مدل Zero-Trust در مقابل باجافزار، همچنان میتواند فرآیند Hypervisor که ماشین مجازی را راهاندازی میکند را مانیتور کند. با بررسی دقیق هر فایلی که Hypervisor با آن در دنیای واقعی تماس دارد، این حملات بدافزاری قابل شناسایی هستند اگر یک سند یا تصویر با رمزگذاری از شکل طبیعی خود خارج شده باشد.
