کد QR مطلبدریافت صفحه با کد QR

محققان دریافتند

بدافزاری که از هفت ابزار متعلق به NSA بهره می‌گیرد

وب‌گاه اخبار امنیتی فن‌آوری اطلاعات و ارتباطات , 4 خرداد 1396 ساعت 9:17

EternalRocks بدافزاری است که از هفت ابزار نفوذ متعلق به آژانس امنیت ملی آمریکا استفاده می‌کند.


EternalRocks بدافزاری است که از هفت ابزار نفوذ متعلق به آژانس امنیت ملی آمریکا استفاده می‌کند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، شاید کاربران در فضای مجازی تصور کنند اتفاقی بدتر از باج‌افزار واناکرای در این حوزه نمی‌تواند رخ دهد، ولی باید بگوییم این تصور اشتباه است. محققان به‌تازگی یک کرم را شناسایی کرده‌اند که با بهره‌برداری از آسیب‌پذیری SMB ویندوز منتشر شده و از هفت ابزار نفوذ متعلق به آژانس امنیتی آمریکا استفاده‌می‌کند. این در حالی است که باج‌افزار واناکرای تنها از دو ابزار استفاده می‌کند.

محققان توانستند با بررسی یک سیستم دارای آسیب‌پذیری SMB بود این کرم را شناسایی و کشف کنند. این کرم، EternalRocks نام دارد و از ۶ ابزار نفوذ مربوط به آسیب‌پذیری SMB برای آلوده کردن دستگاه قربانی استفاده می‌کند. این ۶ ابزار عبارت‌اند از:
• EternalBlue
• EternalChampion
• EternalRomance
• EternalSynergy
• SMBTouch
• ArchiTouch
از ۲ ابزار دیگر نیز برای بازسازی عملیات SMB استفاده شده‌است. این بدافزار همچنین از ابزار معروف DoublePulsar که متعلق به آژانس امنیت ملی آمریکاست برای توزیع آلودگی در سطح شبکه استفاده‌می‌کند.

اگر بخواهیم مقایسه‌ای بین این کرم جدید و واناکرای انجام دهیم، شاهد هستیم که باج‌افزار با استفاده از دو ابزار EternalBlue و DoublePulsar توانسته است نزدیک به ۳۰۰ هزار دستگاه را آلوده کند. محققان امنیتی در مقایسه‌ این دو بدافزار اعلام کردند EternalRocks خطرات کمتری دارد، چرا که در حال حاضر هیچ محتوای مخربی را بر روی سامانه‌های قربانیان توزیع نمی‌کند. با این‌حال پیچیدگی‌های کرم جدید دست کمی از باج‌افزار گریه ندارد. 

این بدافزار زمانی‌که کرم سامانه‌ قربانی را آلوده کرد، یک فرآیند نصب دو مرحله‌ای را آغاز می‌کند که مرحله‌ دوم با کمی تأخیر شروع می‌شود. در مرحله اول، کرم EternalRocks یک کارخواه Tor را بارگیری کرده و یک بی‌کُن به سمت کارگزار دستور و کنترل خود که در وبِ تاریک قرار دارد، ارسال می‌کند. پس از گذشت ۲۴ ساعت، کارگزار دستور و کنترل پاسخی ارسال می‌کند. این تأخیر ۲۴ ساعته در ارسال پاسخ برای دور زدن روش‌های تشخیص بدافزار مورد استفاده قرار گرفته است.

نکته‌ دیگر که یکی از وجه تمایزهای این کرم با واناکرای است، نداشتن سوییچ مرگ است. به‌عبارت دیگر در کد این بدافزار، تابعی برای متوقف کردن آن در مواقع اضطراری وجود ندارد. در مرحله‌ی دوم، کرم مورد نظر، یک سری مؤلفه‌های بدافزاری در قالب یک پرونده‌ آرشیوی با نام shadowbrokers.zip را بارگیری می‌کند. بدافزار یک پویش بر روی آدرس‌های IP تصادفی را انجام داده و سعی می‌کند به این آدرس‌های تصادفی متصل شود.

درحال حاضر کرم EternalRocks خیلی خطرناک نیست، ولی در آینده می‌تواند به مؤلفه‌های بدافزاری دیگری مانند باج‌افزار و تروجان مجهز شده و به یک تهدید بزرگ تبدیل شود. در‌حال‌حاضر یکی از بهترین توصیه‌ها برای جلوگیری از آلودگی به کرم EternalRocks این است که از نسل جدید دیواره‌های آتش استفاده کرده و ارتباطات مربوط به شبکه‌ Tor را مسدود کنید.


کد مطلب: 12707

آدرس مطلب :
https://www.aftana.ir/news/12707/بدافزاری-هفت-ابزار-متعلق-nsa-بهره-می-گیرد

افتانا
  https://www.aftana.ir