secure_host
December 9th, 2014, 00:23
طی بررسی های که تیم امنیتی سکیورهاست برای برخی از شرکت های هاستینگ داخلی و خارجی انجام داده است Malware با نام stealrat که در سال گذشته در وب سایت هایی با سیستم های مدیریت محتوی Joomla و Wordpress وجود داشته است دوباره فعالیت خود را شروع کرده و ظهور دوباره این بدافزار در هاستینگ های داخلی بیشتر از هاستینگ های خارچی مشاهده شده که نسخه جدیدی از بدافزار Stealrat بوده است
جزییات بات stealrat
24105
Stealrat نوع جدیدی از شبکه بات انتشار spam می باشد که از یک روش جدید برای انتشار spam استفاده می نماید و عملکرد این بات به شرح زیر می باشد:
جمع آوری اطلاعات spam از قبیل نام فرستنده و نام گیرنده و فرمت ایمیل اسپم spam server و ارسال آنها به سایت قربانی توسط سیستم آلوده به بات stealrat
ارسال ایمیل های spam به کاربران توسط سایت قربانی
ترغیت کاربران به کلیک بر روی لینک های ایمیل spam جهت هدایت به وب سایت قربانی دوم
انتشار بدافزار توسط ایمیل spam انجام نمی گیرد بنابراین ارتباط میان ایمیل spam و بدافزار قابل مشاهده نیست.
این ایمیل ها شامل لینک هایی است که کاربران را به وب سایت قربانی دوم هدایت می کند. در وب سایت دوم نیز لینک هایی وجود دارد که شامل صفحه وب آنلاین داروخانه و یا صفحاتی است که کاربر را به کلیک بر روی آنها ترغیت می نماید.
نکته جالب توجه این است که stealRat از طریق تغییر نام دامنه به google.com و پنهان سازی ترافیک شبکه و همچنین عدم ارتباط مستقیم با C&C سرور تلاش می نماید که رد پایی از خود بر جای نگذارد و تشخیص و شناسایی آن به آسانی انجام نگیرد.
راه کارهای شناسایی:
نقطه مشترک میان این وب سایت های آلوده اجرای نرم افزارهای آسیب پذیر CMS مانند وردپرس، جوملا و دروپال روی آنها می باشد. در ذیل مواردی را مشاهده می کنید که مدیران وب سایت می توانند آلودگی وب سایت را بررسی کرده و تشخیص دهند که آیا وب سایت قسمتی از بات نت stealrat می باشد یا نه:
اولین قدم چک کردن اسکریپ های اسپمر است که عموما با نام sm13e.php یا sm14e.php یافت می شود. اما توجه کنید که این اسکریپت ها ممکن است بر اساس نام فایل تغییر کند، لذا بهتر است هر فایل PHP نا آشنایی چک شود.
نام فایلهایی که تاکنون شناسایی شدهاند به شرح ذیل می باشد.
۱-copy.php
۲-up.php
۳-Del.php
۴-path.php
۵- bak.php
۶-utf.php
۷- bannerEB3Y.php
۸-returnMoCo.php
۹-sitemapuuA.php
۱۰ -themesqx10.php
مطالعه بیشتر به همراه عکس های مربوطه در لینک ه
مرکز آموزش - ظهور دوباره بدافزار StealRAT در wordpressو joomla | SecureHost (http://buy.securehost.ir/knowledgebase.php?action=displayarticle&id=937)
http://goo.gl/3IdxSU
مرکز آموزش - ظهور دوباره بدافزار StealRAT در wordpressو joomla | SecureHost (http://buy.securehost.ir/knowledgebase.php?action=displayarticle&id=937)
https://www.facebook.com/SecureHost.ir/
جزییات بات stealrat
24105
Stealrat نوع جدیدی از شبکه بات انتشار spam می باشد که از یک روش جدید برای انتشار spam استفاده می نماید و عملکرد این بات به شرح زیر می باشد:
جمع آوری اطلاعات spam از قبیل نام فرستنده و نام گیرنده و فرمت ایمیل اسپم spam server و ارسال آنها به سایت قربانی توسط سیستم آلوده به بات stealrat
ارسال ایمیل های spam به کاربران توسط سایت قربانی
ترغیت کاربران به کلیک بر روی لینک های ایمیل spam جهت هدایت به وب سایت قربانی دوم
انتشار بدافزار توسط ایمیل spam انجام نمی گیرد بنابراین ارتباط میان ایمیل spam و بدافزار قابل مشاهده نیست.
این ایمیل ها شامل لینک هایی است که کاربران را به وب سایت قربانی دوم هدایت می کند. در وب سایت دوم نیز لینک هایی وجود دارد که شامل صفحه وب آنلاین داروخانه و یا صفحاتی است که کاربر را به کلیک بر روی آنها ترغیت می نماید.
نکته جالب توجه این است که stealRat از طریق تغییر نام دامنه به google.com و پنهان سازی ترافیک شبکه و همچنین عدم ارتباط مستقیم با C&C سرور تلاش می نماید که رد پایی از خود بر جای نگذارد و تشخیص و شناسایی آن به آسانی انجام نگیرد.
راه کارهای شناسایی:
نقطه مشترک میان این وب سایت های آلوده اجرای نرم افزارهای آسیب پذیر CMS مانند وردپرس، جوملا و دروپال روی آنها می باشد. در ذیل مواردی را مشاهده می کنید که مدیران وب سایت می توانند آلودگی وب سایت را بررسی کرده و تشخیص دهند که آیا وب سایت قسمتی از بات نت stealrat می باشد یا نه:
اولین قدم چک کردن اسکریپ های اسپمر است که عموما با نام sm13e.php یا sm14e.php یافت می شود. اما توجه کنید که این اسکریپت ها ممکن است بر اساس نام فایل تغییر کند، لذا بهتر است هر فایل PHP نا آشنایی چک شود.
نام فایلهایی که تاکنون شناسایی شدهاند به شرح ذیل می باشد.
۱-copy.php
۲-up.php
۳-Del.php
۴-path.php
۵- bak.php
۶-utf.php
۷- bannerEB3Y.php
۸-returnMoCo.php
۹-sitemapuuA.php
۱۰ -themesqx10.php
مطالعه بیشتر به همراه عکس های مربوطه در لینک ه
مرکز آموزش - ظهور دوباره بدافزار StealRAT در wordpressو joomla | SecureHost (http://buy.securehost.ir/knowledgebase.php?action=displayarticle&id=937)
http://goo.gl/3IdxSU
مرکز آموزش - ظهور دوباره بدافزار StealRAT در wordpressو joomla | SecureHost (http://buy.securehost.ir/knowledgebase.php?action=displayarticle&id=937)
https://www.facebook.com/SecureHost.ir/