بدافزاری که لیبی را هدف حمله قرار داده است

۱۸۸۸در این مطلب قصد داریم به تحلیل بدافزاری بپردازیم که تمرکز آن روی یک کشور خاص، یعنی لیبی است. این بدافزار از سال ۲۰۱۲ وجود داشته و عاملان پشت پرده‌ی آن از این نرم‌افزار مخرب برای کمپین‌های توزیع گسترده‌ی بدافزار و نیز حملات هدف‌مند مداوم استفاده کرده‌اند.

با وجود این‌که هیچ‌گونه پیچیدگی در جزئیات فنی و ساز و کار این بدافزار مشاهده نمی‌شود، اما عوامل دست‌اندرکارش سعی داشته‌اند تا قابلیت‌های آن را به نحوی توسعه داده و نفوذ موفقیت‌آمیزی را به وب‌گاه‌های دولتی ترتیب دهند. این بدافزار با ویژگی منحصربه‌فردی که دارد، یعنی تأکید روی یک موقعیت خاص جغرافیایی، دیدگاه تازه‌ای را برای محققان حوزه‌ی بدافزار رقم زده است.

ساز و کار توزیع

کارشناسان در طول تحقیقات خود متوجه شده‌اند که مهاجمانی که در زمینه‌ی ایجاد و راه‌اندازی کمپین‌های توزیع گسترده‌ی بدافزار فعالیت دارند، راغب هستند که به نمایه‌های شبکه‌های اجتماعی نظیر فیس‌بوک یا توییتر نفوذ کرده و پیوندهایی را به آن‌ها ارسال نمایند که منجر به بارگیری بدافزار می‌شود.

مهاجمان علاوه بر کمپین‌های توزیع گسترده‌ی بدافزار، حملات هدف‌مندی را از طریق ارسال رایانامه‌های اسپیرفیشینگِ حاوی ضمایم مخرب صورت می‌دهند. این مهاجمان برای آن‌که قربانی را متقاعد به اجرای کد مخرب نمایند، از حقه‌های مهندسی اجتماعی مانند پرونده‌های اجرایی در قالب آیکون‌های ورد مایکروسافت یا پی‌دی‌اف، و یا دو پسوند همچون .pdf.exe در اسم پرونده کمک می‌گیرند.

این بدافزار برای کمک به مهاجمان برای شناسایی آلودگی، دارای یک رشته‌ی متنی خاص است که محققان آن را Campaign ID نام‌گذاری کرده‌اند. در این‌جا فهرستی از Campaign IDهایی را مشاهده می‌کنید که کارشناسان موفق به کشف آن‌ها شده‌اند:

• book of eli – اختراق کلمات سر موزیلا

• OP_SYSTEM_

• OP_NEW_WORLD

• OP_TRAV_L

• ahmed

• op_travel

• op_ ahha

• op_russia

• op_russia_new

• op_russia_old

• karama

جزئیات فنی

این بدافزار با استفاده از فریم‌ورک دات‌نت نوشته شده است؛ البته کد منبع آن مبهم است.

این نرم‌افزار مخرب در حقیقت یک تروجان سارق اطلاعات است که تلاش می‌کند اطلاعات مختلفی را جمع‌آوری نماید. این بدافزار را می‌توان در پیکربندی‌های مختلفی پیاده‌سازی کرد. نسخه‌ی کامل این نرم‌افزار مخرب قادر است گزارش کلیدهای مورد استفاده در صفحه‌کلید را تهیه کرده، پرونده‌های نمایه‌ی مرورگرهای موزیلا فایرفاکس و کروم را جمع‌آوری نماید، صدای حاصل از میکروفون را ضبط کرده و اسکرین‌شات‌هایی را از صفحه‌نمایش به دست بیاورد، از طریق وب‌کم تصاویری را تهیه نماید، همچنین اطاعاتی را درباره‌ی نسخه‌ی سامانه‌ی عامل و ضدبدافزار نصب‌شده به چنگ بیاورد. در پاره‌ای از موارد این بدافزار قادر است ابزارهای شخص ثالث بازیابی گذرواژه را برای جمع‌آوری گذرواژه‌های ذخیره‌شده‌ی مربوط به برنامه‌های نصب‌شده بارگیری و اجرا کند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap