گسترش کرم PhotoMiner از طریق کارگزارهای ناامن FTP

محققان شرکت امنیتی GurardiCore هشدار داده‌اند که امسال کرمی را در هزاران حمله مشاهده کرده‌اند که قابلیت‌های حفاظت پیشرفته‌ای را ارائه می‌کند که به آن اجازه می‌دهد تا در سامانه‌های آلوده برای سال‌ها باقی بمانند.
این کرم که PhotoMiner نام گرفته است از طریق وب‌گاه‌های آلوده گسترش می‌یابد و بر روی کارگزارهای FTP میزبانی می‌شود و به وسیله دریافت ارزهای رمزنگاری‌ شده Monero برای نویسندگان آن پول جمع‌آوری می‌کند. به گفته‌ی این محققان، ‌این کرم مکانیسم آلودگی چند مرحله‌ای منحصر به فردی دارد و دارای یک طراحی ماژولار است و برای رسیدن به حالت پایداری خود را به عنوان یک برنامه در شروع سامانه عامل معرفی می‌کند.

زنجیره‌ی آلودگی آن با حمله به کارگزارهای FTP و وب‌گاه‌هایی که در طول آن‌ها میزبانی می‌شوند شروع شده و موجب می‌شود تا بازدیدکنندگان به وسیله‌ی این بدافزار آلوده شوند. به محض اینکه این کرم روی دستگاه قربانی حضور پیدا کرد، نه تنها شروع به جمع‌آوری ارز رمزنگاری شده می‌کند، بلکه همچنین تلاش می‌کند تا کارگزارهای FTP دیگر و سایر شبکه‌های محلی را نیز آلوده کند.
مهاجمان دارای نشانی‌های IP تصادفی جستجوی فراگیر هستند که با یک فرهنگ لغت نام کاربری/گذرواژه کار می‌کنند که به وسیله‌ای آن می‌توانند کارگزارهایی را که به شکل ضعیفی محافظت می‌شوند، آلوده کنند. سپس آن‌ها یک رونوشت از بدافزار را در هر کدام از کارگزارهای قابل نوشتن بارگذاری می‌کنند. هر کدام از پرونده‎هایی که به آلوده کردن کاربران کمک می‌کند با یک رشته‌ی کد تزریق می‌شود. محققان می‌گویند که این کرم در سامانه عامل کاربر نهایی از راه بارگیری از طریق مرورگرهای آسیب‌پذیر ظاهر می‌شود.

PhotpMiner همچنین از ابزارهای درونی سامانه عامل ویندوز استفاده می‌کند تا به بررسی بخش‌های مختلف شبکه محلی بپردازد، و پس از آن تلاش می‌کند تا یک اتصال را به روش جستجوی فراگیر روی پروتکل کارگزار پیام (SMB) برقرار سازد. هنگامی که موفق به این کار شد، تلاش می‌کند تا یک رونوشت از خود را در درون هر کدام از مکان‌هایی که از راه دور قابل دسترسی هستند قرار دهد و از اسکریپت ابزار مدیریت ویندوز WMI استفاده می‌کند تا رونوشت‌های محلی را اجرا کند.
این بدافزار اولین بار در دسامبر سال گذشته مشاهده شد و شامل کاوشگر هسته و توانایی انتشار عمومی بود. این کرم در حال حاضر مجموعه‌ای از به‎روزرسانی‌ها را انجام داده است و محققان تاکنون دو نوع از آن را در میان چندین نسخه‌ی متعدد از این بدافزار تا به امروز تشخیص داده‌اند. با این حال،‌ همه‌ی نسخه‌ها از یک نوع روش عملکرد استفاده می‌کنند که با شروع به دستیابی به تنظیمات پایدار و جمع‌آوری داده‌ها برای کاوشگر آن شروع می‌شود.

این بدافزار برای تداوم حضور، خود را به عنوان یک برنامه‌ی اجرا شونده در هنگام شروع، پس از اینکه از طریق HTTP به فهرستی از نام‌های از قبل تعریف شده برای دستیابی به داده‌های پیکربندی متصل شد، ثبت می‌کند. در این لحظه، پرونده پیکربندی که با استفاده از یک فرهنگ لغت معکوس پایه، ناخوانا شده است، شامل فهرستی از والت‌ها و منابع Monero است و این بدافزار یکی از آن‎ها را به صورت تصادفی انتخاب می‌کند. همچنین این کرم به مرکز کنترل و فرماندهی (C&C) خود متصل می‌شود تا اطلاعات سامانه و گزارش پیشرفت خود را ارسال کند.
محققان شرکت GuardiCore همچنین می‌گویند که مهاجمان یک backend انعطاف‌پذیر ساخته‌اند که روی نام‌های دامنه‌ای گسترش می‌یابد که از کارگزارهای شخصی مجازی روی خدمات میزبانی مختلف استفاده می‌کنند. با این حال، ‌آن‌ها از نشانی‌های IP و کارگزارها دوباره استفاده می‌کنند که به محققان اجازه می‌دهد تا بتوانند حملات مختلف را به همدیگر مربوط کنند.

محققان همچنین می‌گویند که بعد از اینکه این بدافزار شروع به کار کرد، کاوشگر خود را به عنوان یک فرایند جداگانه به حرکت می‌اندازد و همزمان به تمرکز خود برای گسترش یافتن ادامه می‌دهد. بر اساس این فرایند، بدافزار اطمینان حاصل می‌کند که کاوشگر از دسترسی برنامه‌های ضد بدافزار در امان است حتی اگر خود کرم تشخیص داده شده شود. ماژول کاوشگر آن با نسخه‌ای از BitMonero ساخته شده است، که استقرار هسته‌ای از کار Monero است، بنابراین برنامه‌‌ای قانونی است که توجه زیادی را به خود جلب نمی‌کند.
خدماتی غیرامنی که در اینترنت قرار دارند، همچون کارگزارهای FTP محافظت نشده، نشان دهنده‌ی یکی از رایج‎ترین روش‌های نفوذ به سازمان‌ها هستند. محققان شرکت GuardiCore نتیجه می‌گیرند: «آلودگی از طریق وب‌گاه‌های متصل به کارگزارهای FTP محافظت نشده ، یک حمله کلاسیک است که به نظر می‌رسد دوباره به محبوبیت رسیده است. با ایجاد نوعی آلودگی که به سختی می‌توان آن را از بین برد، نویسندگان PhotoMiner به ساخت یک بات‌نت دست زده‌اند که بی‌شک آمده است تا بماند».

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.