about-3 back-contact back-deep eitaa کانال روبیکاخبرگزاری سایبربان
مطالب پربازدید
بازار
1405/02/02 - 13:10- بررسی تخصصی

بازار سیاه فیلترشکن در زمان قطع اینترنت؛ از قیمت‌های میلیونی تا موج گسترده کلاهبرداری

مقاله ای از کارشناس سایبری مهیار خدادادی پیرامون مسئله فیلتر شکن ها در زمان قطعی اینترنت بین المللی

آیا
1405/04/01 - 14:49- جنگ سایبری

آیا رسانه‌ای کردن حملات سایبری برای ایران بازدارندگی ایجاد می‌کند؟

در سال‌های اخیر، اخبار متعددی درباره نفوذ و عملیات‌های سایبری منتسب به ایران و محور مقاومت با بازتاب گسترده رسانه‌ای همراه بوده است. برخی این اقدامات را نشانه‌ای از قدرت سایبری و عاملی جهت بازدارندگی در برابر دشمنان می‌دانند و برخی دیگر معتقدند بخش مهمی ا

در
1405/02/01 - 15:13- ایران

در غم از دست دادن پدر امت به سوگ نشسته ایم

در غم از دست دادن پدر امت به سوگ نشسته ایم

انتشار شده در تاریخ

Backdoor.Egobot: کمپین موفق بدافزاری

Backdoor.Egobot تروجان مورد استفاده در کمپین‌هایی است که منافع کره را هدف حمله قرار می‌دهند.

Backdoor.Egobot تروجان مورد استفاده در کمپین‌هایی است که منافع کره را هدف حمله قرار می‌دهند. بررسی‌های صورت‌گرفته توسط شرکت امنیتی سیمنتک حاکی از آن است که این کمپین از سال ۲۰۰۹ وارد عمل شده است و به‌طور پیوسته با اضافه‌کردن قابلیت‌های جدید در حال تحول است.
نفوذگران پشت این ماجرا از چهار قانون طلایی برای راه‌اندازی کمپین هدف‌مند خود استفاده می‌کنند:
    شناسایی هدف
    سوءاستفاده از هدف (برای رها کردن کد مخرب)
    انجام فعالیت‌های مخرب (که در این مورد همان سرقت است)
    فرار از شناسایی


Egobot مدیران شرکت‌های کره‌ای و نیز مدیرانی را که با کره‌جنوبی تعاملات تجاری دارند هدف قرار داده است.
صنایعی که Egobot به آن‌ها علاقه نشان داده عبارتند از:
    امور مالی و سرمایه‌گذاری
    زیرساخت‌ و توسعه
    سازمان‌های دولتی
    پیمان‌کاران دفاعی


اهداف Egobot در سراسر جهان، در کشورهایی همچون کره، استرالیا، روسیه، برزیل و آمریکا استقرار دارند. هدف کمپین Egobot سرقت اطلاعات محرمانه از رایانه‌های تحت نفوذ است.

 


سوءاستفاده
مهاجمان اطلاعات مربوط به اهداف خود را به کمک روی‌کردهای مهندسی اجتماعی پیشین خود جمع‌آوری نموده‌اند تا به این ترتیب قربانی‌ها را به دام بیاندازند. در این جریان رایانامه‌های اسپیر - فیشینگ به کاربران ارسال می‌شود، رایانامه‌هایی که اغلب وانمود می‌کنند از سوی فردی آشنا فرستاده شده‌اند. رایانامه‌های اسپیر – فیشینگ دربرگیرنده‌ی یک پیام فریبنده و یا مرتبط با قربانی هستند و به این صورت او را تشویق به باز نمودن پرونده‌ی پیوست مخرب می‌نمایند. محتوای مخرب ممکن است یک پرونده‌ی lnk. میان‌بر باشد که به پرونده‌ای اشاره دارد که در سرویس میزبانی وب GeoCities ژاپن میزبانی می‌شود.

 

 


پرونده‌های پیوست مخرب گوناگونی در این کمپین استفاده شده است:
پرونده‌های lnk.: تا به حال نیز شاهد استفاده از چنین شیوه‌ای بوده‌‌ایم، اما این مهاجمان از 1MSHTA نیز برای بارگیری پرونده‌ی دیگری در سامانه کمک می‌گیرند.
پرونده‌های doc.: سوءاستفاده از آسیب‌پذیری‌های زیر:
    آسیب‌پذیری سرریز بافر پرونده‌ی RTF در مایکروسافت آفیس (CVE-2010-3333)
    آسیب‌پذیری تخریب حافظه‌ پرونده‌ی SWF در ادوبی فلش‌پلیر (CVE-2011-0609)
پرونده‌ی hwp.: حاوی اسکریپتی است که یک پرونده‌ی مخرب را بارگیری می‌کند.

هنگامی که محتوای مخرب باز می‌شود، فرآیند بارگیری سه‌مرحله‌ای زیر اجرا می‌شود:
مرحله‌ی ۱: بارگیری یک پرونده‌ی HTML ناشناس
هر یک از پرونده‌های پیوست، بدافزاری را از وب‌گاه‌های میزبانی‌شده در GeoCities ژاپن بارگیری می‌کند. این پرونده‌های HTML ناشناس که یک پرونده‌ی اجرایی را در سامانه رها می‌کنند دارای انواع متفاوتی هستند، ولی معمولاً نام همه‌ی آن‌ها update[YYYYMM].xml است.

مرحله‌ی ۲: بارگیری آرشیو RAR
پرونده‌ی اجرایی که در مرحله‌ی ۱ رها شده، پرونده‌ی دیگری را از میزبان وب GeoCities ژاپن بازیابی می‌کند. این پرونده که یک آرشیو RAR قابل اجراست، hotfix[YYYYMM].xml نام دارد. هر دو پرونده‌ی بارگیری‌شده در دو مرحله‌ی قبل اسناد XML تشخیص داده می‌شوند تا پرونده‌ای خالی از اشکال جلوه کرده و مشکوک به نظر نرسند.

مرحله‌ی ۳: بارگیری مؤلفه‌ی در پشتی
پرونده‌ی اجرایی RAR مسئول آماده‌سازی سامانه است. این پرونده مجموعه‌ای از پرونده‌های دیگر را که وظیفه‌ی انتشار پرونده‌ها را بر عهده دارند، رها می‌کند؛ همچنین مؤلفه‌ای را به فرآیندها تزریق می‌کند و اطلاعات سامانه‌ای زیر را می‌رباید:
    نسخه‌ی ویندوز
    نسخه‌ی سرویس‌پک نصب‌شده
    زبان مورد استفاده‌
    نام کاربری

 

 

 

اطلاعات سرقتی با قالب زیر در کارگزار فرمان‌دهی و کنترل Egobot قرار می‌گیرد:

 

 

/micro/advice.php?arg1=1irst&arg2=[BASE64 ENCODED STRING]

 

/micro/advice.php?arg1=1irst&arg2=[HASH]&arg3=[BASE64 ENCODED STRING]
 

اطلاعاتی که به کارگزار فرمان‌دهی و کنترل بازپس فرستاده می‌شوند با استفاده از یک کلید تعبیه‌شده در بدافزار رمزگذاری می‌شود. سیمنتک این دو کلید خاص را رؤیت نموده است:

    youareveryverygoodthing
    allmyshitisveryverymuch


در پایان پرونده‌ی اجرایی RAR، مؤلفه‌ی آخر را از GeoCities ژاپن بارگیری می‌کند. این پرونده‌ی بارگیری‌شده با توجه به مقدار arg1 موجود در دستور GET، که به کارگزار C&C فرستاده شده، نام‌گذاری می‌شود. در این قسمت Egobot سعی می‌کند پرونده‌ای به نام 1irst.tmp را، که همان کد مخرب اصلی است، بارگیری نماید.
سرقت اطلاعات
این کد مخرب قابلیت‌های ویژه‌ای دارد که احتمالاً برای مدیران بخش‌های تجاری فاجعه‌بار هستند. این قابلیت‌ها عبارتند از:
    ضبط ویدئو
    ضبط صوت
    تهیه‌ی اسکرین‌شات
    بارگذاری پرونده‌ها در یک کارگزار راه دور
    به دست آوردن فهرست اسنادی که اخیراً استفاده شده‌اند
    جست‌وجوی یک رشته یا الگو در یک پرونده‌
    پاک‌سازی و تنظیم نقاط بازیابی

