گزارش دیجیتال فارنزیک - بخش یازدهم

NetWalker یکی از نمونه‌های مهم باج‌افزارهای مدرن است که از سال ۲۰۱۹ فعالیت خود را آغاز کرد و در ابتدا با نام Mailto شناخته می‌شد.

این باج‌افزار بعدها با تغییر نام به NetWalker، به‌سرعت در میان گروه‌های مجرمان سایبری مطرح شد؛ زیرا تنها یک بدافزار ساده برای رمزگذاری فایل‌ها نبود، بلکه در قالب مدل باج‌افزار به‌عنوان سرویس یا RaaS فعالیت می‌کرد. در این مدل، توسعه‌دهندگان اصلی باج‌افزار زیرساخت و ابزار لازم را فراهم می‌کنند و گروه‌های همکار پس از طی فرآیند ثبت‌نام و غربالگری، نسخه‌های سفارشی‌شده‌ای از باج‌افزار را برای حملات خود دریافت می‌کنند.

در نمونه بررسی‌شده، نفوذگران احتمالاً از طریق RDP و با حساب مدیریتی وارد شبکه شده‌اند و سپس با اجرای فایل‌های مشکوک PowerShell و باینری‌های مرتبط با Cobalt Strike، ارتباط فرماندهی و کنترل خود را برقرار کرده‌اند.

پس از آن، با استفاده از ابزارهای شناسایی اکتیودایرکتوری و سرقت Credential، به Domain Controller دسترسی پیدا کرده و payload باج‌افزار را از طریق PsExec و PowerShell روی سیستم‌های عضو دامنه اجرا کرده‌اند.

این سناریو نشان می‌دهد که NetWalker نه‌تنها از نظر فنی تهدیدی جدی محسوب می‌شود، بلکه به دلیل استفاده از ابزارهای قانونی و تکنیک‌های رایج مدیریتی، شناسایی و مهار آن در محیط‌های سازمانی دشوارتر می‌شود. 

مطالعه این گزارش می‌تواند دید بهتری نسبت به رفتار مهاجمان، ابزارهای مورد استفاده و تکنیک‌های به‌کاررفته در چنین حملاتی ارائه دهد و به درک بهتر نحوه شناسایی و مقابله با این تهدیدات کمک کند.

به منظور دانلود نسخه کامل این گزارش به لینک زیر مراجعه نمایید:

دانلود گزارش دیجیتال فارنزیک بخش یازدهم