دفاع در برابر باج‌افزار با استفاده از پلتفرم متن‌باز Wazuh

🔸 باج‌افزار چیست؟

باج‌افزار نوعی نرم‌افزار مخرب است که دسترسی به سیستم یا داده‌ها را مسدود یا رمزگذاری می‌کند تا زمانی که قربانی مبلغی را به مهاجمان پرداخت کند.
این نوع حمله سایبری یکی از شایع‌ترین و مخرب‌ترین تهدیدات در دنیای دیجیتال است که افراد، سازمان‌ها و زیرساخت‌های حیاتی را در سراسر جهان هدف قرار می‌دهد.

باج‌افزار معمولاً از طریق ایمیل‌های فیشینگ، دانلودهای آلوده یا سوءاستفاده از آسیب‌پذیری‌های نرم‌افزاری وارد سیستم می‌شود. پس از فعال‌سازی، فایل‌ها را با الگوریتم‌های رمزنگاری قوی قفل کرده و مهاجم در ازای کلید رمزگشایی، درخواست پرداخت (معمولاً به صورت رمزارز مانند بیت‌کوین) می‌کند.

در نسخه‌های جدیدتر باج‌افزار، تاکتیک «دوگانه‌سازی اخاذی» (Double Extortion) استفاده می‌شود:
داده‌ها رمزگذاری و خارج می‌شوند و در صورت عدم پرداخت، تهدید به انتشار عمومی داده‌ها صورت می‌گیرد — مسئله‌ای که برای سازمان‌هایی با اطلاعات حساس مشتریان بسیار خطرناک است.

🔸 توسعه و گسترش باج‌افزار

درک فرآیند توسعه و انتشار باج‌افزار برای طراحی راهکارهای دفاعی مؤثر ضروری است.

مراحل توسعه:

کدنویسی بدافزار: نوشتن کدهای مخرب با زبان‌های مختلف، همراه با الگوریتم‌های رمزنگاری و پروتکل‌های کنترل از راه دور.
مدل سرویس‌دهی (RaaS): ارائه باج‌افزار به دیگر مجرمان به‌صورت اشتراکی در ازای درصدی از سود.
آزمایش و سفارشی‌سازی: تست باج‌افزار در برابر محصولات امنیتی برای دور زدن آن‌ها.

روش‌های گسترش:

ایمیل‌های فیشینگ
کیت‌های اکسپلویت (Exploit Kits)
سوءاستفاده از دسترسی RDP
وب‌سایت‌های آلوده و دانلودهای مخرب
حملات زنجیره تأمین
رسانه‌های ذخیره‌سازی آلوده (USB و…)

تأثیر حملات باج‌افزاری

💰 خسارت مالی

پرداخت باج معمولاً از صدها تا میلیون‌ها دلار متغیر است و حتی پس از پرداخت، تضمینی برای بازگردانی داده‌ها وجود ندارد. هزینه‌های جانبی شامل پاسخ به حادثه، تحقیقات، بازیابی سیستم‌ها و جریمه‌های قانونی است.

⚙️ اختلال عملیاتی

رمزگذاری فایل‌ها و غیرفعال شدن سرویس‌ها می‌تواند کل فرآیندهای حیاتی سازمان را برای هفته‌ها یا ماه‌ها مختل کند.

📉 آسیب به اعتبار

افشای حمله و از دست رفتن اعتماد مشتریان، می‌تواند موقعیت رقابتی و برند سازمان را تضعیف کند.

🔸 پیشگیری از حملات باج‌افزاری

راهکارهای فنی

استفاده از SIEM و XDR برای مانیتورینگ مداوم
نظارت بر تغییرات فایل‌ها (FIM)
تحلیل ترافیک شبکه
پشتیبان‌گیری منظم آفلاین
مدیریت وصله‌ها
تفکیک شبکه (Network Segmentation)
فیلترینگ ایمیل
محدودسازی دسترسی (Least Privilege)
اجرای لیست سفید نرم‌افزارها

سیاست‌های سازمانی

آموزش آگاهی امنیتی برای کارکنان
طراحی و تست برنامه پاسخ به حادثه
ممیزی امنیتی منظم
ارزیابی امنیت تأمین‌کنندگان

🔸 نقش Wazuh در مقابله با باج‌افزار

Wazuh یک پلتفرم متن‌باز امنیتی است که به‌صورت یکپارچه قابلیت‌های XDR و SIEM را ارائه می‌دهد. این ابزار به سازمان‌ها کمک می‌کند تا تهدیدات باج‌افزاری را شناسایی، پیشگیری و پاسخ دهند.

