IrIsT
February 15th, 2017, 18:20
بستهی نفوذی RIG با وجود کاهش میزان عملکرد موارد مشابه خود همچنان فعال مانده است، اخیراً این بستهی نفوذ دست به انتشار گونهی نسبتاً جدیدی از باجافزار به نام CryptoShield زده است.
عامل اصلی این ماجرا گروهی است که به استفاده از EITest برای توزیع بدافزار شهرت دارد؛ این گروه با استفاده از کمپینهای تبلیغافزاری و وبگاههایی که مورد نفوذ مهاجمان سایبری است اقدام به آلوده ساختن سامانهی قربانیها مینماید، از آغاز سال ۲۰۱۷ میلادی تاکنون CryptoShield مهمترین محتوای مخرب حاصل از این بستهی نفوذی بوده است.
براد دانکن از مؤسسهی امنیت سایبری SANS گفت که متوجه شده که اخیراً میزان فعالیت EITest رو به افزایش گذاشته است.
«من متوجه سطح قابل توجهی از ترافیک ناشی از EITest شدهام. EITest از ۲۰۱۴ تاکنون به عنوان یک مؤلفهی مخرب شناخته شده است. EITest به توزیع سایر گونههای بدافزاری شهرت دارد، اما من توانستهام تعداد بیشماری باجافزار CryptoShield را رصد کنم که حدوداً از یک هفتهی قبل تاکنون از این بستهی نفوذی سر بیرون آوردهاند.»
CryptoShield از نوادگان CryptoMix است که توسط محققی به نام کافئین و هنگام انتشار در کمپینهای EITest کشف شده است. EITest جاوااسکریپت را در وبگاهها یا آگهیهای تبلیغاتی تزریق میکند، این کد تزریقشده منجر به برقراری تماس با نفوذگر و انتشار محتوای مخرب باجافزار میشود.
تحلیلهای انجامشده توسط BleepingComputer نشان میدهند که هرگاه CryptoShield رایانهای را آلوده کند، یک شناسهی منحصربهفرد و یک کلید رمزنگاری مخصوص آن دستگاه را ایجاد میکند، سپس پروندههای ذخیرهشده در آن درایو محلی را رمزگذاری مینماید. همهی پروندههای رمزشده با یک پسوند CRYPTOSHIELD. برچسبگذاری میشوند.
هروقت مرورگر قربانی با یک وبگاه آلوده یا وبگاه میزبان یک آگهی تبلیغاتی آلوده مواجه میشود، دستگاه میزبان آلوده میشود. دو پیام بالاپر ساخته میشود، یکی از آنها یک خطای مربوط به برنامهی کاربردی است و دیگری یک پیام User Account Control میباشد. هرگاه روی یکی از این پیامها کلیک شود، یک پروندهی متنی همراه با دستورالعملهای رمزگشایی و پرداخت باج روی دسکتاپ به نمایش درمیآید.
دانکن توانست دو آدرس IP و دامنهی مربوط به CryptoShield شناسایی کند. (۱۹۴[.]۸۷[.]۹۳[.]۵۳ برای need[.]southpadreforsale[.]com و ۱۹۴[.]۸۷[.]۹۳[.]۵۳ برای star[.]southpadrefishingguide[.]com و نیز ۴۵[.]۶۳[.]۱۱۵[.]۲۱۴ برای اتصالات پس از آلودگی).
دانکن میگوید این آدرسهای IP و دامنههای مربوط به ترافیک RIG بهصورت روزانه تغییر میکنند، گاهی اوقات هم سریعتر عوض میشوند.
به نظر میرسد که این آلودگی از طریق وب منتشر شده و با بستهی نفوذی RIG توزیع شده است نه به واسطهی کمپینهای مبتنی بر رایانامه. با این حال بستهی نفوذی RIG همچنان خود را به عنوان یکی از فعالترین بستههای نفوذی معرفی میکند.
در شرایطی که از تابستان گذشته دیگر اثری از بستههای نفوذی غولآسایی همچون Angler دیده نشده، تکیه بر بستههای نفوذی برای توزیع بدافزار به میزان قابل توجهی رو به کاهش گذاشته است.
دانکن گفت: «بستهی نفوذی Rig شایعترین بستهای است که من تا به حال دیدهام. البته Rig تنها بستهی نفوذی موجود نیست. سایر بستهها نظیر Magnitude و Sundown هنوز فعال هستند و من هر روز نشانههایی از وجود آنها را به چشم خود میبینم. اما از نظر حجم رؤیتشده، بیشترین نشانهها متعلق به بستهی نفوذی Rig است. در واقع اکثر (۵۰٪) نشانههای مربوط به وجود بستههای نفوذی که من تا به حال موفق به مشاهدهی آنها شدهام مربوط به Rig بودهاند.»
