هشدارهای افتایی
یک کارشناس امنیتی مستقل با نام James Quinn خانواده جدیدی از کاوشگرهای ارز دیجیتالی را کشف کرده است. این کاوشگر که ZombieBoy نام گذاری شده است، طبق تحلیل‌های این کارشناس، این بدافزار دارای سرعت کاوش 43 هزار Hash در ثانیه است که قادر به استخراج 1000 دلار در ماه است. این کاوشگر از زبان چینی استفاده می‌کند که از این رو احتمالا در کشور چین توسعه داده شده است.
Quinn در بلاگ خود توضیح داده است که این کاوشگر مشابه massminer است که در اوایل ماه می معرفی شد. بدلیل استفاده این بدافزار از ZombieBoyTools، آنرا ZombieBoy نامگذاری کرده‌اند. باید اشاره کرد که ZombieBoyTools دارای ارتباطاتی با IronTigerAPT است و یک ویرایش از تروجان Gh0st است.
بدافزار به کمک این ابزار اولین فایل dll خود را در سیستم قربانی قرار می‌دهد. علاوه بر این، Quinn ادعا می‌کند که این کرم از اکسپلویت‌های مختلف برای گسترش در سیستم استفاده می‌کند. تفاوتی که بین massminer و ZombieBoy وجود دارد در استفاده از ابزار اسکن میزبان است که ZombieBoy به جای MassScan از WinEggDrop استفاده می‌کند. نکته قابل توجه و البته نگران کننده این بدافزار بروزرسانی آن بصورت مداوم است. علاوه بر این، بدافزار می‌تواند از CVEهای مختلفی برای دور زدن برنامه‌های امنیتی بهره ببرد. این CVEها شامل یک آسیب‌پذیری RDP یعنی CVE-2017-9073 و اکسپلویت‌های CVE-2017-0143 و CVE-2017-0146 هستند.
بدافزار از اکسپلویت‌های DoublePulsar و EternalBlue برای ایجاد در پشتی استفاده می‌کند. از آنجایی که بدافزار می‌تواند چندین درپشتی ایجاد کند، بنابراین راه ورود سایر برنامه‌های مخرب مانند keyloggerها، باج‌افزارها و بدافزارهای دیگر باز می‌شود. این ویژگی شانس بدافزار برای نفوذ موفق به سیستم را افزایش می‌دهد و شناسایی و حذف آلودگی‌ها توسط کارشناسان امنیتی را دشوار می‌سازد. نکته دیگر عدم اجرای بدافزار روی ماشین‌های مجازی است که شناسایی آنرا دشوارتر نیز می‌کند.
برای توقف یا کاهش خطرات این بدافزار، پژوهشگران IBM توصیه کردهاند که ترافیک سرورهای کنترل آن مسدود شود، زیرا ZombieBoy از اکسپلویت‌هایی مانند EternalBlue و DoublePulsar استفاده می‌کند که متکی بر ترافیک C&C (SMB_EternalBlue_Implant_CnC و SMB_DoublePulsar_Implant_CnC) است. روش‌های دیگر استفاده از سیستم‌های امنیتی یکپارچه، احرازهویت دو عاملی و توسعه فایروال‌های قوی‌تر است.

منبع:

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان شهید بهشتی، خیابان شهید صابونچی، کوچه دهم ،پلاک 36 ،مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.