قابلیت‌های Wazuh در مقابله با باج‌افزار

تشخیص بدافزار: از طریق تغذیه داده‌های تهدید (Threat Intelligence)
تشخیص آسیب‌پذیری‌ها و پیشنهاد وصله‌ها
تحلیل داده‌های لاگ برای شناسایی نشانه‌های حمله
پایش پیکربندی‌های امنیتی (SCA)
نظارت بر تغییر فایل‌ها (FIM)
پایش انطباق با استانداردها و مقررات امنیتی

🔸 مثال‌های واقعی از شناسایی باج‌افزار با Wazuh

🧠 شناسایی باج‌افزار DOGE Big Balls

این باج‌افزار نسخه‌ای اصلاح‌شده از FOG است که از طریق فیشینگ و آسیب‌پذیری‌های وصله‌نشده پخش می‌شود.
Wazuh با استفاده از قوانین تشخیص سفارشی (Custom Rules) و پایگاه داده CBD قادر است دستورات شناسایی، ایجاد یادداشت‌های باج‌گیری و رمزگذاری فایل‌ها را شناسایی کند و واکنش خودکار (Active Response) برای حذف فایل‌های آلوده فعال نماید.

				
					#CBD list containing DOGE Big Balls reconnaissance commands.

net  config Workstation:
systeminfo:
hostname:
net  users:
ipconfig  /all:
route  print:
arp  -A:
netstat  -ano:
netsh firewall show state:
netsh firewall show config:
schtasks  /query /fo LIST /v:
tasklist  /SVC:
net  start:
DRIVERQUERY:
---------------------
#Threat detection rules

----------------------
<group name="doge_big_ball,ransomware,">

  <rule id="100020" level="10">
    <if_sid>61613</if_sid>
    <field name="win.eventdata.image" type="pcre2">(?i)[C-Z]:.*\\\\.*.exe</field>
    <field name="win.eventdata.targetFilename" type="pcre2">(?i)[C-Z]:.*.\\\\DbgLog.sys</field>
    <description>A log file $(win.eventdata.targetFilename) was created to log the output of the reconnaissance activities of the DOGE Big Balls ransomware. Suspicious activity detected.</description>
    <mitre>
      <id>T1486</id>
    </mitre>
  </rule>

  <rule id="100021" level="8" timeframe="300" frequency="2">  
    <if_sid>61603</if_sid>  
    <list field="win.eventdata.commandLine" lookup="match_key">etc/lists/doge-big-balls-ransomware</list>  
    <description>The command $(win.eventdata.commandLine) is executed for reconnaissance activities. Suspicious activity detected.</description>  
    <options>no_full_log</options>  
  </rule>

<!-- Ransom note file creation -->
  <rule id="100022" level="15" timeframe="300" frequency="2">
    <if_sid>61613</if_sid>
    <field name="win.eventdata.image" type="pcre2">(?i)[C-Z]:.*\\\\.*.exe</field>
    <field name="win.eventdata.targetFilename" type="pcre2">(?i)[C-Z]:.*.\\\\readme.txt</field>
    <description>DOGE Big Balls ransom note $(win.eventdata.targetFilename) has been created in multiple directories. Possible DOGE Big Balls ransomware detected.</description>
    <mitre>
      <id>T1486</id>
    </mitre>
  </rule>

  
  <rule id="100023" level="15" timeframe="300" frequency="2" ignore="100">
    <if_matched_sid>100020</if_matched_sid>
    <if_sid>100021</if_sid>
    <description>Possible DOGE Big Balls ransomware detected.</description>
    <mitre>
      <id>T1486</id>
    </mitre>
  </rule> 

</group>

💾 شناسایی باج‌افزار Gunra

این باج‌افزار از روش دوگانه‌سازی اخاذی استفاده می‌کند (رمزگذاری + افشای داده).
Wazuh با تحلیل یادداشت‌های باج‌گیری، حذف نسخه‌های پشتیبان (Shadow Copy) و بارگذاری ماژول‌های مشکوک، فعالیت آن را تشخیص داده و فایل‌های آلوده را از طریق VirusTotal حذف می‌کند.

