info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

استانتینکو: بات‌نت نیم میلیونی ۵ ساله

خلاصه: به گزارش ESET یک بات‌نت عظیم تبلیغاتی بیش از نیم میلیون کاربر را تحت تاثیر قرار داده است. این بات‌نت برای لااقل ۵ سال فعالیت مخفی به دور از چشم مکانیزم‌های امنیتی داشته و هدف آن انجام فعالیت‌های تبلیغی برای کسب درامد بوده است.

بر اساس گزارش شرکت ESET بات‌نتی که جدیدا کشف شده و استانتینکو(Stantinko) نام دارد اهداف خود را عمدتا در روسیه و اوکراین قرار داده است. نویسندگان این بات‌نت معمولا با نصب افزونه‌هایی برای مرورگرها که تبلیغ نشان داده و سرقت کلیک می‌کند درامدزایی می‌کند. با این حال سرویسی که این بات‌نت روی ویندوز نصب می‌کند امکان اجرای کد از راه دور روی سیستم قربانی را می‌دهد.

شرکت ESET در گزارش تحلیل این بات‌نت بیان نموده که این بات‌نت یک درب پشتی با تمام امکانات و یک بات دارد که جستجو‌های فراوانی در گوگل انجام می‌دهد؛ علاوه بر این یک ابزار برای حمله جستجوی کامل به سایت‌های وردپرسی و جوملا برای دسترسی به حساب مدیریت وب‌سایت‌ها دارد که در صورت موفقیت این وب‌سایت‌ها را در بازار‌های سیاه به فروش می‌رساند.

تلاش برای دسترسی به حساب‌های مدیریت سایت‌های مبتنی بر جوملا و وردپرس با استفاده از حمله جستجوی کامل با استفاده از لیست چند صد هزارتایی از کلمات عبور انجام می‌شود. زمانی که این حمله موفقیت آمیز باشد سایت در بازار‌های زیرزمینی به فروش می‌رسد. این سایت‌ها می‌توانند در تغییر مسیر بینندگان سایت به سایت‌های دیگر، آلوده نمودن آن‌ها به بدافزار‌ها و همچنین انتشار مطالب بدکارانه به کار گرفته شوند.

برای اینکه سیستم به این بات‌نت آلوده شود لازم است برنامه‌ای که این بات‌نت در آن نهفته است روی سیستم نصب شود. سازندگان این بات‌نت برای فریب کاربران آن را در یک دانلود کننده فایل نرم‌افزار‌ از تورنت پنهان نموده‌اند. زمانی که این دانلود کننده نصب می‌شود تعداد زیادی نرم‌افزار برای کاربر نصب می‌شود تا کاربر گیج شود و همزمان در پشت صحنه سرویس اولیه استانتینکونصب می‌شود.

دلیل گسترش زیاد این بات‌نت و عدم تشخیص آن برای مدت طولانی ۵ سال استفاده از رمزنگاری سنگین کد‌ها و سازگاری سریع آن‌ها برای دور ماندن از چشم ضد بدافزار‌ها بوده است. این بات‌نت شامل دو قسمت است که یک قسمت بار کننده و قسمت دیگر رمز شده است. برای تشخیص بات‌نت باید دو قسمت را همزمان داشت تا بتوان آن را تجزیه و تحلیل نمود. همچنین توسعه دهندگان استانتینکواز روش‌هایی استفاده نموده‌اند که معمولا در ابزار‌های پیچیده بسته‌بندی کد‌ها مورد استفاده قرار می‌گیرد.

با اینکه این بات‌نت تا کنون تنها از راه استفاده از مکانیزم‌های تبلیغاتی از بات‌های تحت اختیار خود اقدام به کسب درامد نموده است اما از آنجا که یک درب پشتی با همه امکانات روی بات‌های خود ایجاد می‌کند و به همین دلیل توانایی انجام هر کاری را روی سیستم‌های قربانی و با استفاده از آن‌ها دارد بسیار با اهمیت بوده و خطر آن جدی است.