قسمت دوم

در قسمت قبل بررسی شد که اکثر بدافزارهای بر روی کدام سرورها، دامنه‌ها و کشورها قرار دارد. در این قسمت به مشاهدات دیگری پرداخته میشود که به ما کمک می‌کند بیشتر از کار خرابکاران سر در بیاوریم. قسمت قبلی را میتوانید از این لینک بخوانید

نگاهی به گزارش اخیر امنیتی شرکت سلوشنری در سال ۲۰۱۳ – قسمت اول

مشاهدات دیگر در روند کلی بدافزارها

گرگم به هوا- دامنه هایی با چند خانه هنوز فراگیرند

تبه‌کاران هنوز از روش قدیمی پرش از یک سرویس دهنده به سرویس دهنده‌ی دیگر استفاده می‌کنند. این روش پیچیدگی و سختی بیشتری به روند کشف عاملین سایت‌های بدافزار می‌دهد. شش درصد از دامنه های بررسی شده در کارنامه خود چندین سرور را داشتند و از یکی به دیگری مهاجرت کرده بودند. به عنوان مثال، دامنه bbe.rauzqivu.ru در بیست کشور هاست شده و بیش از ۶۷ هاستینگ داشته و هم چنین در عرض دو هفته ۱۹۹ بار آی‌پی خود را عوض کرده است.

اتوماسیون

در مورد اسب تراوا سیمدا مشاهده شد که دو دامنه به سرعت انواع گوناگون این بدافزار را پخش می‌کنند. در اوج فعالیت تبهکاران چیزی در حدود ۱۲۳ نوع مختلف از یک اسب تراوا کشف شد. گمان برده می‌شود که تبهکاران از فرایند اتوماسیون کد‌های خود استفاده می کنند تا به صورت خودکار ساعتی یک بار گونه ای از این تروجان را پخش کنند. این فرایند کار آنتی ویروس ها را بسیار سخت می‌کند و ممکن است در چندین ساعت اولیه تبه‌کاران صدمات جبران ناپذیری به بسیاری از کاربران بزنند. تازه فرض را بر آن کردیم که کاربران ضد ویروس خود را به روز نگه می‌دارند.

توزیع بدافزار تنها هدف تبه کاران نیست

معلوم شد که در حدود ۲۵۵ تا از ۲۰۰۰۰ آدرس آی‌پی توزیع کننده بدافزار فعالیت های مجرمانه‌ی دیگری نیز انجام می‌دادند. به عنوان مثال اگر این بدافزارها را زیر نظر بگیریم در میابیم که اکثر این ۲۵۵ بدافزار به طور منظم پورت های تی‌سی‌پی را اسکن می کردند. این پورت های شامل

  1. پورت ۵۳ مربوط به دی ان اس

  2. پورت ۱۳۵ endpoint mapping

  3. ۳۳۸۹ مربوط به ریموت دسکتاپ

  4. ۶۱۳۶۹

  5. ۴۴۵ active directory

  6. ۴۰۶۱۸

  7. ۴۰۷۲۸ مربوط به یک بازی آنلاین

  8. ۵۶۴۴۲

  9. ۴۴۸۹

به نظر می‌رسد این فعالیت ها بیشتر برای شناسایی قربانی های آینده است که تبه کاران بعدها از آنها استفاده خواهند کرد. بررسی سرویس دهندهای قربانی‌ها مشخص می کند که احتمالا تبه‌کاران تعدادی از قربانی ها را بیشتر مورد هدف قرار می دهند زیرا آنها دارای وجه قانونی و موجه‌تری هستند. به عنوان مثال اگر کسی بتواند سرور سایت بی‌بی‌سی را که مثلا بر روی آمازون است هک کند به بهترین وسیله برای پخش کردن بدافزارهای خود دست خواهد یافت.

استفاده تبه‌کاران از نام های مشهور

اخیرا استفاده از سرویس دهنده‌های مشهور بین تب‌هکاران بسیار رایج شده است. این امر نه تنها به علت این است که سرویس دهنده‌های معروف سرویس بهتر و با کیفیت تری ارائه می‌دهند، بلکه نام مشهور این شرکت‌ها نیز بسیار موثر است. به عنوان مثال، مسئول امنیتی شرکتی که خوب آموزش ندیده است، ممکن است فعالیت و یا هشداری را که با آی پی گوگل و یا آمازون است را نادیده بگیرد، غافل از اینکه این تبهکاران هستند که به وسیله ای روی این سرورهای گوگل و آمازون مشغول فعالیت هستند. سایت های زیر در چند ماه گذشته بیش از ۷۵۱ مدل یکتا از بدافزار DomalQ  را بر روی وب‌هاست های مشهور قرار داده‌اند. این بد افزار به شیوه پول بده تا خودم را پاک کنم، نصب کردن نرم‌افزار بیهوده و یا نشان دادن تبلیغات بسیار مزاحم عمل می کند. اکثر این سایت ها سرویس خود را روی آمازون و یا OVH Hostin( هاستینگ معروف اوروپایی با مرکزیت در کشور فرانسه) قرار داده اند. در حال حاضر هم اکثر این بدافزارها روی آمازون قرار دارند و از یک سرور به سرور دیگری مدام نقل مکان می کنند.

