ورود به سایت
جمعه، 2 آبان 1399

مجله اینترنتی دیپروتد

ریشه های عمیق اجتماعی و اقتصادی

دسته بندی
دیپروتد دورنما دیپروتد راهکار و ترفند استارت اپ علوم اخبار دانش رویداد کتاب خوانی


آگهی
فروشگاه اینترنتی صنایع دستی صبنگو
مطالب
12/11 1397

انتقال چندین Payload توسط بدافزار چندمرحله‌ای Rietspoof

نرم‌افزار مخرب Rietspoof یک خانواده بدافزاری جدید است که از سیستم انتقال چندمرحله‌ای استفاده می‌کند و به گونه‌ای طراحی‌ شده تا چندین payload را در سیستم‌هایی که آلوده می‌کند، بارگذاری کند.
به گزارش دیپروتد، به نقل از وب‌سایت BleepingComputer، اولین مشاهده این بدافزار، در تابستان ۲۰۱۸ بوده است. این بدافزار از چندین مرحله برای نفوذ به اهداف خود استفاده می‌کند. هر یک از این مراحل قابلیت‌های بخصوصی دارند، یکی از آن‌ها نوعی بات است که قابلیت دانلود/آپلود فایل‌ها، آغاز فرآیندهای پردازشی و یا اجرای تابع خود‌تخریب را دارد و دیگری مانند یک دانلودکننده معمولی عمل می‌کند. همچنین، در حالی که بدافزار بصورت ماهانه در ابتدا بروزرسانی می‌شد، از ژانویه ۲۰۱۹، سرعت توسعه آن افزایش یافته و بصورت روزانه تکامل یافته است.
داده‌ها نشان می‌دهند که مرحله اول حمله توسط سرویس‌گیرنده‌های پیام‌رسان‌ها، مانند Skype یا Messenger، منتقل می‌شود. از طریق پیام، یک اسکریپت Visual Basic مبهم‌سازی شده با ابزار مرحله دوم یعنی یک فایل CAB رمزگذاری شده منتقل می‌شود. فایل CAB به یک فایل اجرایی گسترش می‌یابد که در ادامه این فایل اجرایی در مرحله ۴ یک دانلودکننده نصب می‌کند.
با این حال، قبل از رسیدن به مرحله سوم و چهارم،Rietspoof  با اضافه کردن WindowsUpdate.lnk  به پوشه راه‌اندازی ویندوز که پس از هر بار راه‌اندازی مجدد، یک باینری Portable Executable یا فایل اجرایی قابل حمل گسترده را اجرا می‌کند، از حضور دائمی خود در سیستم اطمینان حاصل ‌می‌کند .
در مرحله سوم Rietspoof، بات‌هایی بارگذاری می‌شوند که توسط سازندگان بدافزار برای شروع پردازش‌ها در دستگاه‌های آسیب‌دیده، دانلود و آپلود فایل‌ها و ارسال فرمان خود تخریب استفاده می‌شود. در حالی که خود payload بات‌ها از قابلیت‌های غیرعادی برخوردار نیست، سرور فرمان و کنترلی (C&C) که به آن وصل می‌شود دارای ویژگی‌های غیرمعمول است. به عنوان مثال، سرور C&C قابلیت تعیین محدوده جغرافیایی (Geofencing) پایه بر اساس آدرس IP را دارد.
مرحله چهارم و آخرین مرحله به عنوان یک دانلودکننده بدافزار عمل‌ خواهد کرد و تلاش خواهد کرد یک کانال معتبر از طریق پروتکل NTLM روی TCP با سرور C&C خود، ایجاد کند. پس از آنكه دانلودکننده موفق به برقراري ارتباط با سرور C&C مي‌شود، سعي مي‌كند آخرين payload يا يك مرحله ديگر بدافزار را دریافت‌کند.
هنوز هدف اصلی، قربانیان و زنجیره آلودگی دقیق Rietspoof، شناسایی نشده است، اما عاملان تهدید پشت این بدافزار، در حال افزایش سرعت توسعه و گسترش آن و افزودن ویژگی‌های جدید و بروزرسانی و بهبود هر یک از ویژگی‌های موجود هستند.

منبع :




منبع :
لینک :
کد مطلب: 9359
تاریخ و زمان انتشار: 11 اسفند 1397, 00:12
واژگان کلیدی:
پیوند کوتاه نوشتار:
https://deeprooted.ir/9359
 نوشتار های پیشین نویسنده:
  • طرح صیانت از حقوق کاربران فضای مجازی در مجلس
  • گزیده اقتصادی روزنامه‌ها
  • فعالیت بلندمدت باج‌افزار Shade
  • اخبار امنیتی هفته گذشته
  • زلزله کرمانشاه را لرزاند - آخرین وضعیت
  • از فيلترينگ تا ساماندهي پيام‌رسان‌هاي اجتماعي
  • آسیب‌پذیری روترهای میکروتیک و ادامه سوءاستفاده مهاجمین
  • بزرگ‌ترین هک‌های تاریخ آی‌فون
    •
    آبتین وب فروشگاه اینترنتی قند رژیمی کامور
    انتقال چندین Payload توسط بدافزار چندمرحله‌ای Rietspoof
    دسته بندی: اخبار || تگ های مطلب :
    نظرات: 0 1397/12/11

    ارسال نظر

    نام:*
    ایمیل:*
    متن نظر:
    دو کلمه نمایش داده شده در تصویر را وارد کنید: *
     
    سمت نو
    اخبار

    رویدادها
    کسب و کار های نوپا

    TED

    معرفی کتاب

    سبک زندگی

    معرفی سایت
    داغ ترین ها