هشدارهای افتایی
اخیرا حملات بات نتی با نام Black کشف شده است که با استفاده از بدافزار Ramnit، یک‌صد هزار دستگاه را در ماه جولای آلوده کرده است. بر اساس گفته پژوهشگران، این حملات تنها مقدمه ای بر حملات جدیدی است که با کمک بدافزار Ngioweb انجام خواهد شد.   
پژوهشگران CheckPoint اعلام کردند که عوامل بات نت Black در حال کار بر روی ایجاد شبکه ای از سرورهای پراکسی مخرب هستند. در عملیات بات نت Black، از بدافزار Ramnit استفاده شده است که احتمالا از طریق حملات اسپمی منتشر می‌شود. این بدافزار در این عملیات در مرحله اول استفاده می‌شود. Ramnit قابلیت های استخراج اطلاعات زیادی دارد و به عنوان تروجان بانکی و در پشتی نیز در دستگاه های آلوده فعالیت می کند. در این بات نت از بدافزار Ramnit برای فراه مسازی نفوذ بدافزار مرحله دوم Ngioweb استفاده شده است.
Ngioweb به عنوان یک سرور پراکسی چند قابلیتی عمل می‌کند که از پروتکل خود با دولایه رمزگذاری استفاده می‌کند. این بدافزار پراکسی از حالات back-connect، relay، پروتکل های IPv4، IPv6 و انتقال های TCP و UDP پشتیبانی می‌کند. نمونه های اولیه آن در نیمه دوم سال 2017 مشاهده شده است. نکته نگران کننده این است که مهاجمان در حال ساخت یک بات نت پراکسی بزرگ و چند منظوره هستند که برای عملیات های مخربی مانند انتشار کاوشگر ارز دیجیتالی، باج افزارها، بدافزارها، حملات DDoS، استخراج اطلاعات و ... می تواند مورد استفاده قرار گیرد.
بدافزار Ngioweb می تواند به عنوان یک پراکسی back-connect معمولی و یک پراکسی relay فعالیت کند. در حالتی که بدافزار به عنوان یک پراکسی relay فعالیت کند، با ایجاد زنجیره هایی از پراکسی ها، شناسایی فعالیت های خود را دشوار می‌کند. این امر پوشش کاملی برای ایجاد سرویس های مخرب مخفی است. برای ساخت یک سرویس مخفی با استفاده از Ngioweb، عوامل بدافزار ابتدا آدرس دستگاه قربانی را در یک کانال عمومی مثل DNS منتشر می‌کند؛ سپس دومین دستگاه قربانی آدرس اول را resolve می‌کند و به آن وصل می‌شود. سپس کامپیوتر آلوده اول اتصال جدیدی به سرور ایجاد می‌کند و به عنوان رله بین سرور و دومین میزبان آلوده عمل می‌کند و این کار ممکن است بصورت بی نهایت ادامه یابد.
تروجان Ramnit که در بات نت Black استفاده شده است، ابتدا در سال 2010 مشاهده شد و در سال 2011 با استفاده از کدمنبع تروجان بانکی Zeus، به یک تروجان بانکی تبدیل شد. این تروجان در ابتدا برای سرقت اطلاعات احرازهویت بانکی استفاده می شد، سپس بر روی سرقت رمزعبور حساب های شبکه های اجتماعی و FTPها تمرکز کرده است. نویسندگان این بدافزار علاوه بر اعمال تکنیک های جلوگیری از شناسایی و محافظت از بدافزار، قابلیت مدیریت بات ها را نیز در آن اعمال کرده‌اند.
در ادامه Ramnit بدلیل بروزرسانی های متناوب بین مجرمین سایبری محبوب شد، تا حدی که این بدافزار تا سال 2015 بیش از 3.2 میلیون رایانه ویندوزی را آلوده کرد. در سال 2015 سرورهای پشتیبان Ramnit توسط مراجع قانونی متوقف شدند. اما این تروجان در سال 2016 دوباره نمایان شد. Ramnit از همان پیلود، معماری و الگوریتم های رمزگذاری استفاده کرد، اما به آن قابلیت های جاسوسی مانند نظارت بر مرورگر و URLهای مشاهده شده نیز اضافه شد. 
منبع:

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.