بدافزار کاوشگر ارز دیجیتالی ZombieBoy شناسایی شد
کد مطلب: 14350
تاریخ انتشار : سه شنبه ۱۶ مرداد ۱۳۹۷ ساعت ۰۹:۲۸
 
یک کارشناس امنیتی از فعالیت بدافزار کاوشگر ارز دیجیتالی ZombieBoy خبر داد که احتمالا در چین توسعه‌ داده‌ شده‌است.
بدافزار کاوشگر ارز دیجیتالی ZombieBoy شناسایی شد
 
 
Share/Save/Bookmark
یک کارشناس امنیتی از فعالیت بدافزار کاوشگر ارز دیجیتالی ZombieBoy خبر داد که احتمالا در چین توسعه‌ داده‌ شده‌است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، یک کارشناس امنیتی مستقل با نام James Quinn خانواده جدیدی از کاوشگرهای ارز دیجیتالی را کشف کرده‌است. این کاوشگر که ZombieBoy نام‌گذاری شده‌است، طبق تحلیل‌های این کارشناس، این بدافزار دارای سرعت کاوش  KH/s ) ۴۳ Hash ۴۳۰۰۰) است که قادر به استخراج ۱۰۰۰ دلار در ماه است. این کاوشگر از زبان چینی استفاده می‌کند و احتمالا در کشور چین توسعه داده شده‌است.

Quinn در بلاگ خود توضیح داده‌است که این کاوشگر مشابه massminer است که در اوایل ماه می معرفی شد. به‌دلیل استفاده این بدافزار از ZombieBoyTools، آن را ZombieBoy نامگذاری کرده‌اند. باید اشاره کرد که ZombieBoyTools دارای ارتباطاتی با IronTigerAPT است و یک ویرایش از تروجان Gh۰st است.

بدافزار به کمک این ابزار اولین فایل dll خود را در سیستم قربانی قرار می‌دهد. علاوه‌بر این، Quinn ادعا می‌کند که این کرم از اکسپلویت‌های مختلف برای گسترش در سیستم استفاده می‌کند. تفاوتی که بین massminer و ZombieBoy وجود دارد در استفاده از ابزار اسکن میزبان است که ZombieBoy به جای MassScan از WinEggDrop استفاده می‌کند. نکته قابل توجه و البته نگران‌کننده این بدافزار به‌روزرسانی آن به‌صورت مداوم است. علاوه‌بر این، بدافزار می‌تواند از CVEهای مختلفی برای دور زدن برنامه‌های امنیتی بهره ببرد. این CVEها شامل یک آسیب‌پذیری RDP یعنی CVE-۲۰۱۷-۹۰۷۳ و اکسپلویت‌های CVE-۲۰۱۷-۰۱۴۳ و CVE-۲۰۱۷-۰۱۴۶ هستند.

بدافزار از اکسپلویت‌های DoublePulsar و EternalBlue برای ایجاد در پشتی استفاده می‌کند. از آنجایی که بدافزار می‌تواند چندین در پشتی ایجاد کند، بنابراین راه ورود سایر برنامه‌های مخرب مانند keyloggerها، باج‌افزارها و بدافزارهای دیگر باز می‌شود. این ویژگی شانس بدافزار برای نفوذ موفق به سیستم را افزایش می‌دهد و شناسایی و حذف آلودگی‌ها توسط کارشناسان امنیتی را دشوار می‌سازد. نکته دیگر عدم اجرای بدافزار روی ماشین‌های مجازی است که شناسایی آن را دشوارتر نیز می‌کند.

پژوهشگران IBM توصیه کرده‌اند برای توقف یا کاهش خطرات این بدافزار، ترافیک سرورهای کنترل آن مسدود شود، زیرا ZombieBoy از اکسپلویت‌هایی مانند EternalBlue و DoublePulsar استفاده می‌کند که متکی بر ترافیک C&C (SMB_EternalBlue_Implant_CnC و SMB_DoublePulsar_Implant_CnC) است. روش‌های دیگر استفاده از سیستم‌های امنیتی یکپارچه، احراز هویت دو عاملی و توسعه فایروال‌های قوی‌تر است.
مرجع : مرکز مدیریت راهبردی افتا