IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

Discord

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

خیرخواهی بدافزارها؟! جلوگیری از دسترسی قربانیان به سایت های غیرقانونی مانند Pirate Bay

بدافزاری که توسط محققان با عنوان Vigilante مطرح شده است، از ورود سیستم های کاربران به سایتهایی که توزیع نرم افزار و داده های غیرقانونی و کرک شده را برعهده دارند، جلوگیری می کند.

به نقل از هک رید، محققان امنیت فناوری اطلاعات در SophosLabs در مورد یک بدافزار جدید غیرمعمول با عنوان vigilante گزارشی ارائه داده اند. محققان ادعا می کنند که عملکرد این بدافزار در مقایسه با نمونه های نسبتا مشابه خود، کاملاً متفاوت است.

محققان به آن لقب "Vigilante" داده اند زیرا این بدافزار به عنوان یک عملگر هوشیار عمل می کند و از ورود سیستم ها به سایتهایی که مرکز توزیع نرم افزارهای کرک شده و سرقتی و داده های دزدی هستند، جلوگیری می کند. این بدان معناست که از دسترسی قربانیان به سیستم عامل های نرم افزاری دزدی و کرک شده جلوگیری می کند.

بدافزار Vigilante چگونه کار می کند؟
طبق گفته اندرو برانت، محقق ارشد SophosLabs، بدافزار Vigilante پس از اینکه کسی نرم افزار یا بازی کرک شده یا غیرقانونی ای را بارگیری و اجرا کند، به سیستم حمله می کند. این بدافزار را می توان در سرویس های چارت بازی در Discord یا URLهای BitTorrent یافت.

برانت در مقاله خود نوشت: "با دقت بیشتر در بررسی این فایل هایی که با فایل نصب کننده همراه هستند، روشن میشود که آنها فایده عملی دیگری ندارند، جز اینکه به آرشیو شکل و ظاهر فایل هایی که معمولاً از طریق BitTorrent به اشتراک گذاشته می شوند را بدهند و با افزودن داده های تصادفی مقادیر هش را اصلاح کنند".

بدافزار نام فایل اجرا شده به همراه آدرس IP دستگاه را به سروری که توسط مهاجم کنترل می شود ارسال میکند تا شرایط را برای حملات آینده فراهم باقی بگذارد. Vigilante همچنین تغییراتی در دستگاه ایجاد می کند تا قربانی با ایجاد تغییر در فایل HOSTS دستگاه، نتواند به بیش از 1000 وب سایت از جمله ThePirateBay.com دسترسی پیدا کند.

takian.ir malware blocks victims visit the pirate bay 1

 

علاوه بر این، فایل مد نظر حاوی چندین وب سایت شناخته شده دیگر است که به دلیل محتوای خود، غیرقانونی شناخته میشوند و این سایت ها را به آدرس IP لوکال‌هاست 127.0.01 که آدرس رایانه شخصی آنها است، بازهدایت می کند و به همین خاطر سایت ها برای کاربر دیگر قابل دسترسی نخواهند بود.

takian.ir malware blocks victims visit the pirate bay 2

 

آیا توسعه دهندگان بدافزار سعی در محافظت از مردم دارند؟
تعیین هدف اصلی تولید بدافزار Vigilante مشکل است. این روش، یک تکنیک غیرمعمول برای محافظت از کاربران در برابر دسترسی به نرم افزارهای غیرقانونی و نهایتا گرفتار شدن در دام تهدید کلاهبرداری های مهاجمان و مجرمان سایبری است.

عموماً، عاملان تهدید از نرم افزارهای سرقت شده برای توزیع بدافزار در قالب جدیدترین بازی یا فیلم تازه منتشر شده، استفاده می کنند. چنین بدافزاری معمولاً سرقت کننده اطلاعات، استخراج کننده رمزارز یا باج افزار است. برندت در توییتر خود نوشت: یک چیز مسلم است و آن اینکه این یک بدافزار معمول نیست.

"دیدن چنین چیزی واقعاً غیرمعمول است زیرا معمولاً تنها یک انگیزه در پشت بیشتر بدافزارها وجود دارد: سرقت چیزها؛ حتی اگر این چیز، رمزهای عبور، دکمه های ورودی، کوکی ها، مالکیت معنوی، دسترسی و یا حتی سیکل پردازنده برای استخراج رمزارز باشد، انگیزه اصلی سرقت است. اما در این مورد، اینطور نیست. در این نمونه فقط چند کار انجام دادند که هیچ یک منطبق با انگیزه معمول و رایج مجرمان بدافزار نبوده است”.

