مطالب پربازدید

1404/02/21 - 07:21- تروریسم سایبری

پیشنهاد رئیس سابق اداره ملی سایبری رژیم صهیونیستی درمورد ایران

رئیس سابق اداره سایبری ملی رژیم صهیونیستی گفت که این رژیم باید یک پیمان دفاع سایبری علیه ایران تشکیل دهد.

1404/03/25 - 08:09- تروریسم سایبری

جایزه 10 میلیون دلاری برای گروه هکری نجات دهنده سامانه‌های پدافندی

ایالات متحده اخیراً با اعلام بیانیه‌ای از تعیین جایزه 10 میلیون دلاری برای مرموزترین دشمن سایبری خود به نام مِستر سول خبر داد.

1404/01/26 - 08:33- آمریکا

برگزاری رزمایش پاسخ هماهنگ به حمله سایبری توسط اعضای ناتو

متحدان ناتو در یک رزمایش در ماه آوریل سال جاری، پاسخ هماهنگ به حمله سایبری را تمرین کردند.

انتشار شده در تاریخ 1397/12/15 - 13:46

تکامل بات‌نت Necurs

این بات نت یک ابزار چند منظوره است، که با شروع فعالیت به عنوان یک بات اسپم منتقل‌کننده تروجان‌ها و باج‌افزارهای بانکی ظاهر می شود.

به گزارش کارگروه امنیت سایبربان، به نقل از معاونت بررسی مرکز افتا؛ Necurs ، بات‌نت فراگیر و گسترده توزیع‌کننده اسپم و بدافزار در سراسر جهان، در حال استفاده از تکنیک پنهان‌سازی تازه‌ای، به منظور جلوگیری از شناسایی‌شدن و اضافه‌کردن بات‌های بیشتر به شبکه خود است.

سال گذشته Necurs به طور منظم و مستمر، شروع به پیاده‌سازی امکاناتی در زمینه پنهان‌سازی برای زیرساخت‌های فرمان و کنترل (C2) خود کرد، به طوری که از حدود ماه می سال گذشته، تقریبا به مدت سه هفته کامل فعال بود و سپس دو هفته غیرفعال و دوباره نمایان شد که به تازگی بازه‌های زمانی عدم‌فعالیت طولانی‌تر شده‌اند.

در بعضی مواقع، این زیرساخت‌ها تا هفته‌ها غیرفعال هستند.سرورهای C2 تا چهار ماه گذشته، آفلاین بوده‌اند و فقط برای مدت زمان کوتاهی مثلا یک بار در هفته آنلاین می‌شوند.

Necurs ابزار چندمنظوره بات‌نت‌ها است، که با شروع از فعالیت به عنوان یک بات اسپم منتقل‌کننده تروجان‌ها و باج‌افزارهای بانکی، اکنون قابلیت توسعه یک سرویس پروکسی، کاوش رمزارز و انجام حملات DDoS را نیز دارد. نکته جالب توجه در مورد Necurs این است که به‌طورمنظم برای جلوگیری از شناسایی، مخفی شده و سپس برای ارسال دستورات جدید به میزبان‌های آلوده دوباره ظاهر می‌شود و سپس دوباره پنهان می‌شود. این روش یکی از دلایلی است که Necurs قادر به گسترش و توسعه به بیش از نیم میلیون بات در سراسر جهان شده‌است.

بر اساس گزارش ماه دسامبر، Necurs دومین بات‌نت‌ اسپم شایع بعد از Gamut است. حدود ۵۷۰ هزار بات آن در سراسر جهان توزیع شده‌است که تقریبا نیمی از آن‌ها به ترتیب تعداد در کشورهای زیر قرار دارند: هند، اندونزی، ویتنام، ترکیه و ایران. برآورد می‌شود که از میان آن‌ها، حدود ۹۰ هزار مورد از بات‌های Necurs یتیم (Orphaned) هستند، به این معنی که ارتباطی با سرور C۲ ندارند. با این وجود، بات‌های یتیم لزوما به طور دائم از بات‌نت حذف نمی‌شوند. اخيرا بات‌هاي DGA13 مشاهده شده‌اند که بعد از مدت‌ها عدم فعالیت، ارتباط خود با سرورهای C2 از سر گرفته‌اند.

علاوه بر رویکرد فعالیت مقطعی C۲، بدنه و payloadهای بات‌نت نیز پیشرفت کرده‌اند. به تازگی، Necurs در حال ارسال ابزارهای سرقت اطلاعات وRAT ها، مانند AZOrult و FlawedAmmyy به میزبان‌های هدفمند است و بر اساس اطلاعات موجود در میزبان‌های آلوده و راه‌اندازی یک ماژول هرزنامه NET. جدید و پیچیده نیز مشاهده شده‌ است.

این ماژول قادر به ارسال هرزنامه‌ با استفاده از حساب‌های ایمیل قربانی است. این قابلیت‌های جدید نشان‌دهنده افزایش قابل توجه توان Necurs در انجام فیشینگ، جرایم مالی و جاسوسی است.

Necurs از یک الگوریتم تولید دامنه (DGA) برای مبهم‌سازی عملیات خود و جلوگیری از حذف توسط ضدویروس‌ها استفاده می‌کند. هنگامی که اپراتورهای Necurs دامنه‌ی DGA را برای اطلاع بات‌ها از C2جدید ثبت می‌کنند، دامنه به آدرس IP واقعی میزبان C۲ جدید اشاره نمی‌کند. در عوض، آدرس IP واقعی C2 با یک الگوریتم رمزنگاری، مبهم‌سازی می‌شود. سپس بات آدرس رمزگذاری شده را رمزگشایی کرده و با C2 جدید تماس می‌گیرد. این موضوع مانع از این می‌شود که پژوهشگران قادر به شناسایی C2 جدید با دراختیار داشتن دامنه DGA باشند، اما مهم‌تر از آن، حذف این دامنه‌ها را بسیار مشکل خواهد کرد.

با این حال،DGA یک شمشیر دو لبه است. از آن‌جا که دامنه‌های DGA مورداستفاده Necurs از قبل شناخته شده‌اند، پژوهشگران امنیتی می‌توانند از روش‌هایی مانند آنالیز DNS و ترافیک شبکه برای شمارش بات‌ها و زیرساخت C2 استفاده کنند. برای صحبت‌کردن بات با یک سرور فرمان، تابع مبهم‌سازی باید رویIP واقعی اجراشود و دامنه DGA باید رکورد A خود را به مقدار حاصل تنظیم‌کند. این کار را می‌توان با عکس‌کردن الگوریتم مبهم‌سازی و اجرای آن به همان شیوه‌ی اپراتورهایNecurs، انجام‌ داد.