بیایید بدافزار Akira را ببریم توی آزمایشگاه پادزهر و کدهای آن را باز کنیم. آکیرا یک باجافزار عادی نیست؛ این بدافزار به زبان C++ نوشته شده و به شدت روی سرعت انکریپت کردن تمرکز دارد. برای این کار از الگوریتم ترکیبی ChaCha20 و RSA استفاده میکند. اما هکرها میدانند که اگر همینطوری شروع به رمزگذاری کنند، ویندوز اجازه نمیدهد فایلهای بازِ دیتابیس رمز شوند و ادمین هم میتواند از طریق بخش Shadow Copies ویندوز، همهچیز را به چند ساعت قبل برگرداند.
پس آکیرا چه میکند؟ اینجاست که تکنیکهای مایتر اتک (MITRE ATT&CK) خودش را نشان میدهد. بدافزار ابتدا پروسسهای دیتابیسی بزرگ مثل sqlservr.exe را با دستورات سیستمی میکشد (Taskkill) تا قفل فایلها باز شود. سپس برای اینکه راه فرار را کاملاً ببندد، تکنیک T1490 یعنی Inhibit System Recovery را اجرا میکند. هکر خط فرمان (CMD) را باز میکند و این دستور مخوف را میزند: vssadmin delete shadows /all /quiet. در یک چشم به هم زدن، تمام بکاپهای لحظهای ویندوز نابود میشوند. بعد از آن، آکیرا به سراغ آنتیویروس میرود. اگر قابلیت Tamper Protection فعال نباشد، سرویس ویندوز دیفندر را با دستور net stop WinDefend متوقف میکند. حالا زمین بازی کاملاً خالی است و شروع به رمزگذاری میکند.
تکمیلی :
گیت هاب : کدهای مربوط به sysmon و Wazuh برای شناسایی Akira
تلگرام : اول از همه ، هرچیزی از قسمت های پادکست اینجا منتشر میشود
روزنامه لینکدین : مباحث فنی و تخصصی هر اپ
اولین نفر کامنت بزار
درباره APT با نام Ajax Security Team :<...
حمله سازمان یافته با نام Agrius
حمله سازمان یافته admin@338 :<...
سلام خدمت شما شنوندگان...
آخرین پادکست آموزشی پادفن البرز
مسیر های Expert شدن در فناوری اطلاعات چ...
در این اپیزود ...
این اپیزود به پیشنهاد مخاطب عزیزمون ، آقای مرصا...
تصور کنید کامپیوتر یا موبایل شما یه خونه پر از ...
تمامی حقوق این وبسایت متعلق به شنوتو است