باتنت Necurs تکامل مییابد
تاریخ انتشار: ۱۷ اسفند ۱۳۹۷ | کد خبر: ۲۳۰۲۵۷۹۲
به گزارش حوزه دنیای ارتباطات گروه فضای مجازی باشگاه خبرنگاران جوان، به نقل از وبسایت، threatpost، سال گذشته Necurs به طور منظم و مستمر، شروع به پیادهسازی امکاناتی در زمینه پنهانسازی برای زیرساختهای فرمان و کنترل (C۲) خود کرد، به طوری که از حدود ماه می سال گذشته، تقریبا به مدت سه هفته کامل فعال بود و سپس دو هفته غیرفعال و دوباره نمایان شد که به تازگی بازههای زمانی عدمفعالیت طولانیتر شدهاند.
بیشتر بخوانید:
اخباری که در وبسایت منتشر نمیشوند!
در بعضی مواقع، این زیرساختها تا هفتهها غیرفعال هستند.سرورهای C۲ تا چهار ماه گذشته، آفلاین بودهاند و فقط برای مدت زمان کوتاهی مثلا یک بار در هفته آنلاین میشوند.
Necurs ابزار چندمنظوره باتنتها است، که با شروع از فعالیت به عنوان یک بات اسپم منتقلکننده تروجانها و باجافزارهای بانکی، اکنون قابلیت توسعه یک سرویس پروکسی، کاوش رمزارز و انجام حملاتDDoS را نیز دارد. نکته جالب توجه در مورد Necurs این است که بهطورمنظم برای جلوگیری از شناسایی، مخفی شده و سپس برای ارسال دستورات جدید به میزبانهای آلوده دوباره ظاهر میشود و سپس دوباره پنهان میشود. این روش یکی از دلایلی است که Necurs قادر به گسترش و توسعه به بیش از نیم میلیون بات در سراسر جهان شدهاست.
بر اساس گزارش ماه دسامبر، Necurs دومین باتنت اسپم شایع بعد از Gamut است. حدود ۵۷۰ هزار بات آن در سراسر جهان توزیع شدهاست که تقریبا نیمی از آنها به ترتیب تعداد در کشورهای زیر قرار دارند: هند، اندونزی، ویتنام، ترکیه و ایران. برآورد میشود که از میان آنها، حدود ۹۰ هزار مورد از باتهای Necurs یتیم (Orphaned) هستند، به این معنی که ارتباطی با سرور C۲ ندارند. با این وجود، باتهای یتیم لزوما به طور دائم از باتنت حذف نمیشوند. اخيرا باتهاي DGA۱۳ مشاهده شدهاند که بعد از مدتها عدم فعالیت، ارتباط خود با سرورهای C۲ از سر گرفتهاند.
علاوه بر رویکرد فعالیت مقطعی C۲، بدنه و payloadهای باتنت نیز پیشرفت کردهاند. به تازگی، Necurs در حال ارسال ابزارهای سرقت اطلاعات وRAT ها، مانند AZOrult و FlawedAmmyy به میزبانهای هدفمند است و بر اساس اطلاعات موجود در میزبانهای آلوده و راهاندازی یک ماژول هرزنامه NET. جدید و پیچیده نیز مشاهده شده است.
این ماژول قادر به ارسال هرزنامه با استفاده از حسابهای ایمیل قربانی است. این قابلیتهای جدید نشاندهنده افزایش قابل توجه توان Necurs در انجام فیشینگ، جرایم مالی و جاسوسی است.
Necur از یک الگوریتم تولید دامنه (DGA) برای مبهمسازی عملیات خود و جلوگیری از حذف توسط ضدویروسها استفاده میکند. هنگامی که اپراتورهای Necurs دامنهی DGA را برای اطلاع باتها از C۲جدید ثبت میکنند، دامنه به آدرس IP واقعی میزبان C۲ جدید اشاره نمیکند. در عوض، آدرس IP واقعی C۲ با یک الگوریتم رمزنگاری، مبهمسازی میشود. سپس بات آدرس رمزگذاری شده را رمزگشایی کرده و با C۲ جدید تماس میگیرد. این موضوع مانع از این میشود که پژوهشگران قادر به شناسایی C۲ جدید با دراختیار داشتن دامنه DGA باشند، اما مهمتر از آن، حذف این دامنهها را بسیار مشکل خواهد کرد.
با این حال، DGA یک شمشیر دو لبه است. از آنجا که دامنههای DGA مورداستفاده Necurs از قبل شناخته شدهاند، پژوهشگران امنیتی میتوانند از روشهایی مانند آنالیز DNS و ترافیک شبکه برای شمارش باتها و زیرساخت C۲ استفاده کنند. برای صحبتکردن بات با یک سرور فرمان، تابع مبهمسازی باید رویIP واقعی اجراشود و دامنه DGA باید رکورد A خود را به مقدار حاصل تنظیمکند. این کار را میتوان با عکسکردن الگوریتم مبهمسازی و اجرای آن به همان شیوهی اپراتورهایNecurs، انجام داد.
انتهای پیام/
منبع: باشگاه خبرنگاران
کلیدواژه: خواندنی مشکلات رایانه
درخواست حذف خبر:
«خبربان» یک خبرخوان هوشمند و خودکار است و این خبر را بهطور اتوماتیک از وبسایت www.yjc.ir دریافت کردهاست، لذا منبع این خبر، وبسایت «باشگاه خبرنگاران» بوده و سایت «خبربان» مسئولیتی در قبال محتوای آن ندارد. چنانچه درخواست حذف این خبر را دارید، کد ۲۳۰۲۵۷۹۲ را به همراه موضوع به شماره ۱۰۰۰۱۵۷۰ پیامک فرمایید. لطفاً در صورتیکه در مورد این خبر، نظر یا سئوالی دارید، با منبع خبر (اینجا) ارتباط برقرار نمایید.
با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت «خبربان» مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویر است، مسئولیت نقض حقوق تصریح شده مولفان در قانون فوق از قبیل تکثیر، اجرا و توزیع و یا هر گونه محتوی خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.
خبر بعدی:
سامانه بارشی وارد آذربایجان شرقی میشود
به گزارش خبرگزاری مهر، محمد امیدفر در گفت و گو با خبرنگاران با بیان اینکه این وضع تا روز سه شنبه ادامه مییابد، افزود: بر اساس نقشههای پیش یابی هواشناسی و آخرین تصاویر ماهوارهای، از روز چهارشنبه به تدریج سامانه بارشی وارد استان میشود.
وی اظهار کرد: فعالیت این سامانه موجب ابرناکی، وزش باد به نسبت شدید در برخی نواحی به ویژه نیمه جنوبی استان و خیزش یا نفوذ گرد و خاک و در نواحی مرتفع و کوهستانی گاهی رگبار باران و غرش آذرخش میشود.
امیدفر، ادامه داد: از نظر وضعیت دمایی نیز تا پایان هفته دما به طور نسبی در استان افزایش مییابد.
کد خبر 6090565
اعلام محدودیت های ترافیکی پایان هفته در جاده های شمالی کشور