مجله اینترنتی دیپروتد

ریشه های عمیق اجتماعی و اقتصادی

دسته بندی
دیپروتد دورنما  دیپروتد راهکار و ترفند  استارت اپ  علوم اخبار دانش  رویداد  کتاب خوانی


آگهی
فروشگاه اینترنتی صنایع دستی صبنگو
مطالب
12/11 1397
از ابتدای سال، شرکت‌های امنیتی عملیات باج‌افزاری گسترده‌ای را مشاهده کرده‌اند که در حال پخش باج‌افزار Shade  است.
به گزارش دیپروتد، به نقل از وب‌سایت securityaffairs، بین ماه‌های ژانویه و فوریه، بسیاری از شرکت‌های امنیتی، عملیات جدید، گسترده و غیرقانونی را شناسایی کرده‌اند که در حال پخش گونه‌ی Shade/Treshold، یکی از خطرناک‌ترین تهدیدات سناریوهای جرایم اینترنتی و شناخته‌شده از آلودگی بزرگ در روسیه در سال ۲۰۱۵، است که فعالیت آن توسط چندین CSIRT و CERT در سراسر جهان تحت‌نظر است. همان طور که در گزارش اخیر Eset آمده، میزان آلودگی Shade در اکتبر ۲۰۱۸ افزایش یافته‌است، سپس در نیمه دوم دسامبر ۲۰۱۸، روندی ثابت داشته، هنگام کریسمس با کاهش روبرو بوده و پس از آن در اواسط ماه ژانویه ۲۰۱۹ دوبرابر شده است.
در آخرین امواج حمله، مهاجمان سعی‌ داشتند خود را به جای شرکت‌های نفت و گاز روسیه، به خصوص "PAO NGK Slavneft" جا بزنند، تا به بخش‌هایی از این صنعت ضربه بزنند.
روش توزیع آلودگی در نمونه مورد بررسی، ارسال ایمیل، یک روش معمول و موثر، بوده‌ است. ایمیل فیشینگ حاوی یک فایل zip با نام “slavneft.zakaz.zip” است. این فایل، شامل یک فایل جاوااسکریپت روسی است. این فایل به عنوان دانلودکننده در زنجیره آلودگی عمل می‌کند، با استفاده از یک سری آدرس‌های سخت‌افزاری سرور، برای جلوگیری از شناسایی توسط ضدویروس‌ها به شدت به مبهم‌سازی و رمزگذاری متکی است. در این کد جاوااسکریپت، اگر اولین درخواست HTTP انجام نشود، دومی نیز ارسال نمی‌شود، اما متغیر "qF" با سایرURL های مخرب مقداردهی می‌شود. احتمالا کد جاوا اسکریپت هنوز در حال توسعه و بهبود است، بنابراین مهاجم برای بازیابی نمونه از دیگر منابع، می‌تواند خطوط کد جدیدی وارد مجموعه قبلی کند.
تمام منابع بارگذاری‌شده توسط دانلودکننده جاوااسکریپت به وب‌سایت‌های آسیب‌دیده اشاره می‌کند که بیشتر آن‌ها در حال اجرای سیستم‌های مدیریت محتوای وردپرس و جوملا هستند. در عین‌حال، Treshold قادر به استفاده از یک ماژول کرم برای جستجو و یافتن همگانی صفحات ورود به سیستم چندین برنامه کاربردی شناخته شده مانند وردپرس و جوملا است.
بدافزار هنگامی که در وب‌سایت‌ها قرار می‌گیرد، یک نسخه از کد اجرایی را بارگذاری می‌کند. با استفاده از این روش، بدافزار نسخه‌های متعدد پشتیبان ایجاد می‌کند تا انعطاف‌پذیری خود در نقاط تحت کنترل را افزایش دهد.
بدافزار Shade در زمان تجزیه و تحلیل، میزان تشخیص بالایی را از خود نشان نداده است و تنها یک سوم ضدبدافزارها آن را شناسایی کردند. Shade تمامی فایل‌های کاربر را با استفاده از طرح رمزنگاری AES رمزگذاری می‌کند. سپس پسوند ".crypted۰۰۰۰۰۷" را به آن‌ها اضافه‌کرده وپیغام باج‌خواهی را در هر پوشه سیستم، به دو زبان انگلیسی و روسی ایجاد می‌کند. Shade با استفاده از کتابخانه‌های TOR تعبیه‌شده به سرور C۲ خود متصل‌شده و ماژول‌های اضافی مانند CMSBrute یا استخراج‌گر ZCash را دریافت می‌کند.
اطلاعات در دسترس، منشاء تهدید Treshold را نیمه سال ۲۰۱۷ می‌داند و نشان می‌دهد که مهاجمان روش عملیات و زیرساخت‌های خود را تغییر نداده‌اند. همچنین شناسه کیف‌پول رمزارز در طول سال حفظ شده و تکنیک‌های انتشار و الگوها نیز تقریبا ثابت هستند.
نشانه‌های آلودگی (IoC)

منابع :





منبع :
لینک :
کد مطلب: 9362
تاریخ و زمان انتشار: 11 اسفند 1397, 00:18
واژگان کلیدی:
پیوند کوتاه نوشتار:
https://deeprooted.ir/9362
نوشتار های پیشین نویسنده:
  • دکتر بدرالزمان قریب گرکانی در سن ۹۱سالگی از دنیا رفت
  • کرونا مهمان ناخوانده جهان
  • گزیده اقتصادی روزنامه‌ها
  • اخبار امنیتی هفته گذشته
  • زلزله کرمانشاه را لرزاند - آخرین وضعیت
  • آمار انواع حمله های phishing در سال 2017
  • دو مسیر پویایی کسب‌وکار‌ ایران
  • 7 استارتاپ که در سال 2017 با سرمایه کلان از بین رفتند
  • آبتین وب فروشگاه اینترنتی قند رژیمی کامور
    فعالیت بلندمدت باج‌افزار Shade
    دسته بندی: اخبار || تگ های مطلب :
    نظرات: 0 1397/12/11
    سمت نو
    اخبار

    رویدادها
    کسب و کار های نوپا

    TED

    معرفی کتاب

    سبک زندگی

    معرفی سایت
    داغ ترین ها