حملات باج‌افزار Locky با بازگشت بات‌نت Necurs شروع شده است!

بعد از چند هفته سکوت، به نظر می‌رسد که باج‌افزار Locky آمده است تا دوباره به رایانه‌های حفاظت نشده حمله کند. روز سه‌شنبه همان روزی که بات‎نت Necurs دوباره شروع به فعالیت کرد این حملات از سر گرفته شده‌اند.

Necurs در یکم ژوئن قطع شد و محققان شبکه Anubis Networks که نزدیک به یک سال آن را مورد بررسی قرار داده بودند، یک هفته بعد اعلام کردند که این بات‌نت نزدیک به ۱.۱ میلیون میزبان را آلوده کرده ‌است. محققان نمی‌توانستند اندازه‌ی این بات‌نت را تخمین بزنند تا زمانی که از کار افتاد و به نظر می‌رسد که برآورد نهایی میزان آلودگی آن، ‌به این شکل باشد:‌ شرکت MalewareTech اکنون می‌گوید که Necurs در حدود ۱.۷ میلیون رایانه را با پخش هفت بات‌نت مختلف آلوده کرده ‌است.

با توجه به حجم و اندازه‌ی این بات‌نت تعجبی ندارد که قادر باشد تا حملات مخرب باج‌افزارهای Dridex و Locky را قدرت بخشد،‌ حملاتی که در نوع خود بزرگ‌ترین هستند و صدها میلیون پیام را به قربانیان بالقوه ارسال می‌کنند. اکنون محققان از ارتباط میان Necurs، Dridex و Locky باخبر هستند، اما تا قبل از اینکه این بات‌نت از کار بیفتد، آن‌ها نقش حیاتی این بات‌نت را در توزیع این دو بدافزار به‌خوبی درک نکرده بودند.

با این حال، چیزی که هنوز اعلام نشده، این است که چرا Necurs که یک بات‌نت نظیر به نظیر ترکیبی است از الگوریتم ایجاد دامنه (DGA) برای فعال کردن بات‌ها جهت یافتن کارگزار کنترل و فرماندهی خود استفاده می‌کند که هنگام از کار افتادن آن، دچار قطع ناگهانی شود و قطع شدن، بر هر ۷ بات‌نت آن تأثیر می‌گذارد. برخی می‌گویند که ۵۰ نفر از افرادی که در روسیه در ارتباط با بدافزار بانکی Lurk دستگیر شده‌اند ممکن است بر عملکرد Necurs نیز تأثیر داشته‌اند، اما هیچ‌چیز هنوز تأیید نشده است.

با این حال، به گفته‌ی MalewareTech، جالب‌توجه است که گفته شود، بدافزار Lurk در حملات علیه بانک‌های روسی استفاده می‌شود، در حالی که بدافزار Necurs به‌صراحت از آلوده کردن رایانه‌هایی که زبان آن‌ها روسی است اجتناب می‌کند. نقشه توزیع آن می‌گوید که همه‌ی ۱.۷ میلیون باتی که به‌وسیله‌ی بات‌نت Necurs کار می‌کنند، خارج از روسیه هستند.

آنچه مسلم است اینکه Necurs برگشته است و اولین حمله‌ی باج‌افزار Locky نیز در راه است. چند روز بعد از اینکه این بات‌نت از کار افتاد، Dridex و بات‌نت تلاش کردند تا با سایر کانال‌ها توزیع شوند، اما توزیع آن‌ها در سطح بسیار پایین‌تری قرار داشت. علاوه بر این، با برگشت فعالیت Necurs و Locky به‌صورت همزمان، اکنون آشکارتر می‌شود که این دو به همدیگر اتصال دارند. شرکت MalwareTech اعلام کرده‌، به‌محض اینکه کارگزار کنترل و فرماندهی Necurs دوباره برگشت، این بات‌نت شروع به انتشار یک نمونه‌ی قدیمی Locky با ارسال هرزنامه کرده ‌است.

این محقق نشان می‌دهد که این کار به این علت اتفاق می‌افتد که کارگزار کنترل و فرماندهی آن، به‌منزله‌ی کارگزار پروکسی برای کارگزار پنهان است و این بات‌نت شروع به ارسال یک هرزنامه قدیمی کرده که در هنگام قطعی و از کار افتادن آن در حال ارسال بوده است. با شروع فعالیت مطمئن کارگزارهای کنترل و فرماندهی آن در ۱۹ ژوئن، مشخص شده است که عوامل این بات‌نت دوباره کنترل کامل آن را در دست دارند.

