بات‌نت Necurs؛ عامل اصلی ارسال هرزنامه‌ در سال ۲۰۱۶

۱۸۹۵امسال با افزایش چشم‌گیر حجم هرزنامه‌ها مواجه بودیم، افزایشی که موجب شد رکورد هرزنامه‌ها با میزان ثبت‌شده در سال ۲۰۱۰ قابل قیاس باشد. محققان سیسکو تالوس بر این باورند که این افزایش عمدتاً از فعالیت‌های قابل ملاحظه‌ی بات‌نت Necurs ناشی شده است.

در طول پنج سال گذشته، حجم هرزنامه‌ها در مقایسه با سال ۲۰۱۰ میلادی نسبتاً پایین بوده است، سالی که دائماً با حملات هرزنامه‌ای مواجه بودیم. با این حال به نظر می‌رسد که هرچه به پایان این سال میلادی نزدیک‌تر می‌شویم، این آرامش نبود هرزنامه نیز به انتهای خود می‌رسد، چرا که بار دیگر با هجوم هرزنامه مواجه شده‌ایم. با استناد به داده‌های CBL۱، محققان سیسکو تالوس خاطرنشان کردند که حجم هرزنامه‌های ۲۰۱۶ تقریباً معادل با میزان مشاهده‌شده در اواسط ۲۰۱۰ است.

علاوه بر این، اندازه‌ی کلی SCBL۲ در سال گذشته افزایش بیش از ۴۵۰٫۰۰۰ آدرسIP را در آگوست ۲۰۱۶ نشان می‌دهد، اگرچه اندازه‌ی SCBL در سال گذشته کم‌تر از ۲۰۰٫۰۰۰ IP بوده است.

افزایش حجم در رایانامه‌های ناخواسته در این سال تنها بدین معناست که بات‌نت‌های مخصوص فعالیت بی‌اندازه‌ای داشته‌اند. با این حال سامانه‌های ضدهرزنامه معمولاً می‌توانند به سرعت سد راه کمپین‌های هرزنامه شوند، زیرا بات‌نت‌ها از یک روش غیرهدف‌مند کمک می‌گیرند. با این وجود محققان بر این باورند که هرگز نمی‌توان پیش از شروع، یک حمله‌ی هرزنامه‌ای را پیش‌بینی کرد.

سیسکو می‌گوید که احتمالاً عامل اصلی رشد کمپین‌های هرزنامه‌ای امسال می‌تواند بات‌نت Necurs باشد، بات‌نتی که درست چند ماه قبل با باج‌افزار Locky و نیز تروجان Dridex همراه شده بود. وقتی در ماه ژوئن Necurs با مشکل مواجه شد، آلودگی‌های Locky و Dridex نیز تقریباً متوقف شدند، اما این باج‌افزار سه هفته بعد با اوج‌ گرفتن مجدد Necurs با حس انتقام‌جویی بازگشت.

توقف عمل‌کرد Necurs و نیز عدم فعالیت Dridex و Locky ظاهراً به علت دستگیری‌های صورت‌گرفته در روسیه، در رابطه با تروجان Lurk بوده است؛ البته سیسکو در حال حاضر این قضیه را تأیید کرده است. Necurs فقط یکی از تهدیدهای مهمی است که به دنبال دستگیری‌های یادشده فعالیت آن منتفی شده است، اما بازگشت آن هم با تغییرات مهمی در رفتارش همراه بوده است.

نه‌تنها Necurs بازگشته است، بلکه از ارسال هرزنامه‌های روسی با محتوای دوست‌یابی به فرستادن هرزنامه‌هایی با ضمایم مخرب تغییر ماهیت داده است. این اولین باری است که می‌بینیم Necurs دست به ارسال ضمیمه می‌زند.

در ماه ژوئن بسته‌ی نفوذی Angler هم ناپدید شد، و ترافیک ناشی از این بسته‌ی نفوذی هم پایین آمد، گمان آن می‌رود که عاملان این بسته‌ی نفوذی در صدد یافتن راهی تازه برای ارسال محتوای مخرب مد نظرشان هستند، و به نظر می‌رسد که بات‌نت‌های هرزنامه به انتخاب اصلی آن‌ها مبدل شده است.

اگرچه فن‌آوری‌های نوین ضدهرزنامه و فوت و فن‌های جلوگیری از عمل‌کرد بات‌نت‌های مربوط به هرزنامه منجر به کاهش میزان هرزنامه‌ها در طول زمان شده‌اند، اما به نظر می‌رسد این شیوه‌ی حمله بار دیگر میان مجرمان سایبری محبوب شده است.

Necurs همچنان یکی از بات‌نت‌های هرزنامه‌ی بسیار فعال باقی مانده است، زیرا متصدیان آن مدت مدیدی است که روش هوشمندانه‌ای را برای ادامه‌ی استفاده از میزبان‌های آلوده پیدا کرده‌اند. فقط کافی است که آن‌ها هرزنامه را به یک زیرمجموعه از دستگاه‌های آلوده ارسال کنند، و چند هفته از استفاده از این میزبان‌ها دست بکشند، تا بدین ترتیب توجه عموم را از آن‌ها دور کرده و کارکنان امنیتی را به باور این مسئله وادار کنند که این میزبان پاک‌سازی شده است.

بسیاری از IPهای میزبانی که دست به ارسال هرزنامه‌ی Necurs می‌زنند، بیش از دو سال آلوده بوده‌اند. Necurs برای آن‌که کل حوزه‌ی تحت پوشش یک بات‌نت را مخفی نگه دارد، فقط هرزنامه را از یکی از زیرمجموعه‌های خود ارسال می‌کند. ممکن است میزبان آلوده دو یا سه روز استفاده شود، سپس به مدت دو یا سه روز کنار گذاشته شود. محققان در تالوس بارها و بارها این الگو دیده‌اند.

از آن‌جایی‌که ارسال‌کنندگان هرزنامه از زمان شروع یک کمپین هرزنامه تا استقرار سامانه‌های ضدهرزنامه فرصت اندکی دارند، سعی می‌کنند که حداکثر هرزنامه‌ی ممکن را بفرستند تا مطمئن شوند که می‌توانند به‌طور موفقیت‌آمیزی رایانامه‌های مخرب را به صندوق‌های دریافت رایانامه‌ی قربانی‌های خود وارد نمایند.

متأسفانه هیچ روش عاری از اشتباهی برای مقابله با یک کمپین هرزنامه وجود ندارد. به سازمان‌ها توصیه می‌شود که یک لایه‌ی دفاعی را برای به حداکثر رساندن شانس شناسایی و مسدودسازی چنین حملاتی در نظر بگیرند. به‌طور حتم وقتی پای یک باج‌افزار در میان باشد، پشتیبان‌های برون‌خط می‌تواند به کمک سازمان مربوطه بیایند. طرح‌های بازیابی می‌بایست به‌صورت منظم مورد بازبینی و آزمایش قرار بگیرند تا اطمینان حاصل شود هیچ خطایی وجود ندارد. کاربران باید بدانند که هیچ‌گاه پرونده‌های ضمیمه‌ی ناشناس و مشکوک نمی‌توانند موارد مورد اطمینانی باشند.

۱. Composite Block List
۲. SpamCop Block List

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap