کشف باجافزار چند منظوره که حملات DDoS را تقویت میکند!
کد خبر :38335
محققان شرکت اینوینسیا هشدار دادهاند که مجرمان سایبری از نوعی نرمافزار استفاده میکنند که به نظر میرسد از دستگاههای آلوده برای اهدافی مخرب همچون انجام حملات منع سرویس توزیعشده (DDoS) استفاده میکند.
آی تی اس ان (پایگاه خبری امنیت فناوری اطلاعات) ، ایکنا دایک از شرکت اینوینسیا توضیح داده است که علاوه بر گروگان گرفتن دادههای قربانی برای دریافت کردن باج، این نوع باجافزار، از سامانه قربانی به عنوان بخش بالقوهای از حملات DDoS استفاده میکند.
محققان موفق شدند که این باجافزار را به یک خانوادهی سایبری گره بزنند و کشف کنند که این بدافزار تغییراتی را در محافظ صفحه نمایش Screensaver پدید میآورد که به او اجازه میدهد تا یک یادداشت باجافزار دائمی را روی صفحه نمایش قربانی نشان دهند. علاوه بر این، این باجافزار رفتار عجیب و غریبی در شبکه از خود نشان میدهد که آدرس IP آن مابین محدودههای ۸۵.۹۳.۰.۰ تا ۸۵.۹۳.۶۳.۲۵۵ قرار دارد.
عواملی که پشت این بدافزار هستند، از یک سند آلودهی آفیس برای توزیع آن با یک روش حملهی بدون پرونده استفاده میکنند. یک سند RTF در صندوق پستی قربانی قرار دارد و مهاجم تلاش میکند تا کاربر اجازهی اجرای ماکروها را در نرمافزار مایکروسافت ورد برای دیدن محتوای آن بدهد. به محض اجرای آن، این ماکروها به یک سطح فرمان بالاتر در سامانه قربانی پرش میکنند و یک Vbscript رمزنگاری شده را اجرا میکنند.
به گفته پژوهشگر ایوینسیا، این کد بدافزار برای جلوگیری از تجزیه و تحلیل به صورت مبهم نوشته شده، اما توابع و متغیرهای نوشته شده در آن، توسط رایانه تولید شدهاند. تکه کدهایی از آن را هم میتوان یافت که توسط انسان تولید شدهاند، اما محققان عقیده دارند که متغیرها، اعداد صحیح و توضیحات در کدها در واقع طوری اضافه شدهاند که تجزیه و تحلیل را مشکل کنند.
همچنین دایک کشف کرده است که برخی از این عملکردها در کدها به پروندههای متنی اشاره داد، در حالیکه در نهایت، این کدها به یک صورت یک پرونده vbs. صادر شده و سپس اجرا میشوند. بعد از اینکه این اسکریپت (که به نام ۳۲۶۳.vbs در این حمله نامگذاری شده است) ایجاد و اجرا شد، یک پرونده باینری آلودهی دیگر به نام ۳۳۱۱.tmp ایجاد میکند که عقیده بر این است که یک باجافزار Cerber است.
علاوه بر انجام تغییرات در محافظ صفحه نمایش برای نشان دادن یادداشت باجافزار و فراخوانی زیرشبکه بسیار بزرگ ۲۵۵.۲۵۵.۱۹۲.۰، این باجافزار یک فایل tmp هگزادسیمال ایجاد میکند که متعاقباً یک روال explorer.exe را اجرا میکند. علاوه بر این، این روال، مجموعههایی از پروندههای tmp ایجاد میکند و آنها را روی دیسک مینویسد که ظاهراً این رشته حوادث به یک حلقه در VBScript مربوط میشوند.
به گفتهی این پژوهشگر، هنوز این احتمال وجود دارد که این نوع بدافزار مورد تجزیه و تحلیل قرار گرفته، به طور کامل فرایند انتقال بار دادهی مخرب خود را روی دستگاه قربانی تکمیل نکند. اگر این موضوع محتمل باشد، این کار به این معنا خواهد بود که علاوه بر فعالیتهای مخرب مشاهده شده، ممکن است این بدافزار، فعالیتهای مخرب دیگری را نیز برای اجرا روی دستگاه قربانی در نظر داشته باشد.
این محقق نتیجهگیری میکند: «به نظر میرسد که ترافیک مشاهده شده، زیرشبکه را با بستههای UDP روی درگاه ۶۸۹۲ بمباران میکند. با جعل آدرس مبدأ، میزبان میتواند همهی ترافیک برگشت داده شده از زیرشبکه را به یک میزبان هدف تغییر مسیر دهد و موجب شود که میزبان قادر به پاسخگویی نباشد».
اوایل این هفته، مایکروسافت از بهبودهایی در بدافزار ماکرو خبر داد که اکنون مهارتهایی اضافی را به خود افزوده است و میتواند به شکل بهتری کدهای مخرب خود را پنهان کنند. بدافزار ماکرو که در دههی ۱۹۹۰ بسیار معمول بود، سال گذشته دوباره بازگشته است. اوایل این سال، Dridex و Locky دو خانواده از بدافزارهایی که از اسناد مخرب استفاده میکنند، شروع به مخفی کردن کدهای مخرب خود کردهاند.
تاریخ و زمان انتشار : سه شنبه ۴ خرداد ۱۳۹۵ در ساعت ۹:۳۶:۵۱
بدون نظرانتهای خبر
آی تی رسا ن ایران...
ما را در سایت آی تی رسا ن ایران دنبال می کنید
برچسب : نویسنده : محمد رضا جوادیان itrasan بازدید : 214 تاريخ : سه شنبه 4 خرداد 1395 ساعت: 13:25