-
December 9th, 2014, 00:23
#1
عضو انجمن
ظهور دوباره بدافزار StealRAT در wordpress و joomla
طی بررسی های که تیم امنیتی سکیورهاست برای برخی از شرکت های هاستینگ داخلی و خارجی انجام داده است Malware با نام stealrat که در سال گذشته در وب سایت هایی با سیستم های مدیریت محتوی Joomla و Wordpress وجود داشته است دوباره فعالیت خود را شروع کرده و ظهور دوباره این بدافزار در هاستینگ های داخلی بیشتر از هاستینگ های خارچی مشاهده شده که نسخه جدیدی از بدافزار Stealrat بوده است
جزییات بات stealrat
stealrat-cms.png
Stealrat نوع جدیدی از شبکه بات انتشار spam می باشد که از یک روش جدید برای انتشار spam استفاده می نماید و عملکرد این بات به شرح زیر می باشد:
جمع آوری اطلاعات spam از قبیل نام فرستنده و نام گیرنده و فرمت ایمیل اسپم spam server و ارسال آنها به سایت قربانی توسط سیستم آلوده به بات stealrat
ارسال ایمیل های spam به کاربران توسط سایت قربانی
ترغیت کاربران به کلیک بر روی لینک های ایمیل spam جهت هدایت به وب سایت قربانی دوم
انتشار بدافزار توسط ایمیل spam انجام نمی گیرد بنابراین ارتباط میان ایمیل spam و بدافزار قابل مشاهده نیست.
این ایمیل ها شامل لینک هایی است که کاربران را به وب سایت قربانی دوم هدایت می کند. در وب سایت دوم نیز لینک هایی وجود دارد که شامل صفحه وب آنلاین داروخانه و یا صفحاتی است که کاربر را به کلیک بر روی آنها ترغیت می نماید.
نکته جالب توجه این است که stealRat از طریق تغییر نام دامنه به google.com و پنهان سازی ترافیک شبکه و همچنین عدم ارتباط مستقیم با C&C سرور تلاش می نماید که رد پایی از خود بر جای نگذارد و تشخیص و شناسایی آن به آسانی انجام نگیرد.
راه کارهای شناسایی:
نقطه مشترک میان این وب سایت های آلوده اجرای نرم افزارهای آسیب پذیر CMS مانند وردپرس، جوملا و دروپال روی آنها می باشد. در ذیل مواردی را مشاهده می کنید که مدیران وب سایت می توانند آلودگی وب سایت را بررسی کرده و تشخیص دهند که آیا وب سایت قسمتی از بات نت stealrat می باشد یا نه:
اولین قدم چک کردن اسکریپ های اسپمر است که عموما با نام sm13e.php یا sm14e.php یافت می شود. اما توجه کنید که این اسکریپت ها ممکن است بر اساس نام فایل تغییر کند، لذا بهتر است هر فایل PHP نا آشنایی چک شود.
نام فایلهایی که تاکنون شناسایی شدهاند به شرح ذیل می باشد.
۱-copy.php
۲-up.php
۳-Del.php
۴-path.php
۵- bak.php
۶-utf.php
۷- bannerEB3Y.php
۸-returnMoCo.php
۹-sitemapuuA.php
۱۰ -themesqx10.php
مطالعه بیشتر به همراه عکس های مربوطه در لینک ه
مرکز آموزش - ظهور دوباره بدافزار StealRAT در wordpressو joomla | SecureHost
http://goo.gl/3IdxSU
مرکز آموزش - ظهور دوباره بدافزار StealRAT در wordpressو joomla | SecureHost
https://www.facebook.com/SecureHost.ir/
ارایه دهنده خدمات ایمن سازی سرور های مبتنی بر لینوکس و ویندوز
My
Crime Is My
Advisory .
Hacking Is The Best But Security Is The First
The Best Secure Hosting in Iran
http://SecureHost.ir
جهت تماس در شبکه IRC :mHUB.HIRCNetwork.com#Linux@Secure_Host
-
تعداد تشکر ها از secure_host به دلیل پست مفید
-
December 9th, 2014 00:23
# ADS