هشدار حملات سرقت رمزارز مبتنی بر لینوکس از کشور رومانی

takian.ir researchers warn of linux cryptojacking attackers operating from romania 1

یک گروه تهدید که احتمالاً در رومانی مستقر بوده و حداقل از سال 2020 در این زمینه فعال است، در پشت یک کمپین فعال سرقت رمزارز از طریق هدف قرار دادن دستگاه های مبتنی بر لینوکس با SSH brute-forcer نامعتبری که قبلا توسط آنها در زبان برنامه نویسی Go نوشته شده، قرار دارد.

محققان Bitdefender در گزارشی که هفته گذشته منتشر شد، از آن با عنوان «Diicot brute» نام بردند و گفته اند که ابزار شکستن رمز عبور از طریق یک مدل سرویس نرم افزاری توزیع می شود، و هر عامل تهدید راهکارهای API منحصر به فرد خود را برای تسهیل فرایند نفوذ ارائه می نماید.

در حالی که هدف این فعالیت استفاده از بدافزار ماینینگ Monero و از طریق به خطر انداختن از راه دور دستگاه ها با حملات پرخطر است، محققان این باند خرابکار را با حداقل دو بات نت DDoS از جمله یک نوع Demonbot به نام Chernobyl و یک بات Perl IRC با استخراج و ماینینگ بسته های XMRig که از دسامبر 2021 در دامنه ای به نام mexalz[.]us میزبانی می شود، مرتبط دانسته اند.

takian.ir researchers warn of linux cryptojacking attackers operating from romania 2

شرکت فناوری امنیت سایبری رومانی اعلام کرد که تحقیقات خود را درباره فعالیت های سایبری این گروه در ماه می سال 2021 آغاز کرده که متعاقبا منجر به کشف زیرساخت ها و ابزار چهای حمله مهاجمان شده است.

این گروه همچنین به عنوان گروهی که بر یک سری ترفندهای مبهم تکیه میکند، شناخته شده است که آنها را قادر می سازد تا از دید رادارها پنهان بمانند. به همین منظور، اسکریپت های Bash با یک اسکریپت کامپایلر shell (shc)، کامپایل می شوند. همچنین مشخص شده است که در طی زنجیره حمله، آنها Discord را برای تبادل و گزارش اطلاعات از طریق یک کانال تحت کنترلشان مورد استفاده قرار میدهند. این تکنیک برای ارتباطات command-and-control و فرار از سدهای امنیتی، به طور فزاینده ای در میان عاملان مخرب رواج پیدا کرده است.

با استفاده از Discord به عنوان یک سیستم انتقال اطلاعات، نیاز تهدید کنندگان برای میزبانی از سرور command-and-control خود نیز مرتفع میشود. همچنین همانگونه که مشخص است، امکان ایجاد پشتیبانی برای تشکیل اجتماعات با محوریت خرید و فروش کد منبع بدافزار و خدمات آن نیز وجود دارد.

محققان بیان داشتند: "بسیار رایج و معمول است که هکرها دنبال اعتبارنامه های ضعیف SSH بروند. از جمله بزرگترین مشکلات امنیتی، نام کاربری و گذرواژه های پیش فرض کاربران است؛ و یا اینکه هکرها با اعتبارنامه های ضعیف می توانند به راحتی و با تمام قدرت بر آنها غلبه کنند. بخش حساس این مسئله لزوماً تحمیل بالاجبار این اعتبارنامه ها نیست، بلکه انجام این کار مستلزم روشی است که باعث شود مهاجمان شناسایی نشوند.".

هشدار: بدافزار Saint Bot، سارق جدید رمزهای کاربران

یک بدافزار دانلودر که پیش از این شناسایی نشده بود، و اقدام به حملات فیشینگ برای سرقت گواهی های کاربران و بارگیری سایر داده های مخرب میکند، به تازگی مشاهده شده است.

گفته می شود این بدافزار که "Saint Bot" نامیده می شود برای اولین بار در ژانویه 2021 وارد عمل شده و نشانه هایی از توسعه و بهینه سازی عملکرد مخرب آن نیز دیده شده است.

طبق گفته الکساندرا دونیک، تحلیلگر اطلاعات در مالوربایتز، "Saint Bot دانلود کننده ای است که به تازگی ظاهر شده و به آرامی روند رو به رشدی به خود گرفته است. همچنین دیده شده است که از طریق سرقت کنندگان اطلاعات (به عنوان مثال تائوروس استیلر) یا دیگر لودرها منتشر می شود، اما طراحی آن به شما امکان آن را می دهد که از آن برای توزیع و نشر هر نوع بدافزاری استفاده شود.

