بیایید بدافزار Akira را ببریم توی آزمایشگاه پادزهر و کدهای آن را باز کنیم. آکیرا یک باج‌افزار عادی نیست؛ این بدافزار به زبان C++ نوشته شده و به شدت روی سرعت انکریپت کردن تمرکز دارد. برای این کار از الگوریتم ترکیبی ChaCha20 و RSA استفاده می‌کند. اما هکرها می‌دانند که اگر همین‌طوری شروع به رمزگذاری کنند، ویندوز اجازه نمی‌دهد فایل‌های بازِ دیتابیس رمز شوند و ادمین هم می‌تواند از طریق بخش Shadow Copies ویندوز، همه‌چیز را به چند ساعت قبل برگرداند.

پس آکیرا چه می‌کند؟ اینجاست که تکنیک‌های مایتر اتک (MITRE ATT&CK) خودش را نشان می‌دهد. بدافزار ابتدا پروسس‌های دیتابیسی بزرگ مثل sqlservr.exe را با دستورات سیستمی می‌کشد (Taskkill) تا قفل فایل‌ها باز شود. سپس برای اینکه راه فرار را کاملاً ببندد، تکنیک T1490 یعنی Inhibit System Recovery را اجرا می‌کند. هکر خط فرمان (CMD) را باز می‌کند و این دستور مخوف را می‌زند: vssadmin delete shadows /all /quiet. در یک چشم به هم زدن، تمام بکاپ‌های لحظه‌ای ویندوز نابود می‌شوند. بعد از آن، آکیرا به سراغ آنتی‌ویروس می‌رود. اگر قابلیت Tamper Protection فعال نباشد، سرویس ویندوز دیفندر را با دستور net stop WinDefend متوقف می‌کند. حالا زمین بازی کاملاً خالی است و شروع به رمزگذاری می‌کند.

تکمیلی :

گیت هاب : کدهای مربوط به sysmon و Wazuh برای شناسایی Akira

تلگرام : اول از همه ، هرچیزی از قسمت های پادکست اینجا منتشر میشود

روزنامه لینکدین : مباحث فنی و تخصصی هر اپ