در ماه آوریل سال ۲۰۱۷ گروه Shadow Brokers ابزارها و اکسپلویت‌هایی را در فضای وب منتشر کردند که گفته می‌شود از سازمان امنیت ملی آمریکا (NSA) به سرقت رفته است که حفره امنیتی EternalRomance و EternalBlue هم جزو آنان بود.

این گروه اکسپلویت‌ها و ابزارهای چهار حفره امنیتی را از آژانس امنیت ملی آمریکا به سرقت بردند که عبارتند از: EternalBlue, EternalChampion, EternalRomance, EternalSynergy ؛ در ماه مارس شرکت مایکروسافت به‌روزرسانی جدیدی را برای برطرف کردن آسیب‌پذیری EternalRomance ارائه کرد اما متاسفانه بسیاری از شرکت‌ها و سازمان‌های بزرگ سیستم‌های خود را به‌روزرسانی نکردند.

مایکروسافت و شرکت F-Secure (یک شرکت فنلاندی تولیدکننده نرم‌افزارهای امنیتی و ضدویروس مستقر در هلسینکی است که دفاتری در مالزی و آمریکا دارد و کار تحلیل ضدویروس و توسعه نرم‌افزاری آن ‌را به‌طور مداوم انجام می‌دهند) هم وجود این باج افزار را تایید کرده‌اند.

تا پیش از این گزارش شده بود که هیچ یک از تروجان‌ها و باج‌افزارهای منتشر شده در این هفته از هیچ یک از ابزارهای توسعه یافته آژانس امنیت ملی آمریکا استفاده نمی‌کند اما بر خلاف گزارش قبل، اخیرا گزارشی توسط بخش ابهام‌زدایی امنیت اطلاعات سیسکو تهیه شده که طبق آن باج افزار خرگوش بد از حفره EternalRomance استفاده می‌کند. همچنین علاوه بر باج افزار خرگوش بد، باج‌افزار NotPetya (که با نام‌های ExPetr و Nyetya هم شناخته می‌شود) و باج افزار WannaCry هم از حفره‌های امنیتی EternalRomance و EternalBlue استفاده می‌کردند.

اما اکسپلویت حفره امنیتی EternalRomance از نوع RCE (remote code execution)، نقص امنیتی است که به هکر اجازه می‌دهد تا دستورات ترمینال یا CMD از راه دور برروی سرور اجرا کند و از نقص امنیتی موجود در پروتکل smb ویندوز استفاده می‌کند. طبق گزارش مرکز اطلاع رسانی پلیس تولید و تبادل اطلاعات، پروتکل SMB( Server Message Block) پروتکلی برای به اشتراک‌گذاری فایل بین کلاینت و سرور است.

هشدار معنادار جهرمی به مدیر تلگرام
مشاهده

این پروتکل توسط شرکت IBM با هدف به اشتراک‌ گذاری منابعی مانند پرینتر، فایل و … توسعه داده شد. SMB در سیستم‌عامل‌های مایکروسافت استفاده‌ شده است. باج افزار خرگوش بد در سایت‌های ارائه دهنده مالتی مدیا در روسیه با تحریک کاربران برای نصب فلش پلیر، کاربران خود را آلوده می‌کند و از کاربران مبلغ ۰.۰۵ بیت‌کوین طلب می‌کند.

خرگوش بد چگونه در شبکه گسترش می‌یابد؟

خرگوش بد از EternalBlue استفاده نمی‌کند، بلکه از EternalRomance RCE بهره می‌گیرد تا در شبکه قربانیان خود را گسترش دهد و به گفته محققان ابتدا شبکه داخلی را به منظور یافتن پروتکل SMB جست و جو می‌کند، سپس سیستم را آلوده می‌کند و با دستور mimikatz هش‌های قربانی خود را استخراج می‌کند.

دستور mimikatz در متاسپلویت (برنامه‌ای در سیستم عامل کالی لینوکس است که به جمع‌آوری آسیب پذیری‌ها و اکسپلویت‌ها می‌پردازد و ابزار بسیار قدرتمندی برای نفود است) باعث می‌شود تا هش‌های سیستم قربانی را به صورت ریموت استخراج کند.

چه کسی خرگوش بد را منتشر کرد؟

از آنجا که هر دو باج افزار خرگوش بد و NotPetya با استفاده از کد دیجیتال DiskCryptor برای رمزگذاری هارددیسک قربانی و پاک کردن دیسک‌های متصل به سیستم آلوده استفاده می‌کنند، محققان معتقدند که هر دو باج افزار توسط یک گروه منتشر شده‌اند.

روش‌های حافظت از سیستم در برابر ویروس

اگر کاربر خانگی هستید پروتکل SMB سیستم خود را ببندید و اگر در شبکه قرار دارید و به پروتکل SMB نیاز دارید، پس WMI service را غیرفعال کنید تا در صورت آلوده شدن یک سیستم، سیستم‌های دیگر آلوده نشوند.

الکسا به هدفون‌ها و ساعت‌های هوشمند می‌آید
مشاهده

همچنین سیستم‌عامل خود را همیشه به‌روز نگه دارید و از آنتی ویروس‌های قدرتمند و معتبر استفاده کنید. از آنجایی که اکثر این بدافزارها از طریق ایمیل‌های فیشینگ وارد سیستم می‌شوند، از باز کردن لینک‌های مشکوک اجتناب کنید.

در پایان اینکه همیشه از اطلاعات خود پشتیبان تهیه کنید تا درصورت بروز هرگونه مشکل امکان بازگردانی اطلاعات را داشته باشید.