وی افزوده است: "علاوه بر اینها، Saint Bot از طیف گسترده ای از تکنیک هایی که هرچند بعضی از آنها بدیع نیستند، استفاده می کند؛ اما با توجه به ظاهر نسبتاً جدید آن، از سطح کارایی بالایی برخوردار است".

زنجیره آلودگی مورد تجزیه و تحلیل شرکت امنیتی سایبری با یک ایمیل فیشینگ حاوی یک فایل زیپ تعبیه شده ( با نام bitcoin.zip) که ادعا میکند کیف پول بیت کوین است، آغاز شده است. در حقیقت یک اسکریپت PowerShell است که تحت عنوان فایل میانبر .LNK قرار دارد. سپس این اسکریپت PowerShell بدافزار مرحله بعدی را که یک برنامه قابل اجرا با نام WindowsUpdate.exe است را بارگیری می کند، که به متعاقب خود باعث می شود دومین فایل قابل اجرا (InstallUtil.exe) که مسئولیت دانلود دو فایل اجرایی دیگر به نام های def.exe و putty.exe را بر عهده دارد، انجام بپذیرد.

takian.ir saint bot malware attack

 

در حالی که نسخه اول یک اسکریپت دسته ای است که مسئول غیرفعال کردن Windows Defender است، putty.exe حاوی حجم داده ای مخربی است که در نهایت به یک سرور command-and-control (C2) جهت بهره برداری اطلاعاتی بیشتر، متصل می شود.

سردرگمی و در هم پیچیدگی موجود در هر مرحله از آلودگی به بدافزار، همراه با تکنیک های ممانعت کننده از تجزیه، تحلیل و آنالیز توسط بدافزار، به اپراتورهای بدافزار امکان می دهد بدون جلب هرگونه توجه، از دستگاه هایی که این بدافزار روی آنها نصب شده است سوءاستفاده کنند.

علاوه بر انجام "بررسی های دفاع از خود" برای شناسایی وجود debugger یا یک محیط مجازی، Saint Bot به شکلی طراحی شده است که در رومانی و کشورهای مشترک المنافع (CIS)، شامل ارمنستان، بلاروس، قزاقستان، مولداوی، روسیه و اوکراین اجرا نشود.

لیست دستورات پشتیبانی شده توسط بدافزار شامل موارد زیر میباشد:

  • بارگیری و اجرای سایر داده های بازیابی شده از سرور C2
  • به روزرسانی بدافزار بات
  • حذف نصب بدافزار از دستگاه در معرض خطر

 

اگرچه این قابلیت ها بسیار کوچک به نظر می رسند، اما واقعیت این که Saint Bot به عنوان دانلود کننده سایر بدافزارها عمل می کند که طبیعتا آن را به اندازه کافی خطرناک می کند.

نکته جالب توجه اینکه داده های دریافتی، خود از فایل های میزبانی شده در Discord دریافت می شوند؛ در این تاکتیک که به طور فزاینده ای در میان مهاجمین سایبری و تهدیدکنندگان رایج شده است، از عملکردهای قانونی چنین سیستم عامل هایی برای ارتباطات C2 سوءاستفاده کرده، از محدودیت های امنیتی فرار می کنند و بدافزارها را وارد دستگاه مینمایند.

محققان از سیسکو تالوس در تحیلی در اوایل این هفته منتشر کردند اعلام نمودند: "وقتی فایل ها در Discord CDN بارگذاری و ذخیره می شوند، بدون نیاز به اینکه Discord نصب شده باشد یا خیر، می توان با استفاده از آدرس CDN کدگذاری شده توسط هر سیستم، به آنها دسترسی پیدا کرد". که این موضوع به طبع نرم افزارهایی مانند Discord و Slack را به اهدافی جذاب برای میزبانی محتواهای مخرب تبدیل کرده است.

الکساندرا دونیک اضافه کرد: "Saint Bot در اصل یک دانلود کننده دیگری است و به حد و اندازه SmokeLoader به تکامل نرسیده، اما کاملاً جدید است و در حال حاضر به طور فعال در حال توسعه میباشد. به نظر می رسد برنامه نویس آن از طراحی بدافزار آگاهی کامل دارد، که این نکته با  مشاهده طیف گسترده ای از تکنیک های به کار رفته قابل درک است. با این حال، تمام تکنیک های به کار رفته کاملاً شناخته شده و کاملاً استاندارد هستند و تاکنون خلاقیت زیادی از نشان نداده است".