گسترش یک back door در شبکه
کاوش رمزارز از قابلیت‌های Plurox است
کد مطلب: 15481
تاریخ انتشار : شنبه ۱ تير ۱۳۹۸ ساعت ۱۳:۰۶
 
بدافزار Plurox می‌تواند خود را در یک شبکه محلی از طریق اکسپلویت‌ها گسترش دهد، دسترسی به شبکه‌های مورد حمله را فراهم و کاوش‌گر رمزارز و دیگر بدافزارها را روی رایانه‌های قربانی نصب کند.
کاوش رمزارز از قابلیت‌های Plurox است
 
 
Share/Save/Bookmark
بدافزار Plurox می‌تواند خود را در یک شبکه محلی از طریق اکسپلویت‌ها گسترش دهد، دسترسی به شبکه‌های مورد حمله را فراهم و کاوش‌گر رمزارز و دیگر بدافزارها را روی رایانه‌های قربانی نصب کند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پژوهشگران کسپرسکی در فوریه سال جاری، یک back door جدید مشاهده کردند که دارای چند ویژگی مخرب است. این بدافزار می‌تواند خود را در یک شبکه محلی از طریق اکسپلویت‌ها گسترش دهد، دسترسی به شبکه‌های مورد حمله را فراهم و کاوش‌گر رمزارز و دیگر بدافزارها را روی رایانه‌های قربانی نصب کند.

این back door که Plurox نام دارد یک بدافزار مدولار است و قابلیت‌های آن به کمک ‌افزونه‌‌های دیگر قابل گسترش است. Plurox به زبان C نوشته شده و باMingw GCC کامپایل و با توجه به شرایط فعلی آن، این بدافزار در مرحله تست و آزمون کشف شده است.

Plurox از پروتکل TCP برای ارتباط با سرور فرمان و کنترل (C&C) استفاده می‌کند؛ افزونه‌‌ها از این طریق بارگذاری شده و به‌طور مستقیم از طریق دو پورت متفاوت به Plurox متصل می‌شوند. در هنگام نظارت بر فعالیت بدافزار، دو زیرشاخه کشف شده‌است که در یکی، Plurox، تنها کاوش‌گر رمزارز را از سرورC&C دریافت می‌کند، در حالی که در دیگری، علاوه‌بر کاوش‌گر، چندین افزونه نیز وجود دارد. بدافزار Plurox تقریبا بدون رمزگذاری است و فقط چند کلید چهار بایتی برای رمزگذاری معمول XOR استفاده‌می‌شود.

نسخه Plurox مورد بررسی در مجموع از هفت دستور پشتیبانی می‌کند:

• دانلود و اجرای فایل‌ها با استفاده از دستور WinAPI CreateProcess
• به‌روزرسانی بات
• حذف و توقف
• دانلود و اجرای افزونه
• توقف افزونه
• به‌روزرسانی افزونه
• توقف و حذف افزونه

یکی از افزونه‌ها، قابلیت کاوش رمزارز در Plurox است. این بدافزار می‌تواند با توجه به پیکربندی خاص رایانه قربانی یکی از استخراج‌کننده‌های رمزارز را بر روی آن نصب کند. بات بسته اطلاعات پیکربندی سیستم را به سرور C&C ارسال می‌کند و در پاسخ اطلاعات افزونه‌ای را که باید دانلود کند، دریافت می‌کند.

افزونه دیگر این بدافزار UPnP است. این ماژول مسئول بررسی وجود اکسپلویت‌ها در سرویس‌های در حال اجرا در سیستم است تا مهاجم بتواند در سیستم، محل نفوذ و روش ثبات وضعیت خود را پیدا کند. افزونه بعدی در این بدافزار ماژول SMB است که این ماژول مسئولیت گسترش بد‌افزار را در شبکه با استفاده از اکسپلویت EternalBlue دارد.
مرجع : مرکز مدیریت راهبردی افتا