باتنت Black که با استفاده از بدافزار Ramnit، یکصدهزار دستگاه را در ماه جولای آلوده کرد، به گفته پژوهشگران، حملات جدیدی با کمک بدافزار Ngioweb انجام خواهدداد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پژوهشگران CheckPoint اعلام کردند که عوامل بات نت Black در حال کار بر روی ایجاد شبکهای از سرورهای پراکسی مخرب هستند. در عملیات باتنت Black از بدافزار Ramnit استفاده شدهاست که احتمالا از طریق حملات اسپمی منتشر میشود. این بدافزار در این عملیات در مرحله اول استفادهمیشود. Ramnit قابلیتهای استخراج اطلاعات زیادی دارد و بهعنوان تروجان بانکی و در پشتی نیز در دستگاههای آلوده فعالیت میکند. در این باتنت از بدافزار Ramnit برای فراهمسازی نفوذ بدافزار مرحله دوم Ngioweb استفاده شدهاست.
Ngioweb بهعنوان یک سرور پراکسی چند قابلیتی عمل میکند که از پروتکل خود با دولایه رمزگذاری استفاده میکند. این بدافزار پراکسی از حالات back-connect، relay، پروتکلهای IPv۴، IPv۶ و انتقالهای TCP و UDP پشتیبانی میکند. نمونههای اولیه آن در نیمه دوم سال ۲۰۱۷ مشاهده شدهاست. نکته نگرانکننده این است که مهاجمان در حال ساخت یک باتنت پراکسی بزرگ و چندمنظوره هستند که برای عملیاتهای مخربی مانند انتشار کاوشگر ارز دیجیتالی، باجافزارها، بدافزارها، حملات DDoS، استخراج اطلاعات و ... میتواند مورد استفاده قرار گیرد.
بدافزار Ngioweb میتواند بهعنوان یک پراکسی back-connect معمولی و یک پراکسی relay فعالیت کند. در حالتی که بدافزار بهعنوان یک پراکسی relay فعالیت کند با ایجاد زنجیرههایی از پراکسیها، شناسایی فعالیتهای خود را دشوار میکند. این امر پوشش کاملی برای ایجاد سرویسهای مخرب مخفی است. برای ساخت یک سرویس مخفی با استفاده از Ngioweb، عوامل بدافزار ابتدا آدرس دستگاه قربانی را در یک کانال عمومی مثل DNS منتشر میکند؛ سپس دومین دستگاه قربانی آدرس اول را resolve میکند و به آن وصل میشود. سپس کامپیوتر آلوده اول اتصال جدیدی به سرور ایجاد میکند و بهعنوان رله بین سرور و دومین میزبان آلوده عمل میکند و این کار ممکن است بهصورت بینهایت ادامه یابد.
تروجان Ramnit که در باتنت Black استفاده شدهاست، ابتدا در سال ۲۰۱۰ مشاهده شد و در سال ۲۰۱۱ با استفاده از کدمنبع تروجان بانکی Zeus به یک تروجان بانکی تبدیل شد. این تروجان در ابتدا برای سرقت اطلاعات احراز هویت بانکی استفاده میشد، سپس بر روی سرقت رمزعبور حسابهای شبکههای اجتماعی و FTPها تمرکز کردهاست. نویسندگان این بدافزار علاوه بر اعمال تکنیکهای جلوگیری از شناسایی و محافظت از بدافزار، قابلیت مدیریت باتها را نیز در آن اعمال کردهاند.
در ادامه Ramnit بهدلیل بهروزرسانیهای متناوب بین مجرمان سایبری محبوب شد. تا حدی که این بدافزار تا سال ۲۰۱۵ بیش از ۳,۲ میلیون رایانه ویندوزی را آلوده کرد. در سال ۲۰۱۵ سرورهای پشتیبان Ramnit توسط مراجع قانونی متوقف شدند، اما این تروجان در سال ۲۰۱۶ دوباره نمایان شد. Ramnit از همان پیلود، معماری و الگوریتمهای رمزگذاری استفاده کرد، اما به آن قابلیتهای جاسوسی مانند نظارت بر مرورگر و URLهای مشاهدهشده نیز اضافه شد.