قسمت دوم
در قسمت قبل بررسی شد که اکثر بدافزارهای بر روی کدام سرورها، دامنهها و کشورها قرار دارد. در این قسمت به مشاهدات دیگری پرداخته میشود که به ما کمک میکند بیشتر از کار خرابکاران سر در بیاوریم. قسمت قبلی را میتوانید از این لینک بخوانید
نگاهی به گزارش اخیر امنیتی شرکت سلوشنری در سال ۲۰۱۳ – قسمت اول
مشاهدات دیگر در روند کلی بدافزارها
گرگم به هوا- دامنه هایی با چند خانه هنوز فراگیرند
تبهکاران هنوز از روش قدیمی پرش از یک سرویس دهنده به سرویس دهندهی دیگر استفاده میکنند. این روش پیچیدگی و سختی بیشتری به روند کشف عاملین سایتهای بدافزار میدهد. شش درصد از دامنه های بررسی شده در کارنامه خود چندین سرور را داشتند و از یکی به دیگری مهاجرت کرده بودند. به عنوان مثال، دامنه bbe.rauzqivu.ru در بیست کشور هاست شده و بیش از ۶۷ هاستینگ داشته و هم چنین در عرض دو هفته ۱۹۹ بار آیپی خود را عوض کرده است.
اتوماسیون
در مورد اسب تراوا سیمدا مشاهده شد که دو دامنه به سرعت انواع گوناگون این بدافزار را پخش میکنند. در اوج فعالیت تبهکاران چیزی در حدود ۱۲۳ نوع مختلف از یک اسب تراوا کشف شد. گمان برده میشود که تبهکاران از فرایند اتوماسیون کدهای خود استفاده می کنند تا به صورت خودکار ساعتی یک بار گونه ای از این تروجان را پخش کنند. این فرایند کار آنتی ویروس ها را بسیار سخت میکند و ممکن است در چندین ساعت اولیه تبهکاران صدمات جبران ناپذیری به بسیاری از کاربران بزنند. تازه فرض را بر آن کردیم که کاربران ضد ویروس خود را به روز نگه میدارند.
توزیع بدافزار تنها هدف تبه کاران نیست
معلوم شد که در حدود ۲۵۵ تا از ۲۰۰۰۰ آدرس آیپی توزیع کننده بدافزار فعالیت های مجرمانهی دیگری نیز انجام میدادند. به عنوان مثال اگر این بدافزارها را زیر نظر بگیریم در میابیم که اکثر این ۲۵۵ بدافزار به طور منظم پورت های تیسیپی را اسکن می کردند. این پورت های شامل
-
پورت ۵۳ مربوط به دی ان اس
-
پورت ۱۳۵ endpoint mapping
-
۳۳۸۹ مربوط به ریموت دسکتاپ
-
۶۱۳۶۹
-
۴۴۵ active directory
-
۴۰۶۱۸
-
۴۰۷۲۸ مربوط به یک بازی آنلاین
-
۵۶۴۴۲
-
۴۴۸۹
به نظر میرسد این فعالیت ها بیشتر برای شناسایی قربانی های آینده است که تبه کاران بعدها از آنها استفاده خواهند کرد. بررسی سرویس دهندهای قربانیها مشخص می کند که احتمالا تبهکاران تعدادی از قربانی ها را بیشتر مورد هدف قرار می دهند زیرا آنها دارای وجه قانونی و موجهتری هستند. به عنوان مثال اگر کسی بتواند سرور سایت بیبیسی را که مثلا بر روی آمازون است هک کند به بهترین وسیله برای پخش کردن بدافزارهای خود دست خواهد یافت.
استفاده تبهکاران از نام های مشهور
اخیرا استفاده از سرویس دهندههای مشهور بین تبهکاران بسیار رایج شده است. این امر نه تنها به علت این است که سرویس دهندههای معروف سرویس بهتر و با کیفیت تری ارائه میدهند، بلکه نام مشهور این شرکتها نیز بسیار موثر است. به عنوان مثال، مسئول امنیتی شرکتی که خوب آموزش ندیده است، ممکن است فعالیت و یا هشداری را که با آی پی گوگل و یا آمازون است را نادیده بگیرد، غافل از اینکه این تبهکاران هستند که به وسیله ای روی این سرورهای گوگل و آمازون مشغول فعالیت هستند. سایت های زیر در چند ماه گذشته بیش از ۷۵۱ مدل یکتا از بدافزار DomalQ را بر روی وبهاست های مشهور قرار دادهاند. این بد افزار به شیوه پول بده تا خودم را پاک کنم، نصب کردن نرمافزار بیهوده و یا نشان دادن تبلیغات بسیار مزاحم عمل می کند. اکثر این سایت ها سرویس خود را روی آمازون و یا OVH Hostin( هاستینگ معروف اوروپایی با مرکزیت در کشور فرانسه) قرار داده اند. در حال حاضر هم اکثر این بدافزارها روی آمازون قرار دارند و از یک سرور به سرور دیگری مدام نقل مکان می کنند.
