about-3 back-contact back-deep eitaa کانال روبیکاخبرگزاری سایبربان
امنیت وب
مطالب پربازدید
بازار
1405/02/02 - 13:10- بررسی تخصصی

بازار سیاه فیلترشکن در زمان قطع اینترنت؛ از قیمت‌های میلیونی تا موج گسترده کلاهبرداری

مقاله ای از کارشناس سایبری مهیار خدادادی پیرامون مسئله فیلتر شکن ها در زمان قطعی اینترنت بین المللی

بزرگ‌ترین
1405/01/10 - 16:13- جنگ سایبری

بزرگ‌ترین حمله سایبری به شرکت‌های نفتی امارات

شرکت های نفتی امارات مورد حمله سایبری گروه هکری نصیر قرار گرفت

در
1405/02/01 - 15:13- ایران

در غم از دست دادن پدر امت به سوگ نشسته ایم

در غم از دست دادن پدر امت به سوگ نشسته ایم

انتشار شده در تاریخ

Sazoora.B؛ تروجان سارق اطلاعات

پژوهش‌گران آزمایشگاه Seculert گونه‌ی جدیدی از بدافزار Sazoora را شناسایی کردند
پژوهش‌گران آزمایشگاه Seculert گونه‌ی جدیدی از بدافزار Sazoora را شناسایی کردند. اولین نمونه از این بدافزار موسوم به Sazoora.A در آگوست سال گذشته شناسایی شد اما تا ۵ ماه گذشته و تا پیش از پرده‌برداری آزمایشگاه ضدبدافزاری ESET از کمپین بدافزاری با مضمون اظهارنامه‌ی مالیاتی در اسلواکی، خبرساز نشده بود.
Sazoora.A تروجان سارق اطلاعاتی است که در اسلواکی از طریق پرونده‌ی ضمیمه‌ی رایانامه منتشر می‌شد. این نمونه مبتنی بر مرورگر بوده و کد HTML ساختگی را درون صفحات وب تزریق می‌کرد تا اطلاعات مالی حساس مربوط به کارت‌های اعتباری را سرقت کند. اطلاعات سرقت شده در فواصل زمانی منظم به کارگزار راه دوری ارسال می‌شد. در کمپین مربوط به ماه مِی سال ۲۰۱۳ بیش از ٪۶۰ از رخدادهای شناسایی شده در کشور اسلواکی اتفاق افتاده است.
 
Sazoora.B
 
اما گونه‌ی جدیدی از Sazoora با انتقال از طریق بسته‌های کوچک‌تر شناسایی توسط شیوه‌های امنیتی سنتی را دشوارتر ساخته است. برخلاف گونه‌ی اولیه که بلافاصله اجرا می‌شد، نوع B پیش از فعال شدن تا ۱۵ دقیقه منتظر می‌ماند و این به خواب‌رفتگی شناسایی آن را دشوار می‌سازد.
 
   
  شکل ۱: نتایج ابزار تجزیه و تحلیل سندباکس Seculert پس از ۱۰ دقیقه  
 
 
 
     
  شکل ۲: نتایج ابزار تجزیه و تحلیل سندباکس Seculert پس از ۳۰ دقیقه  
از دیگر تفاوت‌های این دو گونه این است که Sazoora.B پیش از ارسال اطلاعات سرقت‌شده پیامی به کارگزار کنترل و فرمان‌دهی خود می‌فرستد؛ از این رو کارگزار باید از طریق امضا، هویت خود را تأیید کند تا تروجان اطمینان پیدا کند که کارگزار کنترل و فرمان‌دهی همچنان در اختیار نفوذگران مربوطه است و سایر مجرمان اینترنتی کنترل بات‌نت را به دست نگرفته‌اند. البته چنین رفتاری پیش از این نیز در بدافزارهای دیگری چون رامنیت دیده شده بود.
 
   
  شکل ۳: رابط برنامه‌نویسی مایکروسافت برای تأیید امضا به کارگزار کنترل و فرمان‌دهی فراخوانده می‌شود.  
همچنین Sazoora.B مولفه‌ی اصلی خود را درون explorer.exe تزریق نمی‌کند بلکه در قالب فرآیند خود باقی می‌ماند.
 
   
  شکل ۴: رفتارهای این بدافزار که توسط ابزار سندباکس Seculert شناسایی شد.  
در فاصله‌ی ۲۶ سپتامبر تا ۲۰ اکتبر یعنی کمتر از ۱ ماه این گونه‌ی جدید بیش از ۲۳۰۰۰ سامانه را آلوده کرده که اکثر آدرس‌های آی‌پی آلوده متعلق به استرالیا، سوییس، بلژیک و آمریکا هستند.
 
   
  شکل ۵: آی‌پی‌های آلوده شده توسط Sazoora.B به تفکیک محدوده‌ی جغرافیایی  
 
 
 
 
   
  شکل ۶: سطح فعالیت Sazoora.B از ۲۶ سپتامبر تا ۲۰ اکتبر ۲۰۱۳  
نتیجه
 
Sazoora.B همانند Sazoora.A به منظور سرقت اطلاعات در بنیادی‌ترین سطح طراحی شده و شبیه سایر بدافزارهای پیشرفته‌ای است که کاربران نهایی و سازمان‌ها را هدف قرار می‌دهند. هرچند هنوز مشخص نشده که Sazoora نهادها یا اشخاص خاصی را هدف قرار داده یا نه؛ اما باید اذعان کرد که Sazoora.B تمام ویژگی‌های حملات سایبری پیشرفته‌ی امروزی را داراست.
 
ماهیت Sazoora.B به آن اجازه می‌دهد از شناسایی توسط دستگاه‌های امنیتی شبکه‌ای بگریزد؛ از این رو کارشناسان امنیتی توصیه می‌کنند که از یک محیط سندباکس منعطف مبتنی بر پردازش ابری برای شناسایی بدافزارهای پیشرفته و APTهایی چون Sazoora.B استفاده شود.

موضوع:

تازه ترین ها
قوانین
1405/04/06 - 09:22- آسیا

قوانین جدید سایبری برای ارائه دهندگان اینترنت آذربایجان

آذربایجان قوانین جدید امنیت سایبری برای ارائه دهندگان اینترنت وضع کرد.

رفع
1405/04/06 - 09:12- اروپا

رفع اختلال ارتباطی حرکت قطارها در آلمان

خدمات ریلی آلمان پس از قطع ارتباطات بی‌سیم از سر گرفته شد.

روسیه
1405/04/06 - 09:01- اروپا

روسیه اَپل را به سانسور سیاسی متهم کرد

روسیه پس از حذف برنامه‌های سرویس شبکه اجتماعی «VKontakte» از اپ استور، اَپل را به سانسور سیاسی متهم کرد.

مطالب مرتبط

در این بخش مطالبی که از نظر دسته بندی و تگ بندی مرتبط با محتوای جاری می باشند نمایش داده می‌شوند.