FBI جزئیات فنی باج افزار AvosLocker و نکات دفاعی را به اشتراک می گذارد

دولت ایالات متحده فهرست ابزارهایی را که وابسته‌های باج‌افزار AvosLocker در حملات استفاده می‌کنند، به‌روزرسانی کرده است تا ابزارهای منبع باز به همراه PowerShell سفارشی و اسکریپت‌های دسته‌ای را در بر بگیرد.

در یک مشاوره مشترک امنیت سایبری، دفتر تحقیقات فدرال (FBI) و آژانس امنیت سایبری و امنیت زیرساخت (CISA) نیز یک قانون YARA برای شناسایی بدافزارها در پوشش یک ابزار نظارت بر شبکه قانونی را به اشتراک می‌گذارند.

ترکیب در نرم افزار منبع باز و قانونی

باج‌افزارهای وابسته AvosLocker از نرم‌افزار قانونی و کد منبع باز برای مدیریت سیستم از راه دور استفاده می‌کنند تا داده‌ها را از شبکه‌های سازمانی به خطر بیندازند.

اف‌بی‌آی عوامل تهدید را با استفاده از PowerShell، پوسته‌های وب و اسکریپت‌های دسته‌ای برای حرکت جانبی در شبکه، افزایش امتیازات و غیرفعال کردن عوامل امنیتی در سیستم‌ها مشاهده کرد.

در مشاوره به روز شده، آژانس ها ابزارهای زیر را به عنوان بخشی از زرادخانه باج افزارهای وابسته AvosLocker به اشتراک می گذارند:

Splashtop Streamer، Tactical RMM، PuTTy، AnyDesk، PDQ Deploy، ابزارهای مدیریت از راه دور Atera Agent برای دسترسی به درب پشتی

ابزارهای تونل زنی شبکه منبع باز: Ligolo، Chisel

چارچوب های شبیه سازی دشمن Cobalt Strike و Sliver برای فرماندهی و کنترل

Lazagne و Mimikatz برای برداشت اعتبار

FileZilla و Rclone برای استخراج داده ها

ابزارهای دیگر در دسترس عموم مشاهده شده در حملات AvosLocker شامل Notepad++، RDP Scanner و ۷zip است. ابزارهای قانونی بومی ویندوز مانند PsExec و Nltest نیز دیده شدند.

یکی دیگر از مؤلفه‌های حملات AvosLocker، یک بدافزار به نام NetMonitor.exe است که به عنوان یک فرآیند قانونی ظاهر می‌شود و «ظاهر یک ابزار نظارت بر شبکه قانونی را دارد».

با این حال، NetMonitor یک ابزار تداوم است که هر پنج دقیقه یک بار از شبکه می آید و به عنوان یک پروکسی معکوس عمل می کند که عاملان تهدید را قادر می سازد از راه دور به شبکه سازش متصل شوند.

FBI با استفاده از جزئیات تحقیقات “یک گروه پزشکی قانونی دیجیتال پیشرفته”، قانون YARA را برای شناسایی بدافزار NetMonitor در یک شبکه ایجاد کرد.

“شرکت های وابسته AvosLocker سازمان ها را در چندین بخش زیرساخت حیاتی در ایالات متحده به خطر انداخته اند و بر محیط های Windows، Linux و VMware ESXi تاثیر گذاشته اند”

در برابر باج افزار AvosLocker دفاع کنید

CISA و FBI به سازمان‌ها توصیه می‌کنند که مکانیسم‌های کنترل برنامه‌ها را برای کنترل اجرای نرم‌افزار، از جمله برنامه‌های مجاز، و همچنین جلوگیری از اجرای نسخه‌های قابل حمل برنامه‌های غیرمجاز، به ویژه ابزارهای دسترسی از راه دور، اجرا کنند.

بخشی از بهترین شیوه‌ها برای دفاع در برابر عوامل تهدید، محدودیت‌هایی برای استفاده از سرویس‌های دسکتاپ از راه دور، مانند RDP، با محدود کردن تعداد تلاش‌های ورود به سیستم و اجرای احراز هویت چند عاملی (MFA) مقاوم در برابر فیشینگ است.

استفاده از اصل حداقل امتیازات نیز بخشی از توصیه‌ها است و سازمان‌ها باید خط فرمان، اسکریپت‌نویسی و استفاده از PowerShell را برای کاربرانی که برای کارشان نیازی ندارند غیرفعال کنند.

به‌روزرسانی نرم‌افزار و کد به آخرین نسخه، استفاده از رمزهای عبور طولانی‌تر، ذخیره آن‌ها در قالب هش‌شده، و نمک‌بندی آن‌ها در صورت اشتراک‌گذاری لاگین‌ها و تقسیم‌بندی شبکه، توصیه‌های همیشگی کارشناسان امنیتی است.

مشاوره امنیت سایبری فعلی به اطلاعات ارائه شده در قبلی که در اواسط ماه مارس منتشر شد، اضافه می کند، که اشاره می کند برخی از حملات باج افزار AvosLocker از آسیب پذیری ها در سرورهای Microsoft Exchange در محل استفاده می کنند.