Sodin یک باجافزار معمولی نیست
اواخر ماه مارس سال جاری، خبری مبنی بر حملهی باجافزاری موسوم به GandCrab به مشتریان «ارائهدهندگان خدمات مدیریتشده[1]» منتشر شد که از همان زمان احتمال میدادیم این تنها پرونده در نوع خود نخواهد بود. ارائهدهندگان خدمات مدیریتشده در حقیقت برای مجرمان سایبری آنقدر لقمهی چرب و نرمی هستند که نمیشود نادیدهشان گرفت. ظاهراً هم حق با ما بود.
روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ در ماه آوریل، باجافزاری تحت عنوان Sodin توجه متخصصین ما را جلب کرد. این باجافزار با باجافزارهای دیگر تفاوت داشت؛ تفاوتش هم این بود که علاوه بر استفاده از شکافهای امنیتی در سیستم MSPها همچنین از آسیبپذیریای در پلتفرم Oracle WebLogic نیز اکسپلویت میکرده است. و برخلاف معمول که همیشه باجافزار به داخلت کاربری نیاز دارد (برای مثال نیاز قربانی به اجرای یک فایل از ایمیل فیشینگ) در این مورد خاص هیچ مداخلهی کاربریای نیز در کار نیست. از دیدگاه ما جالبترین چیز در مورد این بدافزار، طریقهی توزیعش است.
روشهای توزیع Sodin
مهاجمین با هدف توزیع این بدافزار برای اجرای فرمان PowerShell روی سرور آسیبپذیرِ Oracle WebLogic بوسیلهی WebLogic از آسیبپذیری CVE-2019-2725 استفاده کردند. این کار بدانها اجازه داد تا یک دراپر در سرور آپلود که بعداً هم نصب پیلود را به همراه داشت. پیلود چه بود: همان باجافزار Sodin. پچهای این باگ در تاریخ آوریل منتشر شدند اما اواخر ماه ژوئن باز آسیبپذیری مشابهی کشف شد- CVE-2019-2729.
در حملاتی که پای MSPها وسط میآید، Sodin به طرق مختلف روی دستگاه کاربر مینشیند. کاربرانِ دست کم سه ارائهدهندهی خدمات مدیریتشده همین الانش هم قربانی این تروجان شدند. گفته میشود در برخی موارد مهاجمین از کنسولهای دسترسی ریموت Webroot و Kaseya برای تزریق این تروجان استفاده کرده بودند. در برخی موارد دیگر مهاجمین با استفاده از کانکشن RDP، امتیازات بالا، راهحلهای امنیتی دیاکتیوشده و بکآپها توانستند به زیرساخت MSP نفوذ کنند. سپس آنها باجافزار در کامپیوتر مشتری دانلود کردند.
چه کاری از دست ارائهدهندگان سرویس برمیآید؟
برای شروع، تا جایی که ممکن است ذخیرهی رمزعبور برای دسترسی ریموت و همچنین احراز هویت دو عاملی را جدی بگیرید. کنسولهای ریموت Kaseya و Webroot هر دو از احراز هویت دو عاملی پشتیبانی میکنند. علاوه بر این، بعد از این رویداد، توسعهدهندگان شروع کردند به در اختیار گرفتنِ کارکردِ آن. ظاهراً مهاجمینی که Sodin را توزیع میکنند منتظر یک فرصت استثنائی نیستند؛ آنها از قصد دنبال متودهای گوناگونند تا بتوانند این بدافزار را از طریق ارائهدهندگان MSP توزیع کنند. به همین دلیل مجبورند به دقت به تمام ابزار دیگر که در این حوزه مورد استفاده قرار میگیرند نگاه کنند.
MSPها و خصوصاً آنهایی که خدماتی در راستای امنیت سایبری ارائه میدهند باید از زیرساختهای خود نهایت حراست را بکنند (حتی باید بیش از اینکه حواسشان به زیرساخت کلاینت است به زیرساخت خودشان باشد).
شرکتهای دیگر باید چکار کنند؟
البته که آپدیت کردن نرمافزار هنوز هم از مهمترین کارهاست. اینکه بدافزاری با آسیبپذیریهایی کشفشده به زیرساخت نفوذ کند و چند ماه پیش تازه بخواهد پچ شود نشان از سهلانگاری در اموری بسیار ساده دارد. شرکتهایی که از Oracle WebLogic استفاده میکنند ابتدا میبایست خود را با مشاورههای امنیتی Oracle (برای هر دو آسیبپذیری) آشنا کنند- CVE-2019-2725 و CVE-2019-2729. همچنین توصیه میکنیم از راهحلهای امنیتی مطمئنی استفاده کنید که زیرمجموعههای مجهز به شناسایی باجافزار دارند و میتوانند ایستگاههای کار را از گزند آنها مصون نگه دارند.