info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

عجیب و خطرناک!

خلاصه: یک بات‌نت غیر معمول با نام Mylobot کشف شده است که در حال انتشار بوده و رفتاری غیر قابل انتظار دارد. این بات‌نت با پیچیدگی بالا بوده و ابزارهای قدرت‌مند این بات‌نت امکان هر عملی را روی سیستم‌های قربانی فراهم می‌آورد. غیر فعال کردن آنتی‌ویروس ویندوز و به‌روز‌رسانی‌های ویندوز و فرایند‌های جلوگیری از کشف و تشخیص از توانایی‌های این بات‌نت جدید و عجیب است!

 

کارشناسان امنیتی شرکت Deep Instinct پرده از بات‌نت جدیدی برداشتند که رفتاری غیر متعارف در بین بات‌نت‌ها دارد. این بات‌نت از سه تکنیک عدم اجرا روی ماشین مجازی، عدم اجرا روی جعبه شنی و همچنین اجازه عیب یابی ندادن برای پنهان ماندن و جلوگیری از کشف استفاده می‌نماید. همچنین پنهان کردن قسمت‌های داخلی بدافزار با استفاده از رمزنگاری، تزریق کد و پردازش‌های توخالی برای جلوگیری از تشخیص نحوه کارایی بدافزار مورد استفاده قرار می‌گیرند. همچنین بدافزار یک تاخیر ۱۴ روزه برای اجرای کارهای خود و ارتباط با سرور کنترل و فرمان می‌دهد که تشخیص آن را سخت‌تر می‌کند.

ساختار کد بدافزار بسیار پیچیده و به صورت چند نخی نوشته شده که هر نخ وظیفه پیاده کردن یکی از ویژگی‌های بدافزار را دارد. بدافزار سه لایه فایل دارد که هر لایه مسئول ایجاد لایه بعدی است.

این بات‌نت اجازه دانلود هر پیلودی را که مهاجم بخواهد می‌دهد؛ از این رو می‌تواند حملات مختلفی با آن صورت گیرد و قربانی با تهدیدات مختلفی مواجه شود. نصب جاسوس‌افزار، باج‌افزار، استخراج‌کننده رمز‌ارز، تروجان‌های بانکی و غیر بانکی می‌توانند روی کامپیوتر قربانی نصب شوند. همچنین می‌توان از کامپیوتر قربانی برای حملات منع دسترسی توزیع شده استفاده نمود. در مدلی که مورد بررسی قرار گرفته درب پشتی DorkBot روی سیستم قربانی نصب شده است. اما نحوه دریافت بدافزار توسط این بات‌نت هنوز مشخص نیست.

نکته جالب توجه این است که سرور کنترل و فرمان این درب پشتی را برای قربانی ارسال نمی‌کند و آن را از یک سرور دیگر روی سیستم قربانی دانلود می‌کند.

در واقع کارایی این بات‌نت کنترل کامل سیستم قربانی را به دست مهاجم می‌دهد و مهاجم می‌تواند هر عملی را روی سیستم قربانی انجام دهد. پس از نصب این بدافزار روی سیستم قربانی، آنتی ویروس ویندوز و به‌روز‌رسانی‌های ویندوز متوقف می‌شوند؛ همچنین امکان اجرای فایل‌های exe از مسیر app data نیز از بین می‌رود.

پس از بررسی سرور کنترل و فرمان این بات‌نت مشخص شده که این سرور برای یک کمپین بدافزاری دیگر قبلا فعالیت می‌کرده که از دارک‌وب سرچشمه می‌گیرد. از این رو می‌توان گفت که صاحبان این بات‌نت سابقه فعالیت زیادی در تولید بدافزار دارند. در زمان بررسی بات‌نت مشخص شد که این بات تلاش برای ارتباط با ۱۴۰۴ دامنه مختلف دارد که نشان می‌دهد منابع زیادی برای ثبت این دامنه‌ها در اختیار گروه تولید کننده بات وجود دارد.

 

    

مطالب مرتبط