گسترش بات‌نت Black با بدافزارهای Ramnit و Ngioweb
کد مطلب: 14358
تاریخ انتشار : شنبه ۲۰ مرداد ۱۳۹۷ ساعت ۱۳:۰۰
 
بات‌نت Black که با استفاده از بدافزار Ramnit، یکصد‌هزار دستگاه را در ماه جولای آلوده کرد، به گفته پژوهشگران، حملات جدیدی با کمک بدافزار Ngioweb انجام خواهدداد.
گسترش بات‌نت Black با بدافزارهای Ramnit و Ngioweb
 
 
Share/Save/Bookmark
بات‌نت Black که با استفاده از بدافزار Ramnit، یکصد‌هزار دستگاه را در ماه جولای آلوده کرد، به گفته پژوهشگران، حملات جدیدی  با کمک بدافزار Ngioweb انجام خواهدداد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پژوهشگران CheckPoint اعلام کردند که عوامل بات نت Black در حال کار بر روی ایجاد شبکه‌ای از سرورهای پراکسی مخرب هستند. در عملیات بات‌نت Black از بدافزار Ramnit استفاده شده‌است که احتمالا از طریق حملات اسپمی منتشر می‌شود. این بدافزار در این عملیات در مرحله اول استفاده‌می‌شود. Ramnit قابلیت‌های استخراج اطلاعات زیادی دارد و به‌عنوان تروجان بانکی و در پشتی نیز در دستگاه‌های آلوده فعالیت می‌کند. در این بات‌نت از بدافزار Ramnit برای فراهم‌سازی نفوذ بدافزار مرحله دوم Ngioweb استفاده شده‌است.

Ngioweb به‌عنوان یک سرور پراکسی چند قابلیتی عمل می‌کند که از پروتکل خود با دولایه رمزگذاری استفاده می‌کند. این بدافزار پراکسی از حالات back-connect، relay، پروتکل‌های IPv۴، IPv۶ و انتقال‌های TCP و UDP پشتیبانی می‌کند. نمونه‌های اولیه آن در نیمه دوم سال ۲۰۱۷ مشاهده شده‌است. نکته نگران‌کننده این است که مهاجمان در حال ساخت یک بات‌نت پراکسی بزرگ و چندمنظوره هستند که برای عملیات‌های مخربی مانند انتشار کاوشگر ارز دیجیتالی، باج‌افزارها، بدافزارها، حملات DDoS، استخراج اطلاعات و ... می‌تواند مورد استفاده قرار گیرد.

بدافزار Ngioweb می‌تواند به‌عنوان یک پراکسی back-connect معمولی و یک پراکسی relay فعالیت کند. در حالتی که بدافزار به‌عنوان یک پراکسی relay فعالیت کند با ایجاد زنجیره‌هایی از پراکسی‌ها، شناسایی فعالیت‌های خود را دشوار می‌کند. این امر پوشش کاملی برای ایجاد سرویس‌های مخرب مخفی است. برای ساخت یک سرویس مخفی با استفاده از Ngioweb، عوامل بدافزار ابتدا آدرس دستگاه قربانی را در یک کانال عمومی مثل DNS منتشر می‌کند؛ سپس دومین دستگاه قربانی آدرس اول را resolve می‌کند و به آن وصل می‌شود. سپس کامپیوتر آلوده اول اتصال جدیدی به سرور ایجاد می‌کند و به‌عنوان رله بین سرور و دومین میزبان آلوده عمل می‌کند و این کار ممکن است به‌صورت بی‌نهایت ادامه یابد.

تروجان Ramnit که در بات‌نت Black استفاده شده‌است، ابتدا در سال ۲۰۱۰ مشاهده شد و در سال ۲۰۱۱ با استفاده از کدمنبع تروجان بانکی Zeus به یک تروجان بانکی تبدیل شد. این تروجان در ابتدا برای سرقت اطلاعات احراز هویت بانکی استفاده می‌شد، سپس بر روی سرقت رمزعبور حساب‌های شبکه‌های اجتماعی و FTPها تمرکز کرده‌است. نویسندگان این بدافزار علاوه بر اعمال تکنیک‌های جلوگیری از شناسایی و محافظت از بدافزار، قابلیت مدیریت بات‌ها را نیز در آن اعمال کرده‌اند.

در ادامه Ramnit به‌دلیل به‌روزرسانی‌های متناوب بین مجرمان سایبری محبوب شد. تا حدی که این بدافزار تا سال ۲۰۱۵ بیش از ۳,۲ میلیون رایانه ویندوزی را آلوده کرد. در سال ۲۰۱۵ سرورهای پشتیبان Ramnit توسط مراجع قانونی متوقف شدند، اما این تروجان در سال ۲۰۱۶ دوباره نمایان شد. Ramnit از همان پیلود، معماری و الگوریتم‌های رمزگذاری استفاده کرد، اما به آن قابلیت‌های جاسوسی مانند نظارت بر مرورگر و URLهای مشاهده‌شده نیز اضافه شد.
مرجع : مرکز مدیریت راهبردی افتا