تروجان جدیدی با نام Duuzer

محققان امنیتی در سیمنتک تروجان جدیدی را کشف کرده‌اند که به نفوذگران امکان دسترسی و کنترل از راه دور را در ماشین های آلوده می‌دهد. نام این تروجان Duuzer بوده و سازمان‌های کره‌ی جنوبی را به همراه دیگر کشورها مورد تهدید سرقت اطلاعات قرار داده است.
این تروجان طراحی شده است تا رایانه‌های ۳۲ بیتی و ۶۴ بیتی را آلوده کند که ویندوزهای ۷، ویستا و اکس‌پی را اجرا می‌کنند.

تروجان Duuzer امکان دسترسی از راه دور را به رایانه‌های مورد حمله می دهد تا به نفوذگرها امکان دهد:

  • اطلاعات سامانه‌ای و درایو را جمع‌آوری کنند
  • فرآیند‌ها را ساخته و یا خاتمه دهند
  • به پرونده‌‌‌‌‌‌ها دسترسی داشته، آن‌ها را تغییر داده و یا حذف کنند
  • پرونده‌‌های مورد نظر را بارگذاری و یا بارگیری کنند
  • توصیف‌گرهای زمانی مرتبط با یک پرونده‌ را تغییر دهند
  • فرامین مخرب را اجرا کنند
  • از سامانه‌‌ی آلوده داده سرقت کنند
  • درباره‌ی سامانه‌‌ی ‌عامل قربانی اطلاعات کسب کنند

هنوز به طور دقیق مشخص نشده‌ است این تروجان چگونه منتشر می‌شود اما محققان سیمنتک می‌گویند، احتمالاً ردپای کمپین‌های فیشینگ و حملات watering hole دیده شده‌ است.
زمانی که سامانه‌ آلوده می‌شود، این تروجان بررسی می‌کند آیا سامانه‌ بر روی ماشین مجازی مانند VMWare و یا VirtualBox ‌اجرا می‌شود؟ تا بدین ترتیب مطمئن شود پیش از اعمال اهداف مخرب، محققان امنیتی در حال تحلیل بدافزار آن نباشند.
به علاوه این تروجان، نرم‌افزاری را می‌یابد تا در شروع اجرای سامانه‌ اجرا شده، نام آن نرم‌افزار قانونی را از آن خود کرده و در کل سامانه‌ پخش شود.
Duuzer‌ در اولین گام یک راه ‌نفوذ روی ماشین ایجاد کرده و برای نفوذگرها امکان دسترسی فیزیکی به سامانه‌‌ را فراهم می‌کند.
نفوذگرها از این طریق فرامین مدنظر خود را بر روی رایانه‌ی هدف اجرا می‌کنند. آن‌ها می‌توانند انواعی از کارهایی که در بالا ذکر شد را انجام دهند.
محققان هم‌چنین کرمی را تحت عنوان Brambul به همراه تروجان دیگری با نام Joanap کشف کرده‌اند که باهم کار کرده و معمولاً برای نظارت کردن و گزارش‌گیری از سامانه‌ی‌‌ آلوده به صورت از راه دور استفاده می‌شوند. نحوه‌ی توزیع این ترکیب نیز کاملاً مشخص نیست اما کمان می‌رود از رایانامه‌های مخرب سرچشمه گرفته‌ باشد.
پس از آن‌که سامانه‌ آلوده شد، Brambul به آدرس‌های آی‌پی تصادفی بر روی شبکه‌ی محلی متصل شده و هویت خودش را از طریق بلوک پیام کارگزار (SMB) و با استفاده از کلمات عبور رایجی مانند ‘password,’ ‘login,’ ‘۱۲۳۱۲۳,’ ‘abc۱۲۳’ تصدیق می‌کند.
علاوه بر حمله به سایر رایانه‌ها از طریق SMB، Brambul یک شبکه‌ی اشتراکی بر روی رایانه‌‌های آلوده ایجاد کرده و اطلاعات آن‌ها را شامل اطلاعات ورود به آدرس رایانامه‌ی از قبل مشخص شده ارسال می‌کند.
بر اساس تحقیقات انجام شده توسط سیمنتک، رابطه‌ای بین Joanap، Duuzer و Brambul وجود دارد. زمانی که سامانه‌ آلوده می‌شود، Brambul انواع دیگری از بدافزار مانند Duuzerو Joanap را بر روی سامانه‌ی‌ آلوده قرار می‌دهد. سامانها‌ی که توسط Brambul ‌آلوده شده ‌است، به عنوان کارگزار کنترل و فرمان برای Duuzer‌ عمل می‌کند.
اگرچه Duuzer، Brambul‌ و Joanap در گروه تعدید‌های با ریسک کم طبقه‌بندی می‌شوند، اما باز هم توصیه می‌شود که کاربران و شرکت‌ها از طرق زیر، خود را امن کرده و مانع آن شوند سامانه‌‌هایشان با این بدافزارها آلوده شود:

  • برای سرویس‌هایی که نباید در دسترس عموم باشند از دیوار آتش برای مسدودسازی ارتباطات ورودی از اینترنت استفاده کنید.
  • شما باید در حالت پیش‌فرض تمامی ارتباطات ورودی را رد کرده و فقط به سرویس‌هایی که می‌خواهید اجازه اجرا بدهید.
  • از کلمات عبور پیجیده‌ای که شکستنشان سخت است استفاده کنید.
  • اگر برای دستگاه تلفن همراه به بلوتوث احتیاج ندارید آن را خاموش کنید. هم‌چنین سایر سرویس‌هایی را که در حال حاضر نیاز نیستند نیز غیر فعال کنید.
  • به کارمندان خود بیاموزید فقط رایانامه‌ها و الصاقات رایانامه‌هایی را باز کنند که فرستنده‌ی آن‌ها را می‌شناسند.

منبع: asis

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap