مطالب پربازدید

1405/02/02 - 13:10- بررسی تخصصی

بازار سیاه فیلترشکن در زمان قطع اینترنت؛ از قیمت‌های میلیونی تا موج گسترده کلاهبرداری

مقاله ای از کارشناس سایبری مهیار خدادادی پیرامون مسئله فیلتر شکن ها در زمان قطعی اینترنت بین المللی

1405/01/10 - 16:13- جنگ سایبری

بزرگ‌ترین حمله سایبری به شرکت‌های نفتی امارات

شرکت های نفتی امارات مورد حمله سایبری گروه هکری نصیر قرار گرفت

1405/02/01 - 15:13- ایران

در غم از دست دادن پدر امت به سوگ نشسته ایم

انتشار شده در تاریخ 1393/04/15 - 10:29

MiniDuke ، بدافزاری خطرناک در سرقت اطلاعات

کمپین تهدیدات مستمر بدافزار MiniDuke در سال 2013 توسط محققان آزمایشگاه‌های CrySys و کسپرسکی کشف گردید. درحالیکه مهم‌ترین اهداف این بدافزار، سازمان‌های دولتی اروپا بوده است، در موج دوم حملات این بدافزار، دامنه اهداف این تروجان به فروشگاه های آنلاین اجناس غیرقانونی نیز رسیده است.

علاوه بر جاسوسی از فروشندگان غیرقانونی، این بدافزار به دنبال اطلاعاتی از سازمان‌های در ارتباط با دولت، بخش‌های دیپلماسی، انرژی و نیرو، ارتباطات و سازمان های نظامی نیز می‌باشد. نسخه‌ جدید این بدافزار، ابزار‌های بیشتری برای سرقت اطلاعات از اهداف را در خود جای داده است.

به نظر می‌رسد این تروجان به اکثر کشور‌های دنیا از جمله، اتریش، بلژیک، فرانسه، آلمان، مجارستان، هلند، اسپانیا، اوکراین، و آمریکا، حمله کرده است. با این حال، تجزیه و تحلیل یکی از سرورها نشان می‌دهد آلودگی بیشتری از این بدافزار در کشور‌های گرجستان، روسیه، انگلستان، قزاقستان، هند، بلاروس، اوکراین، قبرس، و لیتوانی وجود دارد. سرورهای فرماندهی و کنترل به طور فزاینده‌ای در حال جست ‌و‌جوی سامانه‌های آسیب‌پذیر در آذربایجان، اوکراین و یونان می‌باشند که نشان از علاقه‌ مهاجمان سایبری برای گسترش محدوده‌ آلودگی دارد.

بدافزار MiniDuke ، پس از کشف آن در سال 2013، نسبت به سایر تهدیدات پیش‌رفته‌ مستمر، منحصر به فرد به شمار می‌آمد. این تروجان دارای ویژگی‌هایی از قبیل درپشتی سفارشی این بدافزار، زیر‌ساخت سرورهای فرماندهی و کنترل با روش‌های مختلف و نحوه پنهان ماندن آنست که در آن توسعه ‌دهندگان به‌ روز‌رسانی‌های خود را در قالب gif ارسال می‌کنند.

علاوه بر ویژگی های بالا، در نسخه جدید این بدافزار از الگوریتم واحدی برای رمز کردن آدرس‌های ارسال‌شده حساب‌های کاربری توییتر استفاده شده است. همچنین این بدافزار به هر قربانی یک شناسه‌ منحصر به فرد اختصاص می‌دهد که با استفاده از این شناسه برای هر سامانه‌ آلوده، به‌ روز‌رسانی‌های ویژه‌ای توسط سرور فرماندهی و کنترل ارسال می‌شود.

توسعه دهندگان این بدافزار به ‌شدت از الگوریتم‌های رمز‌نگاری و فشرده‌سازی مانند RC4 و LZRW استفاده کرده اند، که چنین اقدامی جهت پنهان کردن هر چه بیشتر کد و جلوگیری از فعالیت محصولات آنتی ویروس صورت پذیرفته است.

همچنین آنها با استفاده از ابزاری به نام BotGenStudio، درپشتی (Backdoor) جدیدی را در این بدافزار ایجاد کرده‌اند. این درپشتی که CosmicDuke نام دارد، امکان سرقت حجم زیادی از انواع اطلاعات را فراهم می آورد.

این بدافزار روش‌های مختلفی را برای ارسال داده‌های سرقت رفته به کار می گیرد، به طور مثال بارگذاری داده‌ها از طریق FTP .

پس از اینکه اطلاعات از ماشین آلوده جمع‌آوری می‌شوند، این داده‌ها به قطعات بسیار کوچک ۳ کیلوبابتی تقسیم شده و اگر پرونده‌ها به اندازه کافی بزرگ باشند، قطعات این پرونده به صورت مستقل بارگذاری می‌شوند. داده‌های منتقل‌شده، احتمالاً در سمت مهاجمان، رمز‌گشایی شده و از بسته‌های داده استخراج می‌شوند. سپس قطعات مرتبط با یکدیگر ترکیب می‌شوند و داده‌ی اصلی را می‌سازند.

نسخه جدید MiniDuke ، به ‌روز‌رسانی‌‌های مربوط به نرم‌افزار‌های پرکاربرد مانند مرورگر گوگل‌کروم، جاوا و ادوبی را نیز در پس‌زمینه دریافت، و به‌روز‌رسانی‌های جعلی را در رایانه‌ قربانی نصب می‌کند.

تازه ترین ها