یک کارشناس امنیتی از فعالیت بدافزار کاوشگر ارز دیجیتالی ZombieBoy خبر داد که احتمالا در چین توسعه داده شدهاست.
منبع : مرکز مدیریت راهبردی افتا
یک کارشناس امنیتی از فعالیت بدافزار کاوشگر ارز دیجیتالی ZombieBoy خبر داد که احتمالا در چین توسعه داده شدهاست.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، یک کارشناس امنیتی مستقل با نام James Quinn خانواده جدیدی از کاوشگرهای ارز دیجیتالی را کشف کردهاست. این کاوشگر که ZombieBoy نامگذاری شدهاست، طبق تحلیلهای این کارشناس، این بدافزار دارای سرعت کاوش KH/s ) ۴۳ Hash ۴۳۰۰۰) است که قادر به استخراج ۱۰۰۰ دلار در ماه است. این کاوشگر از زبان چینی استفاده میکند و احتمالا در کشور چین توسعه داده شدهاست.
Quinn در بلاگ خود توضیح دادهاست که این کاوشگر مشابه massminer است که در اوایل ماه می معرفی شد. بهدلیل استفاده این بدافزار از ZombieBoyTools، آن را ZombieBoy نامگذاری کردهاند. باید اشاره کرد که ZombieBoyTools دارای ارتباطاتی با IronTigerAPT است و یک ویرایش از تروجان Gh۰st است.
بدافزار به کمک این ابزار اولین فایل dll خود را در سیستم قربانی قرار میدهد. علاوهبر این، Quinn ادعا میکند که این کرم از اکسپلویتهای مختلف برای گسترش در سیستم استفاده میکند. تفاوتی که بین massminer و ZombieBoy وجود دارد در استفاده از ابزار اسکن میزبان است که ZombieBoy به جای MassScan از WinEggDrop استفاده میکند. نکته قابل توجه و البته نگرانکننده این بدافزار بهروزرسانی آن بهصورت مداوم است. علاوهبر این، بدافزار میتواند از CVEهای مختلفی برای دور زدن برنامههای امنیتی بهره ببرد. این CVEها شامل یک آسیبپذیری RDP یعنی CVE-۲۰۱۷-۹۰۷۳ و اکسپلویتهای CVE-۲۰۱۷-۰۱۴۳ و CVE-۲۰۱۷-۰۱۴۶ هستند.
بدافزار از اکسپلویتهای DoublePulsar و EternalBlue برای ایجاد در پشتی استفاده میکند. از آنجایی که بدافزار میتواند چندین در پشتی ایجاد کند، بنابراین راه ورود سایر برنامههای مخرب مانند keyloggerها، باجافزارها و بدافزارهای دیگر باز میشود. این ویژگی شانس بدافزار برای نفوذ موفق به سیستم را افزایش میدهد و شناسایی و حذف آلودگیها توسط کارشناسان امنیتی را دشوار میسازد. نکته دیگر عدم اجرای بدافزار روی ماشینهای مجازی است که شناسایی آن را دشوارتر نیز میکند.
پژوهشگران IBM توصیه کردهاند برای توقف یا کاهش خطرات این بدافزار، ترافیک سرورهای کنترل آن مسدود شود، زیرا ZombieBoy از اکسپلویتهایی مانند EternalBlue و DoublePulsar استفاده میکند که متکی بر ترافیک C&C (SMB_EternalBlue_Implant_CnC و SMB_DoublePulsar_Implant_CnC) است. روشهای دیگر استفاده از سیستمهای امنیتی یکپارچه، احراز هویت دو عاملی و توسعه فایروالهای قویتر است.