اطلاعات ربوده‌شده روی کارگزار راه دوری بارگذاری می‌شود که در مالزی، هنگ‌کنگ، و کانادا میزبانی می‌گردد. مهاجمان کد مورد استفاده‌ی خود را به‌روز کرده‌اند تا از نسخه‌های ۶۴ بیتی بسترها نیز پشتیبانی شود.
جلوگیری از شناسایی
Egobot به کمک ابزارهای بسته‌بندی تجاری exe32pack و UPX، در پوشش یک بایگانی RAR که با مؤلفه‌های گوناگونی همراه است، در سامانه بارگیری می‌شود. مؤلفه‌های زیر برای مخفی نمودن حضور بدافزار در سامانه مورد استفاده قرار می‌گیرند:
مؤلفه‌ی تغییر مسیر: Backdoor.Egobot با استفاده از یک نسخه‌ی قدیمیِ بسته‌ی نرم‌افزاری Detours مایکروسافت کامپایل شده است، این نرم‌افزار شامل پرونده‌ی detoured.dll می‌باشد. این پرونده برای ضمیمه‌نمودن پرونده‌های مخرب dll. به پرونده‌های باینری Win32 استفاده می‌شود. Egobot می‌تواند به کمک این پرونده خود را در حافظه‌ی یک فرآیند مُجاز اجرا نماید، و طوری ظاهرسازی کند که گویا یک فرآیند بی‌اشکال و معمول است.
مؤلفه‌ی هماهنگ‌کننده: آماده‌سازی پرونده‌ها با انتقال آن‌ها به پوشه‌های مربوطه و تزریقشان به فرآیندهای مُجاز. معمولاً Backdoor.Egobot در فرآیندهای explorer.exe ،subst.ex و alg.exe تزریق می‌شود.
عمل‌کرد زمان‌سنج: برخی نسخه‌های مؤلفه‌ی این در پشتی مجهز به یک قابلیت زمان‌سنج هستند که به واسطه‌ی آن، تروجان می‌تواند پس از طی یک مدت‌زمان مشخص خود را پاک کند. این ویژگی هرگونه ردی از Backdoor.Egobot را نابود می‌کند.

 

 

 

تازه ترین ها
خالق
1405/04/10 - 15:41- تلگرام

خالق تلگرام: منتظر بیت کوین ۱ میلیون دلاری باشید!

پاول دوروف خالق تلگرام با اشاره به آینده بیت کوین اعلام کرد که هرگز دارایی‌های خود را نفروخته و پیش بینی قیمت بیت کوین یک میلیون دلاری را بسیار منطقی می‌داند.

بررسی
1405/04/10 - 15:19- جرم سایبری

بررسی آخرین وضعیت حمله سایبری به زیرساخت‌های بانکی

آخرین وضعیت مقابله با حمله سایبری به زیرساخت های بانکی، تاب آوری فنی و زیست بوم محتوایی کشور در شورای معین شورای عالی فضای مجازی بررسی شد.

کمیته
1405/04/10 - 15:14- امنیت زیرساخت

کمیته مشترک وزارت ارتباطات و مجلس در زمینه امنیت سایبری تشکیل می‌شود

وزیر ارتباطات گفت: توجه به گزارش‌ها درباره آسیب‌پذیری دستگاه‌ها، به‌ویژه در حوزه بانکی، دغدغه مشترکی میان وزارت ارتباطات و اعضای کمیسیون امنیت ملی وجود دارد.