about-3 back-contact back-deep eitaa کانال روبیکاخبرگزاری سایبربان
امنیت زیرساخت
مطالب پربازدید
جایزه
1404/03/25 - 08:09- تروریسم سایبری

جایزه 10 میلیون دلاری برای گروه هکری نجات دهنده سامانه‌های پدافندی

ایالات متحده اخیراً با اعلام بیانیه‌ای از تعیین جایزه 10 میلیون دلاری برای مرموزترین دشمن سایبری خود به نام مِستر سول خبر داد.

اعتراف
1404/03/28 - 09:08- تروریسم سایبری

اعتراف منابع صهیونیستی به نفوذ سایبری ایران در پخش تصاویر پشت‌پرده

منابع صهیونیستی به نفوذ سایبری ایران در پخش تصاویر پشت‌پرده اعتراف کردند.

حمله
1404/03/27 - 20:40- آسیا

حمله سایبری به بانک سپه

هکرهای گنجشک درنده(گروهی منتسب به آمریکا) مدعی حمله سایبری به بانک سپه شدند.

انتشار شده در تاریخ

dark_nexus، فراتر از بات‌نت‌های معمول

بات‌نت جدیدی درصحنه تهدیدات سایبری ظاهرشده که محققان توانایی فوق‌العاده آن را مایه شرمساری سایر بات‌نت‌ها توصیف کرده‌اند.

به گزارش کارگروه امنیت سایبربان ، به نقل از پایگاه اینترنتی ZDNet، شرکت امنیتی Bitdefender اعلام کرده که این بات‌نت جدید بانام dark_nexus مجهز به امکانات و قابلیت‌هایی خاص بوده و فراتر از بات‌نت‌های معمول این روزها عمل می‌کند.
بات‌نت‌ها، شبکه‌هایی متشکل از ماشین‌ها، محصولات موسوم به اینترنت اشیاء (IoT) و دستگاه‌های همراه هک‌شده‌ای هستند که در سیطره یک کنترل‌کننده اصلی قرار دارند. در کنار یکدیگر از این دستگاه‌ها می‌توان برای اجرای اقدامات مخربی همچون حملات DDoS و کارزارهای ارسال انبوه هرزنامه استفاده کرد.
نام dark_nexus برگرفته از رشته dark_NeXus_Qbot/۴,۰ است که در جریان بهره‌جویی (Exploit) بر روی پودمان HTTP مورداشاره این بات‌نت قرار می‌گیرد. محققان Bitdefender کلمه Qbot در رشته مذکور را نیز نشانه‌ای از تأثیرپذیری آن از بات‌نتی با همین نام می‌دانند.
علیرغم وجود کدهای مشابه با کدهای بکار رفته در بات‌نت‌های Mirai و Qbot محققان Bitdefender اکثر امکانات dark_nexus را مختص آن می‌دانند. به‌عبارت‌دیگر اگرچه dark_nexus برخی امکانات را با بات‌نت‌های مبتنی بر اینترنت اشیاء به اشتراک می‌گذارد اما روش توسعه و برنامه‌نویسی برخی از ماژول‌های آن موجب شده که این بات‌نت بسیار قدرتمندتر و ستبرتر از سایرین باشد.
dark_nexus سه ماه است که فعال و در این مدت سه نسخه متفاوت از آن عرضه‌شده است. هانی‌پات‌ها نشان می‌دهند که حداقل ۱,۳۷۲ بات عضو dark_nexus هستند.
پس از شناسایی ماشین، بات‌نت با تکنیک Credential Stuffing و همچنین با به‌کارگیری بهره‌جوها برای هک کردن آن تلاش می‌کند. هدف دو ماژول که یکی از آن‌ها به‌صورت هم‌زمان و دیگری به‌طور غیرهمزمان مورداستفاده قرار می‌گیرد استفاده از پودمان Telnet و فهرستی از اطلاعات اصالت‌سنجی برای نفوذ به ماشین است.
همانند اکثر پویشگرهایی که توسط بات‌نت‌های متداول مورداستفاده قرار می‌گیرند پویشگر dark_nexus نیز از مدل موسوم به ماشین‌های حالات متناهی (Finite State Machines) برای به‌کارگیری پودمان Telnet و در ادامه گام‌های بعدی آلوده‌سازی پیروی کرده که بر طبق آن، مهاجم فرمان را بر مبنای خروجی فرمان‌ها قبلی صادر می‌کند.
dark_nexus برای راه‌اندازی بات از Qbot الگوبرداری کرده است: چندین انشعاب را ایجاد کرده، تعدادی سیگنال را مسدود نموده و در ادامه بات ارتباط خود را با ترمینال قطع می‌کند. سپس بات مشابه با Mirai درگاه ۷۶۳۰ را باز می‌کند.
همچنین بات به‌منظور مخفی کردن ماهیت فعالیت‌های خود نامش را به /bin/busybox تغییر می‌دهد.
بات‌نت دارای کدهای مخربی است که با ۱۲ معماری CPU سازگار بوده و بسته به پیکربندی دستگاه قربانی اجرا می‌شوند.
dark_nexus از یک رویکرد منحصربه‌فرد برای محکم کردن جای پای خود بر روی ماشین استفاده می‌کند. بدین ترتیب که کد بدافزار بات‌نت حاوی فهرستی از پروسه‌های مجاز و روش‌هایی برای شناسایی پروسه‌هاست تا از این طریق پروسه‌های مزاحم از دید dark_nexus متوقف شوند.
بات‌نت دارای دو سرور فرماندهی (C۲) است و یک سرور دیگر نیز وظیفه گزارش دهی در خصوص سرویس‌های آسیب‌پذیر شامل IP و شماره درگاه‌های آن‌ها در فرایند شناسایی را انجام می‌دهد.
نشانی‌های سرور یا در کدهای نسبتاً کوچکی که نقش Downloader رادارند تزریق‌شده‌اند و یا در بعضی از نمونه‌ها قابلیت پراکسی معکوس (Reverse Proxy) ارتباطات میان بات و سرورها را برقرار می‌کند. پراکسی معکوس در dark_nexus موجب تبدیل هر قربانی به یک پراکسی برای سرور میزبان شده و از این طریق بر روی درگاه‌های تصادفی به سرویس‌دهی می‌پردازد.
حملات اجراشده توسط بات‌نت معمولی گزارش‌شده‌اند. البته با ذکر یک استثنا و آن قابلیت اجرای فرمان browser_http_req است که به گفته Bitdefender بسیار پیچیده و قابل پیکربندی بوده و ترافیک‌هایی نظیر ترافیک مرورگر را عادی جلوه می‌کند.
امکان جالب دیگر dark_nexus قابلیتی برای جلوگیری از راه‌اندازی مجدد شدن دستگاه است. بدین منظور سرویس cron هک و متوقف‌شده و هم‌زمان مجوز فایل‌های اجرایی که می‌توانند در راه‌اندازی مجدد ماشین نقش دارند عزل می‌شود.
محققان معتقدند که توسعه‌دهنده بات‌نت، فردی با شناسه greek.Helios است که برای سال‌ها سرویس‌های DDoS را در تالارهای گفتگوی اینترنتی مهاجمان تبلیغ می‌کرده است.
همچنین پراکسی‌های socks۵ در چندین نسخه از بدافزار مورداستفاده توسط این بات‌نت شناسایی‌شده است. قابلیتی که در بات‌نت‌های دیگری همچون نسخه‌هایی از Mirai، TheMoon و Gwmndy استفاده می‌شود.
فروش دسترسی به این پراکسی‌ها در تالارهای گفتگوی اینترنتی مهاجمان می‌تواند یکی از انگیزه‌های گرداننده این بات‌‌نت باشد. اگرچه Bitdefender اعلام کرده که سندی برای اثبات این نظریه نیافته است.
مشروح گزارش Bitdefender در لینک زیر قابل دریافت و مطالعه است:

