کد مطلب:
چگونه به باجافزار پتیا آلوده میشوید؟
به گزارش سیتنا، پتیا اولین بار در اواخر ماه مارس سال ۲۰۱۶ مشاهده شد. نکتهای که پتیا را منحصر به فرد میسازد این است که این باجافزار به جای ویندوز از سیستم عامل کوچک خود استفاده میکند، بنابراین قادر است ساختارهای حیاتی سیستم فایل کامپیوتر را در صورت راهاندازی مجدد آن بر روی دیسک بوت رمزنگاری کند.
موج آغازین آلودگی پتیا به هک نرمافزار حسابداری محبوب اکراینی یعنی MeDoc بر میگردد. مهاجمانی ناشناس با دستیابی به سرورهای بهروز رسانی این نرمافزار توانستند باجافزار پتیا را به عنوان یک بهروز رسانی نرمافزاری وارد کامپیوتر سرویس گیرندههای این شرکت کنند. از این روش پیش از این در سایر خانوادههای باجافزارها مثل XData هم برای شروع موج حملات نرمافزاری استفاده شده بود.
پس از آن که تعدادی سیستم آلوده شدند، پتیا با استفاده از همان اکسپلویت NSA که توسط گروه Shadow Brokers لو رفته و توسط WannaCry استفاده شده بود، توانست به سرعت خود را در سراسر جهان پخش کند. این اکسپلویت که به ETERNALBLUE معروف است، از یک آسیبپذیری در پروتکل SMBv1 مایکروسافت استفاده میکند و به مهاجم اجازه میدهد تا کنترل سیستمهایی با مشخصات زیر را در دست بگیرد:
- سیستمهایی که پروتکل SMBv1 در آنها فعال است
- سیستمهایی که از طریق اینترنت قابل دسترسی هستند
- سیستمهایی که از وصلهی امنیتی MS17-010 مربوط به ماه مارس ۲۰۱۷ استفاده نمیکنند
اگر اکسپلویت ETERNALBLUE موفقیتآمیز باشد، برنامهی مذکور یک در پشتی موسوم به DOUBLEPULSAR نصب میکند. بدافزار از DOUBLEPULSAR برای ارسال خود به سیستم اکسپلویت شده و اجرا شدن استفاده میکند.
به علاوه، پتیا از ویژگیهای مدیریتی گوناگونی که در ویندوز تعبیه شده هم برای پخش شدن در یک شبکهی در معرض خطر استفاده میکند. این یعنی اگر همهی کامپیوترها هم وصله شده باشند، فقط یک دستگاه وصله نشده برای آلوده کردن کل شبکه کافی است.
پتیا از ترکیب ابزار مدیریتی ویندوز (Windows Management Instrumentation) و ابزار محبوب PsExec به همراه سهم مدیریتی شبکه برای تسهیل پخش جانبی باجافزار خود درون یک شبکهی محلی استفاده میکند.
انتهای پیام
افزودن دیدگاه جدید