-
dls.gamerdls.com
-
dls.yourmplayer.com
-
dls.nicdls.com
-
dls.xvidupdate.com
-
dls.mplayerdownloader.com
-
dls.123mplayer.com
-
dls.mpalyerfreeware.com
-
dls.softdls.com
-
dls.sweetdls.com
-
dlp.ooopsvideo.com
به خاطر معماری پیچیده شرکتهای سرویس دهندهی ابری وب، این بدافزار در کشورهای کانادا، فرانسه و آمریکا با ۱۰ آی پی متفاوت هاست شده بود. در فصل آخر ۲۰۱۳ شرکت او وی اچ به تنهایی افزایش چشم گیری در هاست کردن بد افزار ها به عهده گرفته بود. البته این بدین معنی نیست که خود شرکت و یا آدرس آی پی آن خرابکار است، این صرفا بدین معنی است که تبه کاران اخیرا به این شرکت ابراز تمایل بیشتری کردند.
شکل شمایل یو آر ال یکسان
آدرس های اینترنتی که برای دانلود کردن بد افزار های استفاده میشوند معمولا شکل یکسانی دارند. پنج تا شش پوشه تو در تو با اسامی راندوم عدد سه رقمی و یا ترکیب سه تایی از عدد و حرف، مثالهای بارز این اسامی هستند. خیلی از اسامی فایل ها با حرف وی انگلیسی شروع میشود و به همراه آن ۹ رقم دیگر اضافه می شود.
کدهای بدافزارها ساختار تقریبا یکسانی دارند
سلوشنری بیش از ۷۵۰ بد افزار را بررسی کرد و به مشاهدات جالبی رسید. اکثر بد افزار ها فرمت اجرایی و پرتابل مایکروسافت ویندوز را داشتند. همچنین:
-
تقریبا تمامی بدافزار ها چیزی در حدود ۹۴ درصد و یا کمی بیشتر با هم کد مشترک داشتند. این را میتوان با نرم افزار هایی که هش فایل ها را با هم مقایسه میکنند به دست آورد.
-
تمام فایل ها از نوع خود باز شونده (self-extractable files) بودند.
-
هیچ کدام از فایلها توسط ۴۰ نرم افزار مشهور شناخته نشدند.
به خاطر حجم داده زیاد، سلوشنری تصمیم گرفت تعداد اندکی از این فایل ها را به دقت بیشتر بررسی کند و با هم مقایسه کند. مشخص شد که اکثر این فایل ها شیوه نصب کن و پول بگیر را دنبال میکنند. آنها باعث میشوند که نرمافزاری قانونی و یا غیر قانونی نصب شود که فعالیت های خود آنها را پنهان کند. لیست زیر تعدادی از این نرم افزار ها را نشان میدهد که این بد افزار برای پنهان کردن کار خودشان نصب می کنند.
-
FlashPlayer
-
HangmanV1_0
-
Minecraft
-
Player
-
Player_Setup
-
Setup
-
adobe-acrobat-x-pro-10
-
firefox
-
samsung-kies
-
google-earth
-
google-chrome
-
google-talk
-
internet-explorer
-
java-runtime-environment-jre
-
pokemon-online
-
spotify
-
the-weather-channel-desktop
-
setup
آنالیز اسم دامنههای حاوی بدافزار
معلموم شد که در اسم دامنه ها حدود ۵۰۰۰ کلمه ای که در انگلیسی بیشترین استفاده میشود به کار رفته است. کلمه دکتر در ۱۱۶۷ تا از ۲۰۰۰۰ دامنه یکتا به کار رفته است. ۶۶۸ دامنه که حاوی نام دکتر است به سه آی پی مختلف وصل میشدند. احتمالا به نظر می رسد که گروهی از تبه کاران قسمتی خاصی از قربانیان را در نظر گرفته اند. دامنه ghdoctors.com و سایر دامنهی مشابه بیشتر روی فروش دارو تقلبی کار می کنند که منشا آنها بیشتر در روسیه و یا هلند است. کلمه دانلود در بیش از ۳۵۴ دامنه دیده شد در حالیکه کلمه سافتور ۶۲ بار دیده شد. عجیب است ولی تنها ۱۰۰ دامنه روی محصولاتی برای افراد ۱۸+ تمرکز کرده اند.
به وضوح معلوم است که بسیاری از توسعه دهندگان بدافزار به شیوه های روانشناسی و مهندسی اجتماعی برای گمراه کردن کاربران روی آورده اند. بر طبق داده های موجود کاربران باید بسیار مراقب امنیت خود باشند هنگامی که بر روی سایت های محصولات دارویی و یا سایت های دانلود هستند. مخصوصا زمانی که دامین های چیزی شبیه این گزینه ها است:
-
([xxx]driverupdate[xxx].com)
-
updatebrowsers.[xxx]
-
updateplugins.[xxx]
-
[xxx]security.com
اطلاعات دارویی و سلامت باید تنها از سایت هایی که شما از آن مطمئن هستید گرفته شوند و ایمیل هایی با این مضامین باید با دقت و شک بیشتری خوانده شود. این سایت ها ممکن اطلاعات غلط و یا داروهای خطرناکی علاوه بر آلوده کردن رایانه شما به شما ارائه دهند. همچنین دادن اطلاعات شخصی و یا دانلود کردن از سایت های ناشناس نیز همیشه خطرناک است.
نظرات
این یک مطلب قدیمی است و اکنون بایگانی شده است. ممکن است تصاویر این مطلب به دلیل قوانین مرتبط با کپی رایت حذف شده باشند. اگر فکر میکنید که تصاویر این مطلب ناقض کپی رایت نیست و میخواهید توسط زمانه بازیابی شوند، لطفاً به ما ایمیل بزنید. به آدرس: tribune@radiozamaneh.com
هنوز نظری ثبت نشده است. شما اولین نظر را بنویسید.