کیت بهره‌برداری Sundown از آنچه فکر می‌کنید پیچیده‌تر است

۵این تابستان فصل پر سروصدایی برای کیت‌های بهره‌برداری بود. در این بازه کیت‌هایی همچون Angler ،Neutrino و Nuclear از بین رفتند. کیت‌های بهره‌برداری که سال‌ها مسئول توزیع بدافزارها و ضرر و زیان‌های مالی کلان بودند. این روزها محققان امنیتی شرکت سیسکو تالوس از ظهور کیت بهره‌برداری Sundown خبر دادند که در تلاش است خلاء کیت‌های بهره‌برداری را پر کند.

در طول ۶ ماه گذشته کیت بهره‌برداری Sundown مسئول توزیع و آلودگی به بدافزارهای بسیار زیادی بوده است. محقق امنیتی به نام نیک بیاسینی به تریت‌پست گفته است که عوامل Sundown زیرساختی با ۸۰ هزار زیردامنه‌ی مخرب متعلق به بیش از ۵۰۰ دامنه را ایجاد کردند که همگی به کیت Sundown اشاره می‌کنند. این محقق گفته است رتبه دوم پس از کیت بهره‌برداری RIG متعلق به Sundown است.

بیاسینی گفت: «در حالت کلی، در این ۶ ماه گدشته ما شاهد یک دگرگونی اساسی در دنیایِ کیت‌های بهره‌بردرای بودیم. ما شاهد این بودیم که ۳ کیت بهره‌برداری بسیار مهم و بزرگ از عرصه‌ی کیت‌ها بنا به دلایلی یکسان یا متفاوت حذف شدند: Angler، Nuclear و Neutrino. آنچه که ما شاهدش هستیم نسل دوم کیت‌های بهره‌برداری با نام‌های Magnitude ،Sweet Orange و Sundown است.»

بیاسینی عنوان کرد که کیت Sundown در بین سایر کیت‌ها بسیار برجسته است. او ادامه داد: «مجموعه‌ای از چیزهای جالب در این کیت وجود دارد که آن را از بسته‌های دیگر جدا می‌کند. ما دامنه‌های بسیاری زیادی را پیدا کردیم که به کارگزارهای کیت Sundown مرتبط بودند.»
عوامل کیت Sundown بجای استفاده از روش قدیمی سایه‎ی دامنه‌ها۱، برای زیردامنه‌ها از نویسه‌های مبهم۲ استفاده می‌کنند که با این روش مقدار ترافیک بر روی کارگزارهای کیت Sundown به‌طور تصاعدی افزایش خواهد یافت.

روش دامنه مبهم نیز مشابه سایه دامنه است که در آن یک مهاجم مخفیانه اقدام به خرید زیردامنه‌ی یک دامنه‌ی ناآگاه می‌کند تا ترافیک را به سمت کیت بهره‌برداری مسیردهی کند.
این محقق امنیتی گفت برای یک پویش Sundown در طول بازه‌ی زمانی ۲۴ ساعت، تولید دامنه‌های Sundown را مشاهده کرد که تقریباً در هر دقیقه ۳ زیردامنه ایجاد می‌شد. او درباره‌ی این یافته‌ی خود نوشت: «این تعداد بسیار زیاد به‌ نظر می‌رسید؛ بنابراین ما یک بررسی اساسی انجام دادیم و مشخص شد که این کیت به‌جای سایه‌ی دامنه از روش دامنه‌های مبهم برای ایجاد زیردامنه‌ها ایجاد می‌کند.»

بیاسینی گفت بار داده‌های زیاد و متنوع که پشت سرهم توسط Sundown استفاده می‌شود، هیچ مطابقتی با کیت RIG ندارد. به‌طور مثال بار داده‌ای که RIG تزریق می‌کرد تروجان‌های بانکی، سرقت‌کننده اطلاعات و بارگیری‌کننده‌ها بود. در حالی‌که پویش Sundown تنها یک تروجان بانکی را با به‌روزرسانی و تنوع بسیار کم توزیع می‌کند.
بیاسینی به تریت‌پست گفت: «مسئله‌ای که وجود دارد این است که کیت Sundown تهدیدی بسیار بزرگ‌تر از چیزی است که مردم تصور می‌کنند. ما امروزه با شارِ سریعی از کیت‌های بهره‌برداری مواجه هستیم که عرصه‌ی تهدید را ترک می‌کنند. با وجود خلاء در زمینه‌ی کیت‌های بهره‌برداری، فرصت بسیار مناسبی برای کیتی همچون Sundown وجود دارد تا میلیون‌ها دلار سود بدست آورد.»

با توجه به گفته‌های بیاسینی، بررسی‌ها نشان می‌دهد که در این کیت ناشی‌گری‌های زیادی وجود دارد. یکی از این ناشی‌گری‌ها که توسط عاملان این کیت انجام شده، کارت تماسی با متن «شبکه تجاری یوگسلاوی» است. این متن در سرآیند پاسخی که کارگزار ارسال می‌کند، وجود دارد.
سیسکو همچنین اشاره کرده است که این کیت از آسیب‌پذیری‌های ادوبی فلش و سیلورلایت استفاده می‌کند. بیاسینی در توضیحاتی نوشت: «تمامی درخواست‌های مربوط به پرونده‌های فلش به «swf.» ختم می‌شود. همچنین تمامی درخواست‌های سیلورلایت به «xap.» ختم می‌شود. این مسئله برای یک کیت بهره‌برداری معمول نیست چرا که همواره تلاش می‌کند تا فعالیت‌های خود را مخفی و مبهم نماید.»

در انتها محققان امنیتی از ماندگاری کارگزارهایی که Sundown را میزبانی می‌کنند، متعجب بودند. در تحقیقات بیاسینی آمده است: «در تجربه‌هایی که ما در بررسی کیت‌های بهره‌برداری داشتیم، کارگزارهای میزبانی این کیت‌ها برای مدت زیادی فعال باقی نمی‌مانند. به‌طور مثال در مورد کیت Angler این زمان حداقل ۱۲ و حداکثر ۴۸ ساعت بود. ولی ما شاهد این هستیم که برخی IP ها که کیت Sundown را میزبانی می‌کنند، هفته‌ها و در مواردی ماه‌ها فعال بوده‌اند.»

این محقق امنیتی گفت آدرس‌های IP که برای فعالیت‌های مخرب و غیرقانونی استفاده می‌شوند باید توسط شرکت‌های امنیتی از کار بیفتد. با این وجود کارگزارهای Sundown که منحصراً در هلند واقع شده‌اند، فعال و در حال اجرا هستند. این ماجرا در حالی ادامه دارد که محققان سیسکو هفته‌ی گذشته به شرکت‌های میزبانی در مورد این فعالیت‌های غیرقانونی اطلاع دادند.

بیاسینی گفت: «۶ ماه بسیار جالبی را شاهد خواهیم بود تا ببینیم کیت Sundown کِی خواهد رفت و این سقوط در عرصه‌ی کیت‌های بهره‌برداری تا کی ادامه خواهد یافت. آیا کیت جدیدی وارد عرصه‌ تهدیدات خواهد شد یا نه.»

۱. domain shadowing techniques
۲. wildcards

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter