پس از گزارش ماه گذشته مایکروسافت درباره جزییات بدافزار sLoad، اپراتورهای این بدافزار، اوایل ماه میلادی جاری نسخه ۲,۰ آن را منتشر کردند.
منبع : مرکز مدیریت راهبردی افتا
پس از گزارش ماه گذشته مایکروسافت درباره جزییات بدافزار sLoad، اپراتورهای این بدافزار، اوایل ماه میلادی جاری نسخه ۲,۰ آن را منتشر کردند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، نسخه جدید sLoad که با نام Starslord نیز شناخته میشود، تغییرات زیادی نکردهاست اما این موضوع که اپراتورهای sLoad نسخه جدیدی را یک ماه پس از افشای جزییات آن منتشر کردند نشان دهنده سرعت توسعهدهندگان بدافزار برای بهروزرسانی آنهاست.
بدافزار sLoad به عنوان یک دانلودکننده بدافزار یا منتقلکننده بدافزار شناختهمیشود. هدف اصلی sLoad آلوده کردن رایانههای ویندوزی، جمعآوری اطلاعات سیستم قربانی، ارسال آنها به یک سرور فرمان و کنترل (C&C) و سپس انتظار برای دریافت دستورالعمل به منظور دانلود و نصب یک بدافزار دیگر در سیستم قربانی است.
این بدافزار به عنوان یک سیستم تحویل برای بدافزارهای مخربتر و قویتر و همچنین درآمدزایی برای اپراتورهای خود از طریق ایجاد فضا برای سایر عملیاتهای جرایم سایبری عمل میکند. به گفته مایکروسافت، sLoad از معدود بدافزارهای دانلودکنندهای است که دارای سطح غیرضروری پیچیدگی است و از تکنیکهای غیراستاندارد استفادهمیکنند.
براساس گزارش مایکروسافت، sLoad کل سیستم ارتباطی سرور خود را روی سرویس BITS منتقل کردهاست. Windows BITS سیستم پیشفرضی است که مایکروسافت از طریق آن بهروزرسانیهای ویندوز را برای کاربران در سراسر جهان ارسال میکند. سرویس BITS زمانی را که کاربر از شبکه خود استفاده نمیکند، شناسایی و بهروزرسانیها را در این زمان دریافت میکند.
اما سرویس BITS منحصر به فرایند بهروزرسانی ویندوز نیست و سایر برنامهها میتواند از این سرویس برای فعالیتهای زمانبندی شده و عملیاتهای شبکه در زمانی بیکاری شبکه استفاده کنند. بدافزار sLoad یکی از استفادهکنندگان این سرویس است، به طوری که کل شبکه آن برای کار کردن با سرویس BITS پیکربندی شدهاست. تبادل پیام بین سیستم قربانی و انتقال بدافزارهای دیگر از طریق این سرویس انجاممیشوند.
علاوهبر استفاده از سرویس مخفی BITS، بدافزار sLoad مبتنی بر PowerShell است که از آن برای اجرای بدون فایل استفاده شدهاست. این کار باعث میشود تا فعالیتهای بدافزار بهطور کلی درون RAM انجام شوند و رد بدافزار در حافظه قربانی باقی نماند.
نسخه قبلی بدافزار sLoad در ماه گذشته توسط مایکروسافت شناسایی شد که باعث شد تا اپراتورهای آن اقدام و توسعه نسخه بعدی کنند. نسخه دوم این بدافزار تغییر چندانی نسبت نسخه قبلی خود نکردهاست. در این نسخه از اسکریپتهای WSF به جای VB در فرایند آلودگی استفاده شدهاست. در این نسخه نیز از BITS برای کل فعالیتهای شبکه استفاده میشود. sLoad ۲,۰ نیز همچنان به عنوان یک دانلودکننده بدافزار برای اپراتورهای خود عمل میکند.