هزار دستگاه رایانه قربانی حملات بات نت Black

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

هزار دستگاه رایانه قربانی حملات بات نت Black

q808

اخیرا حملات بات نتی با نام Black کشف شده است که با استفاده از بدافزار Ramnit، ۱۰۰ هزار دستگاه را در ماه جولای آلوده کرده است. بر اساس گفته پژوهشگران، این حملات تنها مقدمه ای بر حملات جدیدی است که با کمک بدافزار Ngioweb انجام خواهد شد. 

پژوهشگران CheckPoint اعلام کردند که عوامل بات نت Black در حال کار بر روی ایجاد شبکه ای از سرورهای پراکسی مخرب هستند. در عملیات بات نت Black، از بدافزار Ramnit استفاده شده است که احتمالا از طریق حملات اسپمی منتشر می‌شود. این بدافزار در این عملیات در مرحله اول استفاده می‌شود. Ramnit قابلیت های استخراج اطلاعات زیادی دارد و به عنوان تروجان بانکی و در پشتی نیز در دستگاه های آلوده فعالیت می کند. در این بات نت از بدافزار Ramnit برای فراه مسازی نفوذ بدافزار مرحله دوم Ngioweb استفاده شده است.
Ngioweb به عنوان یک سرور پراکسی چند قابلیتی عمل می‌کند که از پروتکل خود با دولایه رمزگذاری استفاده می‌کند. این بدافزار پراکسی از حالات back-connect، relay، پروتکل های IPv۴، IPv۶ و انتقال های TCP و UDP پشتیبانی می‌کند. نمونه های اولیه آن در نیمه دوم سال ۲۰۱۷ مشاهده شده است. نکته نگران کننده این است که مهاجمان در حال ساخت یک بات نت پراکسی بزرگ و چند منظوره هستند که برای عملیات های مخربی مانند انتشار کاوشگر ارز دیجیتالی، باج افزارها، بدافزارها، حملات DDoS، استخراج اطلاعات و ... می تواند مورد استفاده قرار گیرد.
بدافزار Ngioweb می تواند به عنوان یک پراکسی back-connect معمولی و یک پراکسی relay فعالیت کند. در حالتی که بدافزار به عنوان یک پراکسی relay فعالیت کند، با ایجاد زنجیره هایی از پراکسی ها، شناسایی فعالیت های خود را دشوار می‌کند. این امر پوشش کاملی برای ایجاد سرویس های مخرب مخفی است. برای ساخت یک سرویس مخفی با استفاده از Ngioweb، عوامل بدافزار ابتدا آدرس دستگاه قربانی را در یک کانال عمومی مثل DNS منتشر می‌کند؛ سپس دومین دستگاه قربانی آدرس اول را resolve می‌کند و به آن وصل می‌شود. سپس کامپیوتر آلوده اول اتصال جدیدی به سرور ایجاد می‌کند و به عنوان رله بین سرور و دومین میزبان آلوده عمل می‌کند و این کار ممکن است بصورت بی نهایت ادامه یابد.
تروجان Ramnit که در بات نت Black استفاده شده است، ابتدا در سال ۲۰۱۰ مشاهده شد و در سال ۲۰۱۱ با استفاده از کدمنبع تروجان بانکی Zeus، به یک تروجان بانکی تبدیل شد. این تروجان در ابتدا برای سرقت اطلاعات احرازهویت بانکی استفاده می شد، سپس بر روی سرقت رمزعبور حساب های شبکه های اجتماعی و FTPها تمرکز کرده است. نویسندگان این بدافزار علاوه بر اعمال تکنیک های جلوگیری از شناسایی و محافظت از بدافزار، قابلیت مدیریت بات ها را نیز در آن اعمال کرده‌اند.
در ادامه Ramnit بدلیل بروزرسانی های متناوب بین مجرمین سایبری محبوب شد، تا حدی که این بدافزار تا سال ۲۰۱۵ بیش از ۳,۲ میلیون رایانه ویندوزی را آلوده کرد. در سال ۲۰۱۵ سرورهای پشتیبان Ramnit توسط مراجع قانونی متوقف شدند. اما این تروجان در سال ۲۰۱۶ دوباره نمایان شد. Ramnit از همان پیلود، معماری و الگوریتم های رمزگذاری استفاده کرد، اما به آن قابلیت های جاسوسی مانند نظارت بر مرورگر و URLهای مشاهده شده نیز اضافه شد.
منبع:

https://threatpost.com/ramnit-changes-shape-with-widespread-black-botnet/۱۳۴۷۲۷