محققان شرکت Proofpoint نیز یک حمله‌ی رایانامه‌ی Locky را با پیام‌های چندمیلیونی مشاهده کرده‌اند و می‌گویند که به احیای دوباره‌ی بات‌نت مرتبط است. علاوه بر این، آن‌ها شرح داده‌اند که نمونه‌ی باج‌افزاری که به‌عنوان بخش جدید حملات ارسال می‌شود، مجموعه‌ای از تکنیک‌های ضد جعبه شنی و فرار از کشف شدن را در بر دارد که درست قبل از قطع شدن بات‌نت معرفی شده بود.
به گفته‌ی Proofpoint، بدافزار Locky اکنون قادر به تشخیص محیط‌های مجازی با مقایسه‌ی تعداد چرخه‌های پردازنده برای اجرای API های خاص ویندوز است. (در محیط‌های مجازی این چرخه بیشتر طول می‌کشد) همچنین آن‌ها مشاهده کردند که این باج‌افزار با یک پرونده جاوا اسکریپت از طریق متغیری که به‌عنوان بخشی از ابهام زمان اجرا استفاده می‌شود، اجرا می‌گردد. همچنین این بدافزار تجزیه و تحلیل دستی از حافظه را با به‌کارگیری روش اجرای ماژول متقابل سخت‌تر می‌کند.

اگرچه حمله‌ی جدید توزیع باج‌افزار Locky شامل میلیون‌ها هرزنامه است، اما این حمله تنها به‌اندازه‌ی ده درصد از حملات پیش از قطع شدن بات‌نت Necurs است. این حمله بزرگ‌ترین حمله‌ای است که در سه هفته گذشته مشاهده شده است، اما محققان انتظار دارند تا حملات بزرگ‌تری را در آینده مشاهده کنند و می‌گویند که برخی از این حملات مطمئناً شامل Dridex نیز می‌شوند. محققان می‌گویند دومین حمله‌ی توزیع باج‌افزار Locky نیز دو روز است که آغاز شده است.

سایر محققان هم گفته‌اند که یک حمله‌ی توزیع هرزنامه برای باج‌افزار Locky نیز در شروع این هفته در راه است و مهاجمان از جاوا اسکریپت برای ارسال بار داده مخرب خود استفاده می‌کنند. به گفته‌ی محقق امنیتی malcat، این حمله‌ی جدید بسیار شلوغ شده است،‌ چرا که مهاجمان از چندین لایه‌ی ابهام‌سازی برای اطمینان از اینکه بار داده مخرب می‌توانند سامانه‌های تشخیص را دور بزنند، استفاده کرده بودند.

مهاجمان راه زیادی را پیموده‌اند تا مطمئن شوند که این کدها قابل‌خواندن نیستند و حتی آن‌ها با استفاده از اشیاء مختلف زیادی با ساخت ارجاع‌ها و اختصاص مقادیر رشته‌ها به متغیرها، آن‌ها را مبهم‌تر کرده‌اند. نویسندگان باج‌افزار Locky،‌ همچنین از لایه‌های ابهام‌سازی مانند رمزهای جایگزینی نویسه‌ها، حذف نویسه‌ها، XORing و بازگشت پرونده، استفاده می‌کنند که قابلیت‌هایی هستند که در یک بدافزار دیگر به نام Nemocude اخیراً مشاهده شده‌اند.

همچون نویسندگان Nemucod، عواملی که پشت باج‌افزار Locky هستند، این تکنیک‌های مبهم‎سازی را به کار گرفته‌اند تا انتقال بار داده را روی شبکه به‌صورت مخفی انجام دهند و راه‌حل‌های امنیتی را که قادرند ترافیک را برای جلوگیری از آلودگی تحلیل کنند، دور بزنند. آنچه هنوز مشخص نیست، ارتباط میان باج‌افزارهای Locky و Nemucod است، چرا که هر دو آن‌ها همزمان شروع به استفاده از روش مبهم‌سازی کرده‌اند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap