تبلیغات
دانلود آهنگ های جدید و زیبا و شنیدنی - یک بدافزار جدید، برای ارتباطات دستور و کنترل خود از وب‌گاه‌های معروف استفاده می‌کند

یک بدافزار جدید، برای ارتباطات دستور و کنترل خود از وب‌گاه‌های معروف استفاده می‌کند

جمعه 18 فروردین 1396 10:33 ب.ظ

 

یک بدافزار جدید، برای ارتباطات دستور و کنترل خود از وب‌گاه‌های معروف استفاده می‌کند • سرو هاست

  • یک بدافزار جدید، برای ارتباطات دستور و کنترل خود از وب‌گاه‌های معروف استفاده می‌کند • سرو هاست

    محققان امنیتی سیسکو تالوس هشدار دادند یک ابزار مدیریت از راه دور (RAT) کشف شده که از وب‌گاه‌های معروف و شناخته‌شده برای ارتباطات دستور و کنترل و خارج کردن اطلاعات قربانی استفاده می‌کند. 

     

    این ابزار با نام ROKRAT توسط رایانامه با ضمیمه‌ی واژه‌پرداز Hangul توزیع می‌شود و کاربران در کره را هدف قرار داده است چرا که این واژه‌پرداز در این کشور به‌جای آفیس از محبوبیت زیادی برخوردار است. محققان امنیتی متوجه شدند برخی از این رایانامه‌های فیشینگ از طرف کارگزار میزبانی Yonsei ارسال شده است که یک دانشگاه خصوصی در سئول است. برای قانونی جلوه دادن این رایانامه‌ها، مهاجمان در قسمت آدرس فرستنده، از آدرس رایانامه‌ی انجمن جهانی کره استفاده کرده‌اند. 

     

    این سند واژه‌پردازِ مخرب، حاوی یک شیء رمزنگاری‌شده‌ی پست‌اسکریپت است که از یک آسیب‌پذیری شناخته‌شده (با شناسه‌ی CVE-2013-0808) بهره‌برداری کرده و یک باینری را در قالب پرونده‌ی jpg. بارگیری می‌کند. محققان تالوس می‌گویند زمانی‌که این پرونده رمزگشایی و اجرا شد، بدافزار ROKRAT بر روی ماشین قربانی نصب می‌شود. 

     

    این ابزار با استفاده از وب‌گاه‌های معروف مانند توییتر، Yandex و مدیافایر به‌عنوان بستر دستور و کنترل، بسیار پیچیده شده و قانونی جلوه می‌کند. نه تنها مسدود کردن این وب‌گاه‌ها در یک شبکه‌ی سازمانی شدنی نیست چرا که این وب‌گاه‌ها پراستفاده هستند بلکه این وب‌گاه‌ها مبتنی بر HTTPS بوده و کشف الگو برای شناسایی آن‌ها بسیار سخت است. 

     

    پس از انجام تجزیه و تحلیل‌ها، محققان دریافتند که این RAT بر روی سامانه‌های ویندوز ایکس‌پی کار نمی‌کند و دارای قابلیتی است که اجرا در محیط جعبه شنی و وجود نرم‌افزارهای تحلیل بدافزار را بر روی سامانه‌ی آلوده بررسی می‌کند. اگر چنین ابزارهایی تشخیص داده شود، بدافزار به یک تابع جعلی سوئیچ کرده و ترافیک HTTP تولید می‌کند.

     

    برای برقراری ارتباط با بسترهای دستور و کنترل، این RAT از ۱۲ رمزواره‌ی هارکدشده استفاده می‌کند. (۷ رمزواره مربوط به واسط برنامه‌نویسی توییتر، ۴ رمزواره برای Yandex و یکی برای مدیافایر) این بدافزار قادر است از روی آخرین توییت ارسال شده در حساب‌های مخرب، دستورات را خوانده و همچنین توییت ارسال کند. بدافزار داده‌های به سرقت برده را نیز بر روی بستر اَبر Yandex و مدیافایر بارگذاری می‌کند. 

     

    محققان امنیتی می‌گویند این بدافزار دارای قابلیت کی‌لاگر بوده و در برخی نمونه‌ها، مشاهده شده که اسکرین‌شات از سامانه‌ی قربانی تهیه کرده است. محققان تالوس می‌گویند مهاجمان پشت این بدافزار دارای انگیزه‌ی بالایی هستند و از نوآوری‌های خوبی بهره برده‌اند. همچنین این بدافزار دارای ویژگی‌های عجیب و غریب دیگری نیز هست به‌طوری‌که اگر در یک محیط جعبه شنی قرار بگیرد، درخواست‌های قانونی را به سمت وب‌گاه‌های معروف مانند آمازون ارسال می‌کند. 

     


برچسب ها: یک ، بدافزار ، جدید ، برای ، ارتباطات ، دستور ، و ،