https://www.bitdefender.com/files/News/CaseStudies/study/۳۱۹/Bitdefender-PR-Whitepaper-DarkNexus-creat۴۳۴۹-en-EN-interactive.pdf
نشانه‌های آلودگی (IoC) این بات‌نت از آدرس زیر قابل دریافت هستند:

https://github.com/bitdefender/malware-ioc/blob/master/dark_nexus/all_bots.txt

منبع:

افتا

موضوع:

تازه ترین ها
تصمیم‌گیری
1404/05/30 - 11:03- آسیا

تصمیم‌گیری درباره جریمه اس کی تلکام

نهاد ناظر حفاظت از داده‌ها روز پنجشنبه اعلام کرد هفته آینده جلسه‌ای عمومی برگزار خواهد کرد تا درباره اعمال جریمه علیه شرکت اس کی تلکام به‌دلیل یک نقض امنیتی بزرگ که ده‌ها میلیون مشتری را تحت تأثیر قرار داده است، تصمیم‌گیری کند.

محدودیت
1404/05/30 - 10:34- آسیب پذیری

محدودیت دسترسی شرکت‌های چینی توسط مایکروسافت

مایکروسافت اعلام کرد که دسترسی برخی شرکت‌های چینی به سیستم هشدار زودهنگام خود برای آسیب‌پذیری‌های امنیت سایبری را محدود کرده است.

اتهام
1404/05/30 - 10:24- جرم سایبری

اتهام به جوان آمریکایی در پرونده رپربات

وزارت دادگستری ایالات متحده اعلام کرد یک مرد ۲۲ ساله اهل اورگن به اتهام راه‌اندازی یک سرویس قدرتمند بات‌نت اجاره‌ای که برای انجام صدها هزار حمله سایبری در سراسر جهان استفاده شده است، تحت پیگرد قضایی قرار گرفته است.

مطالب مرتبط

در این بخش مطالبی که از نظر دسته بندی و تگ بندی مرتبط با محتوای جاری می باشند نمایش داده می‌شوند.