  • dls.gamerdls.com

  • dls.yourmplayer.com

  • dls.nicdls.com

  • dls.xvidupdate.com

  • dls.mplayerdownloader.com

  • dls.123mplayer.com

  • dls.mpalyerfreeware.com

  • dls.softdls.com

  • dls.sweetdls.com

  • dlp.ooopsvideo.com

به خاطر معماری پیچیده شرکتهای سرویس دهنده‌ی ابری وب، این بدافزار در کشورهای کانادا، فرانسه و آمریکا با ۱۰ آی پی متفاوت هاست شده بود. در فصل آخر ۲۰۱۳ شرکت او وی اچ به تنهایی افزایش چشم گیری در هاست کردن بد افزار ها به عهده گرفته بود. البته این بدین معنی نیست که خود شرکت و یا آدرس آی پی آن خرابکار است، این صرفا بدین معنی است که تبه کاران اخیرا به این شرکت ابراز تمایل بیشتری کردند.

شکل شمایل یو آر ال یکسان

آدرس های اینترنتی که برای دانلود کردن بد افزار های استفاده میشوند معمولا شکل یکسانی دارند. پنج تا شش پوشه تو در تو با اسامی راندوم عدد سه رقمی و یا ترکیب سه تایی از عدد و حرف، مثال‌های بارز این اسامی هستند. خیلی از اسامی فایل ها با حرف وی انگلیسی شروع میشود و به همراه آن ۹ رقم دیگر اضافه می شود.

کدهای بدافزارها ساختار تقریبا یکسانی دارند

سلوشنری بیش از ۷۵۰ بد افزار را بررسی کرد و به مشاهدات جالبی رسید. اکثر بد افزار ها فرمت اجرایی و پرتابل مایکروسافت ویندوز را داشتند. همچنین:

  • تقریبا تمامی بدافزار ها چیزی در حدود ۹۴ درصد و یا کمی بیشتر با هم کد مشترک داشتند. این را میتوان با نرم افزار هایی که هش فایل ها را با هم مقایسه می‌کنند به دست آورد.

  • تمام فایل ها از نوع خود باز شونده (self-extractable files) بودند.

  • هیچ کدام از فایلها توسط ۴۰ نرم افزار مشهور شناخته نشدند.

به خاطر حجم داده زیاد، سلوشنری تصمیم گرفت تعداد اندکی از این فایل ها را به دقت بیشتر بررسی کند و با هم مقایسه کند. مشخص شد که اکثر این فایل ها شیوه نصب کن و پول بگیر را دنبال می‌کنند. آنها باعث می‌شوند که نرم‌افزاری قانونی و یا غیر قانونی نصب شود که فعالیت های خود آنها را پنهان کند.  لیست زیر تعدادی از این نرم افزار ها را نشان میدهد که این بد افزار برای پنهان کردن کار خودشان نصب می کنند.

  • FlashPlayer

  • HangmanV1_0

  • Minecraft

  • Player

  • Player_Setup

  • Setup

  • adobe-acrobat-x-pro-10

  • firefox

  • samsung-kies

  • google-earth

  • google-chrome

  • google-talk

  • internet-explorer

  • java-runtime-environment-jre

  • pokemon-online

  • spotify

  • the-weather-channel-desktop

  • setup

آنالیز اسم دامنه‌های حاوی بدافزار

معلموم شد که در اسم دامنه ها حدود ۵۰۰۰ کلمه ای که در انگلیسی بیشترین استفاده میشود به کار رفته است. کلمه دکتر در ۱۱۶۷ تا از ۲۰۰۰۰ دامنه یکتا به کار رفته است. ۶۶۸ دامنه که حاوی نام دکتر است به سه آی پی مختلف وصل میشدند. احتمالا به نظر می رسد که گروهی از تبه کاران قسمتی خاصی از قربانیان را در نظر گرفته اند. دامنه ghdoctors.com و سایر دامنه‌ی مشابه بیشتر روی فروش دارو تقلبی کار می کنند که منشا آنها بیشتر در روسیه و یا هلند است. کلمه دانلود در بیش از ۳۵۴ دامنه دیده شد در حالیکه کلمه سافتور ۶۲ بار دیده شد. عجیب است ولی تنها ۱۰۰ دامنه روی محصولاتی برای افراد ۱۸+ تمرکز کرده اند.

به وضوح معلوم است که بسیاری از توسعه دهندگان بدافزار به شیوه های روانشناسی و مهندسی اجتماعی برای گمراه کردن کاربران روی آورده اند.  بر طبق داده های موجود کاربران باید بسیار مراقب امنیت خود باشند هنگامی که بر روی سایت های محصولات دارویی و یا سایت های دانلود هستند. مخصوصا زمانی که دامین های چیزی شبیه این گزینه ها است:

  • ([xxx]driverupdate[xxx].com)

  • updatebrowsers.[xxx]

  • updateplugins.[xxx]

  • [xxx]security.com

اطلاعات دارویی و سلامت باید تنها از سایت هایی که شما از آن مطمئن هستید گرفته شوند و ایمیل هایی با این مضامین باید با دقت و شک بیشتری خوانده شود. این سایت ها ممکن اطلاعات غلط و یا داروهای خطرناکی علاوه بر آلوده کردن رایانه شما به شما ارائه دهند.  همچنین دادن اطلاعات شخصی و یا دانلود کردن از سایت های ناشناس نیز همیشه خطرناک است.

نظرات

نظر (به‌وسیله فیس‌بوک)