کد QR مطلبدریافت صفحه با کد QR

گسترش یک back door در شبکه

کاوش رمزارز از قابلیت‌های Plurox است

مرکز مدیریت راهبردی افتا , 1 تير 1398 ساعت 13:06

بدافزار Plurox می‌تواند خود را در یک شبکه محلی از طریق اکسپلویت‌ها گسترش دهد، دسترسی به شبکه‌های مورد حمله را فراهم و کاوش‌گر رمزارز و دیگر بدافزارها را روی رایانه‌های قربانی نصب کند.


بدافزار Plurox می‌تواند خود را در یک شبکه محلی از طریق اکسپلویت‌ها گسترش دهد، دسترسی به شبکه‌های مورد حمله را فراهم و کاوش‌گر رمزارز و دیگر بدافزارها را روی رایانه‌های قربانی نصب کند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پژوهشگران کسپرسکی در فوریه سال جاری، یک back door جدید مشاهده کردند که دارای چند ویژگی مخرب است. این بدافزار می‌تواند خود را در یک شبکه محلی از طریق اکسپلویت‌ها گسترش دهد، دسترسی به شبکه‌های مورد حمله را فراهم و کاوش‌گر رمزارز و دیگر بدافزارها را روی رایانه‌های قربانی نصب کند.

این back door که Plurox نام دارد یک بدافزار مدولار است و قابلیت‌های آن به کمک ‌افزونه‌‌های دیگر قابل گسترش است. Plurox به زبان C نوشته شده و باMingw GCC کامپایل و با توجه به شرایط فعلی آن، این بدافزار در مرحله تست و آزمون کشف شده است.

Plurox از پروتکل TCP برای ارتباط با سرور فرمان و کنترل (C&C) استفاده می‌کند؛ افزونه‌‌ها از این طریق بارگذاری شده و به‌طور مستقیم از طریق دو پورت متفاوت به Plurox متصل می‌شوند. در هنگام نظارت بر فعالیت بدافزار، دو زیرشاخه کشف شده‌است که در یکی، Plurox، تنها کاوش‌گر رمزارز را از سرورC&C دریافت می‌کند، در حالی که در دیگری، علاوه‌بر کاوش‌گر، چندین افزونه نیز وجود دارد. بدافزار Plurox تقریبا بدون رمزگذاری است و فقط چند کلید چهار بایتی برای رمزگذاری معمول XOR استفاده‌می‌شود.

نسخه Plurox مورد بررسی در مجموع از هفت دستور پشتیبانی می‌کند:

• دانلود و اجرای فایل‌ها با استفاده از دستور WinAPI CreateProcess
• به‌روزرسانی بات
• حذف و توقف
• دانلود و اجرای افزونه
• توقف افزونه
• به‌روزرسانی افزونه
• توقف و حذف افزونه

یکی از افزونه‌ها، قابلیت کاوش رمزارز در Plurox است. این بدافزار می‌تواند با توجه به پیکربندی خاص رایانه قربانی یکی از استخراج‌کننده‌های رمزارز را بر روی آن نصب کند. بات بسته اطلاعات پیکربندی سیستم را به سرور C&C ارسال می‌کند و در پاسخ اطلاعات افزونه‌ای را که باید دانلود کند، دریافت می‌کند.

افزونه دیگر این بدافزار UPnP است. این ماژول مسئول بررسی وجود اکسپلویت‌ها در سرویس‌های در حال اجرا در سیستم است تا مهاجم بتواند در سیستم، محل نفوذ و روش ثبات وضعیت خود را پیدا کند. افزونه بعدی در این بدافزار ماژول SMB است که این ماژول مسئولیت گسترش بد‌افزار را در شبکه با استفاده از اکسپلویت EternalBlue دارد.


کد مطلب: 15481

آدرس مطلب :
https://www.aftana.ir/news/15481/کاوش-رمزارز-قابلیت-های-plurox

افتانا
  https://www.aftana.ir