منبع : تیم امنیتی , تیم هکری , تیم اکسپلویت , تیم تحقیقاتی iedb.ir (http://iedb.ir/acc/thread-4196.html)
عامل اصلی این ماجرا گروهی است که به استفاده از EITest برای توزیع بدافزار شهرت دارد؛ این گروه با استفاده از کمپینهای تبلیغافزاری و وبگاههایی که مورد نفوذ مهاجمان سایبری است اقدام به آلوده ساختن سامانهی قربانیها مینماید، از آغاز سال ۲۰۱۷ میلادی تاکنون CryptoShield مهمترین محتوای مخرب حاصل از این بستهی نفوذی بوده است.
براد دانکن از مؤسسهی امنیت سایبری SANS گفت که متوجه شده که اخیراً میزان فعالیت EITest رو به افزایش گذاشته است.
«من متوجه سطح قابل توجهی از ترافیک ناشی از EITest شدهام. EITest از ۲۰۱۴ تاکنون به عنوان یک مؤلفهی مخرب شناخته شده است. EITest به توزیع سایر گونههای بدافزاری شهرت دارد، اما من توانستهام تعداد بیشماری باجافزار CryptoShield را رصد کنم که حدوداً از یک هفتهی قبل تاکنون از این بستهی نفوذی سر بیرون آوردهاند.»
CryptoShield از نوادگان CryptoMix است که توسط محققی به نام کافئین و هنگام انتشار در کمپینهای EITest کشف شده است. EITest جاوااسکریپت را در وبگاهها یا آگهیهای تبلیغاتی تزریق میکند، این کد تزریقشده منجر به برقراری تماس با نفوذگر و انتشار محتوای مخرب باجافزار میشود.
تحلیلهای انجامشده توسط BleepingComputer نشان میدهند که هرگاه CryptoShield رایانهای را آلوده کند، یک شناسهی منحصربهفرد و یک کلید رمزنگاری مخصوص آن دستگاه را ایجاد میکند، سپس پروندههای ذخیرهشده در آن درایو محلی را رمزگذاری مینماید. همهی پروندههای رمزشده با یک پسوند CRYPTOSHIELD. برچسبگذاری میشوند.
هروقت مرورگر قربانی با یک وبگاه آلوده یا وبگاه میزبان یک آگهی تبلیغاتی آلوده مواجه میشود، دستگاه میزبان آلوده میشود. دو پیام بالاپر ساخته میشود، یکی از آنها یک خطای مربوط به برنامهی کاربردی است و دیگری یک پیام User Account Control میباشد. هرگاه روی یکی از این پیامها کلیک شود، یک پروندهی متنی همراه با دستورالعملهای رمزگشایی و پرداخت باج روی دسکتاپ به نمایش درمیآید.
دانکن توانست دو آدرس IP و دامنهی مربوط به CryptoShield شناسایی کند. (۱۹۴[.]۸۷[.]۹۳[.]۵۳ برای need[.]southpadreforsale[.]com و ۱۹۴[.]۸۷[.]۹۳[.]۵۳ برای star[.]southpadrefishingguide[.]com و نیز ۴۵[.]۶۳[.]۱۱۵[.]۲۱۴ برای اتصالات پس از آلودگی).
دانکن میگوید این آدرسهای IP و دامنههای مربوط به ترافیک RIG بهصورت روزانه تغییر میکنند، گاهی اوقات هم سریعتر عوض میشوند.
به نظر میرسد که این آلودگی از طریق وب منتشر شده و با بستهی نفوذی RIG توزیع شده است نه به واسطهی کمپینهای مبتنی بر رایانامه. با این حال بستهی نفوذی RIG همچنان خود را به عنوان یکی از فعالترین بستههای نفوذی معرفی میکند.
در شرایطی که از تابستان گذشته دیگر اثری از بستههای نفوذی غولآسایی همچون Angler دیده نشده، تکیه بر بستههای نفوذی برای توزیع بدافزار به میزان قابل توجهی رو به کاهش گذاشته است.
دانکن گفت: «بستهی نفوذی Rig شایعترین بستهای است که من تا به حال دیدهام. البته Rig تنها بستهی نفوذی موجود نیست. سایر بستهها نظیر Magnitude و Sundown هنوز فعال هستند و من هر روز نشانههایی از وجود آنها را به چشم خود میبینم. اما از نظر حجم رؤیتشده، بیشترین نشانهها متعلق به بستهی نفوذی Rig است. در واقع اکثر (۵۰٪) نشانههای مربوط به وجود بستههای نفوذی که من تا به حال موفق به مشاهدهی آنها شدهام مربوط به Rig بودهاند.»
منبع : تیم امنیتی , تیم هکری , تیم اکسپلویت , تیم تحقیقاتی iedb.ir (http://iedb.ir/acc/thread-4196.html)