کشف بات نت جدیدی در حوزه اینترنت اشیاء به نام StealRat
اخیراً باتنت ارسالکنندهی هرزنامهای توسط ترندمیکرو کشف شد
اخیراً باتنت ارسالکنندهی هرزنامهای توسط ترندمیکرو کشف شد که از ۳ جزء اساسی تشکیل شده است:
وبگاه در معرض خطری برای ارسال هرزنامه
سامانهی آلودهای برای دریافت و تحویلِ اطلاعات هرزنامه
وبگاه در معرض خطر دیگری برای تحویل پایلود
به گفتهی پژوهشگران ترندمیکرو سامانهی آلوده کارگزار هرزنامه را به وبگاهی متصل میکند که مسئول ارسال پیامهاست.
در این شیوه کارگزار اصلیِ هرزنامه مابینِ ۳ لایه از قربانیهای از همه جا بیخبر پنهان شده است: دو وبگاه در معرض خطر و یک ماشین آلوده. این سامانهی آلوده مانند یک رابط بین کارگزار هرزنامه و وبگاه در معرض خطر عمل میکند. البته از آنجایی که هیچ ارتباط مستقیمی بین کارگزار هرزنامه و خودِ هرزنامه وجود ندارد، اینطور وانمود میشود که رایانامه از سامانهی آلوده ارسال شده است. این هرزنامه به خودیِ خود حاملِ بدافزار نیست. بنابراین هیچ ارتباطِ مرئی و شفافی بینِ این دو نمونه وجود ندارد. در اصل آنها دارای توابع هستهی مجزایی هستند و تعاملات آنها به حداقل میزانِ خود رسیده؛ تا هر گونه سرنخی که آنها را به هم پیوند میدهد، از بین ببرند.
یک وبگاه در معرض خطر دارای ارتباط پایلود و اسکریپت هرزنامه است. البته پایلود معمولاً یک وبگاه داروخانه یا موارد غیراخلاقی است. اسکریپت هرزهنگار نیز به زبان PHP نوشته شده و منتظر دریافت اطلاعات از سامانهی آلوده(سامانهی شخص قربانی) میماند. سپس این سامانه به کارگزار مخرب هرزنامه متصل میشود تا اطلاعات هرزنامهای زیر را جمعآوری کند:
کارگزار پشتیبان رایانامه
نام ارسالکننده
آدرس گیرنده
قالب رایانامه
این اطلاعات به وبگاه در معرض خطری فرستاده میشود که قادر است رایانامه را ایجاد کرده و به کاربران ارسال کند. این وبگاه در معرض خطر معمولاً دارای پوشهای با نام تصادفی و چندین اسکریپت PHP است.
رفتار جالبتوجه دیگرِ این باتنت این است که از دامنهی وبگاه در معرض خطر به عنوان دامنهی سرویس رایانامهی خود استفاده میکند. به عنوان مثال در صورتی که اسکریپت هرزهنگار در وبگاه xyz.com میزبانی شود، رایانامه نیز ظاهراً توسط آدرس xyz.com@[نام ارسالکننده] فرستاده میشود.
این مولفهی بدافزاری در سامانهی آلوده برخی نشانههای آشکاری را نیز بروز میدهد. به عنوان مثال هنگامِ دریافتِ دستورات از کارگزار کنترل و فرماندهی6 سعی میکند برای پنهان کردن ترافیک شبکهی خود، نام دامنه را به google.com تغییر دهد.
ترندمیکرو طی تحقیقات خود ۸۵۰۰۰ آدرس آیپی و دامنهی منحربهفردی را شناسایی کرد که برای ارسال هرزنامه در یک دورهی یکماهه مورد استفاده قرار گرفتهاند. هر کدام از این دامنهها به طور میانگین حاویِ دو اسکریپت هرزهنگاری است. دستِکم ۸۶۴۰ پیام هرزنامهای روزانه از سامانهی آلوده به افراد ارسال میشود. ارسالکنندگان هرزنامه در حال حاضر حدود ۷ میلیون آدرس رایانهای را هدف قرار دادهاند.
در حالی که سوءاستفاده از وبگاههای در معرض خطر برای ارسال هرزنامه پیش از این نیز توسط دیگر باتنتها استفاده شده بود، اما StealRat در نوعِ خود جالب است. اپراتورهای این باتنت مرزها را بسیار روشن تعیین کردهاند. آنها از وبگاههای به خطر افتاده برای ارسال هرزنامه استفاده میکنند؛ از سامانههای آلوده نیز به عنوان واسط بین وبگاهها و کارگزار هرزنامه بهره میگیرند.
بدین ترتیب میتوانند ردپای خود را بپوشانند؛ چرا که هیچ شاهد عینی از ارتباطِ بین وبگاهها و کارگزار وجود نخواهد داشت. آنها همچنین از کارگزار رایانامهای معتبر و میزبانهای تغییریافته استفاده میکنند تا ترافیک خود را بپوشانند. این عملکرد مطمئناً نشان میدهد که مجرمان سایبری همواره در پی یافتن راههایی هستند که از شیوههای دفاعی بگریزند.
