مطالب پربازدید

1403/09/24 - 08:40- آسیا

ساخت پیچیده‌ترین سلاح سایبری زیرساختی جهان توسط ایران

کارشناسان ادعا کردند که بدافزار مرتبط با ایران زیرساخت‌های حیاتی ایالات متحده و رژیم صهیونیستی را هدف قرار داده است.

1403/09/28 - 07:37- آسیا

راه‌اندازی اولین کامپیوتر کوانتومی ساخت رژیم صهیونیستی

رژیم صهیونیستی از راه‌اندازی اولین کامپیوتر کوانتومی ساخت خود با استفاده از فناوری پیشرفته ابررسانا خبر داد.

1403/09/25 - 16:55- حملات سايبری

آغاز پخش فصل سوم سریال تهران(Tehran)

انتشار شده در تاریخ 1392/05/24 - 06:58

کشف بات نت جدیدی در حوزه اینترنت اشیاء به نام StealRat

اخیراً بات‌نت ارسال‌کننده‌ی هرزنامه‌ای توسط ترندمیکرو کشف شد

اخیراً بات‌نت ارسال‌کننده‌ی هرزنامه‌ای توسط ترندمیکرو کشف شد که از ۳ جزء اساسی تشکیل شده است:

وب‌گاه در معرض خطری برای ارسال هرزنامه‌

سامانه‌ی آلوده‌ای برای دریافت و تحویلِ اطلاعات هرزنامه

وب‌گاه در معرض خطر دیگری برای تحویل پای‌لود

به گفته‌ی پژوهش‌گران ترندمیکرو سامانه‌ی آلوده کارگزار هرزنامه را به وب‌گاهی متصل می‌کند که مسئول ارسال پیام‌هاست.

در این شیوه کارگزار اصلیِ هرزنامه مابینِ ۳ لایه از قربانی‌های از همه جا بی‌خبر پنهان شده است: دو وب‌گاه در معرض خطر و یک ماشین آلوده. این سامانه‌ی آلوده مانند یک رابط بین کارگزار هرزنامه و وب‌گاه در معرض خطر عمل می‌کند. البته از آن‌جایی که هیچ ارتباط مستقیمی بین کارگزار هرزنامه و خودِ هرزنامه وجود ندارد، این‌طور وانمود می‌شود که رایانامه از سامانه‌ی آلوده ارسال شده است. این هرزنامه به خودیِ خود حاملِ بدافزار نیست. بنابراین هیچ ارتباطِ مرئی و شفافی بینِ این دو نمونه وجود ندارد. در اصل آن‌ها دارای توابع هسته‌ی مجزایی هستند و تعاملات آن‌ها به حداقل میزانِ خود رسیده؛ تا هر گونه سرنخی که آن‌ها را به هم پیوند می‌دهد، از بین ببرند.

یک وب‌گاه در معرض خطر دارای ارتباط پای‌لود و اسکریپت هرزنامه است. البته پای‌لود معمولاً یک وب‌گاه داروخانه‌ یا موارد غیراخلاقی است. اسکریپت هرزه‌نگار نیز به زبان PHP نوشته شده و منتظر دریافت اطلاعات از سامانه‌ی آلوده(سامانه‌ی شخص قربانی) می‌ماند. سپس این سامانه به کارگزار مخرب هرزنامه متصل می‌شود تا اطلاعات هرزنامه‌ای زیر را جمع‌آوری کند:

کارگزار پشتیبان رایانامه

نام ارسال‌کننده

آدرس گیرنده

قالب رایانامه

این اطلاعات به وب‌گاه در معرض خطری فرستاده می‌شود که قادر است رایانامه را ایجاد کرده و به کاربران ارسال کند. این وب‌گاه در معرض خطر معمولاً دارای پوشه‌ای با نام تصادفی و چندین اسکریپت PHP است.

رفتار جالب‌توجه دیگرِ این بات‌نت این است که از دامنه‌ی وب‌گاه در معرض خطر به عنوان دامنه‌ی سرویس رایانامه‌ی خود استفاده می‌کند. به عنوان مثال در صورتی که اسکریپت هرزه‌نگار در وب‌گاه xyz.com میزبانی شود، رایانامه نیز ظاهراً توسط آدرس xyz.com@[نام ارسال‌کننده] فرستاده می‌شود.

این مولفه‌ی بدافزاری در سامانه‌ی آلوده برخی نشانه‌های آشکاری را نیز بروز می‌دهد. به عنوان مثال هنگامِ دریافتِ دستورات از کارگزار کنترل و فرمان‌دهی6 سعی می‌کند برای پنهان کردن ترافیک شبکه‌ی خود، نام دامنه را به google.com تغییر دهد.

ترندمیکرو طی تحقیقات خود ۸۵۰۰۰ آدرس آی‌پی و دامنه‌ی منحربه‌فردی را شناسایی کرد که برای ارسال هرزنامه در یک دوره‌ی یک‌ماهه مورد استفاده قرار گرفته‌اند. هر کدام از این دامنه‌ها به طور میانگین حاویِ دو اسکریپت هرزه‌نگاری است. دستِ‌کم ۸۶۴۰ پیام هرزنامه‌ای روزانه از سامانه‌ی آلوده به افراد ارسال می‌شود. ارسال‌کنندگان هرزنامه در حال حاضر حدود ۷ میلیون آدرس رایانه‌ای را هدف قرار داده‌اند.

در حالی که سوءاستفاده از وب‌گاه‌های در معرض خطر برای ارسال هرزنامه پیش از این نیز توسط دیگر بات‌نت‌ها استفاده شده بود، اما StealRat در نوعِ خود جالب است. اپراتورهای این بات‌نت مرزها را بسیار روشن تعیین کرده‌اند. آن‌ها از وب‌گاه‌های به خطر افتاده برای ارسال هرزنامه استفاده می‌کنند؛ از سامانه‌های آلوده نیز به عنوان واسط بین وب‌گاه‌ها و کارگزار هرزنامه بهره می‌گیرند.

بدین ترتیب می‌توانند ردپای خود را بپوشانند؛ چرا که هیچ شاهد عینی از ارتباطِ بین وب‌گاه‌ها و کارگزار وجود نخواهد داشت. آن‌ها همچنین از کارگزار رایانامه‌ای معتبر و میزبان‌های تغییریافته استفاده می‌کنند تا ترافیک خود را بپوشانند. این عمل‌کرد مطمئناً نشان می‌دهد که مجرمان سایبری همواره در پی یافتن راه‌هایی هستند که از شیوه‌های دفاعی بگریزند.