				
					#Threat detection rules
------
<group name="gunra,ransomware,">

  <!--Ransom note file creation-->
  <rule frequency="2" id="100601" ignore="100" level="15" timeframe="100">
    <if_sid>61613</if_sid>
    <field name="win.eventdata.Image" type="pcre2">[^"]+\.exe</field>
    <field name="win.eventdata.targetFilename" type="pcre2">[^"]*R3ADM3\.txt</field>
    <description>Possible Gunra ransomware activity detected: Multiple ransom notes dropped in $(win.eventdata.targetFilename)</description>
    <mitre>
      <id>T1543.003</id>
      <id>T1486</id> 
    </mitre>
  </rule>

  <!--Antimalware Scan Interface Access Modification-->
  <rule id="100602" level="7">
    <if_sid>61609</if_sid>
    <field name="win.eventdata.Image" type="pcre2">C:\\\\Windows\\\\System32\\\\VSSVC\.exe</field>
    <field name="win.eventdata.ImageLoaded" type="pcre2">C:\\\\Windows\\\\System32\\\\amsi\.dll</field>
    <description>Possible ransomware activity detected: Suspicious Volume Shadow copy Service (VSS) loaded amsi.dll for tampering and evasion attempt.</description>
    <mitre>
      <id>T1562</id>
      <id>T1562.001</id>
    </mitre>
  </rule>

  <rule id="100603" level="7">
    <if_sid>61609</if_sid>
    <field name="win.eventdata.Image" type="pcre2">(C:\\\\Windows\\\\SystemApps\\\\Microsoft\.Windows\.AppRep\.ChxApp_cw5n1h2txyewy\\\\CHXSmartScreen\.exe)</field>
    <field name="win.eventdata.ImageLoaded" type="pcre2">C:\\\\Windows\\\\System32\\\\urlmon\.dll</field>
    <description>Possible ransomware activity detected: Urlmon.dll was loaded, indicating network reconnaissance.</description>
    <mitre>
      <id>T1562.001</id>
    </mitre>
  </rule>

  <!--Volume Shadow copy Service (VSS) deletion-->
  <rule id="100604" level="7">
    <if_sid>60103</if_sid>
    <field name="win.eventdata.targetUserName" type="pcre2">Backup Operators</field>
    <field name="win.eventdata.targetSid" type="pcre2">S-1-5-32-551</field>
    <field name="win.eventdata.callerProcessName" type="pcre2">C:\\\\Windows\\\\System32\\\\VSSVC\.exe</field>
    <description>Possible Gunra ransomware activity detected: Volume Shadow copy Service (VSS) deletion attempts, gearing up to disable backups.</description>
    <mitre>
      <id>T1562</id>
      <id>T1562.002</id>
    </mitre>
  </rule>

  <rule id="100605" level="7">
    <if_sid>60103</if_sid>
    <field name="win.eventdata.targetUserName" type="pcre2">Administrators</field>
    <field name="win.eventdata.targetSid" type="pcre2">S-1-5-32-544</field>
    <field name="win.eventdata.callerProcessName" type="pcre2">C:\\\\Windows\\\\System32\\\\VSSVC\.exe</field>
    <description>Possible Gunra ransomware activity detected: Volume Shadow copy Service (VSS) deletion shadow attempts, gearing to disable local admin accounts</description>
    <mitre>
      <id>T1562</id>
      <id>T1562.002</id>
    </mitre>
  </rule>

</group>

🔸 بازیابی فایل‌ها در ویندوز با Wazuh

Wazuh از طریق ماژول فرمان (Command Module) و Volume Shadow Copy امکان بازیابی خودکار فایل‌های رمزگذاری‌شده را فراهم می‌کند و به مدیران اجازه می‌دهد داده‌ها را به حالت پیش از آلودگی برگردانند.

🔸 جمع‌بندی Vulnerbyte

حملات باج‌افزاری تهدیدی جدی برای پایداری و اعتبار سازمان‌ها هستند.
دفاع چندلایه شامل شناسایی زودهنگام، پاسخ سریع و پشتیبان‌گیری منظم می‌تواند میزان خسارت را به حداقل برساند.

Wazuh با قابلیت‌های آماده برای تحلیل آسیب‌پذیری، پایش فایل‌ها، تحلیل داده‌های لاگ و پاسخ خودکار، راهکاری قدرتمند برای مقابله با باج‌افزار و کاهش زمان ازکارافتادگی ارائه می‌دهد.

منابع:

https://thehackernews.com/2025/11/ransomware-defense-using-wazuh-open.html