افزایش چشمگیر بدافزار با استفاده از SSL

محققان می‌گویند که نمونه نرم‌افزارهای مخرب هر ماه شناسایی شده و تعداد کلی کارگزارهای فعال C&C در حال افزایش است. برای هر دو دسته، شرکت امنیتی ادعا می‌کند که در پایان سال ۲۰۱۵ افزایش چشمگیر استفاده از SSL مشاهده شده است.

این شرکت توضیح می‌دهد که فعالیت‌های سایبری از ژانویه ۲۰۱۴ تا دسامبر ۲۰۱۵ را تجزیه و تحلیل کرده و از داده‌های وب‌گاه‌های لیست سیاه SSL استفاده نموده است، که رد گواهی‌نامه‌های مورد سوءاستفاده قرار گرفته و یا بد SSL در فعالیت‌های سایبری مشهود بوده است.

این گزارش، تشخیص‌ها و زیرساخت‌های خانواده معمول بدافزارهای شناخته شده را که از پیاده‌سازی SSL به منظور محافظت از خود استفاده می‌کنند، ارزیابی نموده است. برخی از این نرم‌افزارهای مخرب شامل اسامی چون Dridex ،KINS ،Shylock ،URLzone ،TeslaCrypt، CryptoLocker ،TorrentLocker ،CryptoWall ،Upatre ،Gootkit ،Geodo ،Tinba ،Gozi ،VMZeus ،Redyms ،Vawtrack ،Qadars ،Spambot ،Emotee و Retefe است.

تعداد کارگزارهای C&C با استفاده از SSL دویست برابر رشد می‌کند.

محققان کشف کردند که در طول دوره دو ساله‌ای که آن‌ها تجزیه و تحلیل می‌کردند، نمونه‌های بدافزار که از SSL استفاده می‌کنند یا نه، در هر دو صورت افزایش پیدا کرده است.

نمونه‌های بدافزار استفاده‌کننده از SSL، اگر در مقایسه با کل بدافزارها مقایسه شود، همیشه در نسبت کوچکتری قرار داشته است، اما این نسبت در اکتبر ۲۰۱۵ تغییر کرده، زمانی که تعداد نرم‌افزارهای مخرب با استفاده از SSL چند برابر بیشتر شده است.

محققان کت آبی در طول دو ماه، رشد تعداد نرم‌افزارهای مخرب استفاده‌کننده از SSL را از ۵۰۰ نمونه در ماه به ۲۹،۰۰۰ نمونه شناسایی شده در طول ۲ ماه، گزارش کردند.

همین روند در تعداد کارگزارهای C&C که از اتصالات محافظت شده SSL برای صحبت کردن با بات‌های خود استفاده می‌کند، مشاهده شده است که از ۱۰۰۰ کارگزار در ۳ماهه اول سال ۲۰۱۵ به ۲۰۰۰۰۰ در ۳ماهه سوم سال ۲۰۱۵ جهشی ناگهانی داشته است.

این محققان کارگزارهای C&C هر وب‌گاه یا آدرس IP که کلاه‌برداران به عنوان نقاط هماهنگی استفاده می‌کنند، وبگاه‌های بارگیری نرم‌افزارهای مخرب، نقاط خروج داده‌ها و دیگر نقاط عملیاتی مبتنی بر وب را مورد بررسی قرار داده‌اند.

نرم‌افزارهای مخرب استفاده‌کننده از SSL یک جهش بزرگ را درست قبل از تعطیلات سال گذشته ثبت کرده‌اند.

محققان کت آبی اشاره کردند: «با نگاهی به بازه زمانی مربوط به نقطه‌های تیز در نمودار، می‌توان متوجه شد که این رشد در بدافزارهای SSL با شروع فصل تعطیلات همزمان بوده است. به این ترتیب، این بازه و این شدت و تیزی قابل مشاهده در نمودار می‌تواند به راه اندازی یک یا چند کمپین در مقیاس بزرگ با زیرساخت مبتنی بر خانواده نرم‌افزارهای مخرب نسبت داده شود.»

محققان همچنین اشاره کردند که تعداد کارگزارهای C&C قبل از مشاهده نمونه نرم‌افزارهای مخربِ بازه‌ی زمانی تعطیلات، رشد داشته است و بطور واقع‌بینانه گروه‌های مهاجم به راه‌اندازی زیرساخت‌های کارگزار C&Cخود قبل از شروع حملات نرم‌افزارهای مخرب نیاز داشته و اقدام کرده‌اند.

تیم کت آبی در توضیح جهش بسیار بزرگ در مورد تعداد کارگزارهای C&C گفت: «جهش بزرگ در تعداد کارگزارهای C&C به احتمال زیاد به بدافزاری که از الگوریتم تولید دامنه (DGA) که برای دامنه کوتاه مدت برای ساخت یک زیرساخت C&C استفاده می‌کند، نسبت داده شده است.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

[easy-pricing-table id="6835"]