about-3 back-contact back-deep eitaa کانال روبیکاخبرگزاری سایبربان
امنیت زیرساخت
مطالب پربازدید
آماده‌سازی
1404/09/11 - 08:18- تروریسم سایبری

آماده‌سازی رژیم صهیونیستی در حوزه فناوری برای جنگ احتمالی بعدی با ایران

رژیم صهیونیستی در حال آماده‌سازی طیف جدیدی از سلاح‌ها و فناوری‌های جدید برای جنگ بعدی با ایران است.

هشدار
1404/09/24 - 10:47- تروریسم سایبری

هشدار رژیم صهیونیستی درمورد حملات سایبری نگران‌کننده ایران

مدیرکل اداره ملی سایبری رژیم صهیونیستی درمورد حملات ایران و احتمال جنگ سایبری هولناک هشدار داد.

هشدار
1404/10/01 - 10:44- جنگ سایبری

هشدار روزنامه اسرائیلی درباره جنگ سایبری با ایران

روزنامه اسرائیلی معاریو پس از یک سری حملات هکری علیه شخصیت‌های ارشد سیاسی و نهادهای دولتی، درباره جنگ سایبری با ایران و تشدید نفوذها هشدار داد.

انتشار شده در تاریخ

dark_nexus، فراتر از بات‌نت‌های معمول

بات‌نت جدیدی درصحنه تهدیدات سایبری ظاهرشده که محققان توانایی فوق‌العاده آن را مایه شرمساری سایر بات‌نت‌ها توصیف کرده‌اند.

به گزارش کارگروه امنیت سایبربان ، به نقل از پایگاه اینترنتی ZDNet، شرکت امنیتی Bitdefender اعلام کرده که این بات‌نت جدید بانام dark_nexus مجهز به امکانات و قابلیت‌هایی خاص بوده و فراتر از بات‌نت‌های معمول این روزها عمل می‌کند.
بات‌نت‌ها، شبکه‌هایی متشکل از ماشین‌ها، محصولات موسوم به اینترنت اشیاء (IoT) و دستگاه‌های همراه هک‌شده‌ای هستند که در سیطره یک کنترل‌کننده اصلی قرار دارند. در کنار یکدیگر از این دستگاه‌ها می‌توان برای اجرای اقدامات مخربی همچون حملات DDoS و کارزارهای ارسال انبوه هرزنامه استفاده کرد.
نام dark_nexus برگرفته از رشته dark_NeXus_Qbot/۴,۰ است که در جریان بهره‌جویی (Exploit) بر روی پودمان HTTP مورداشاره این بات‌نت قرار می‌گیرد. محققان Bitdefender کلمه Qbot در رشته مذکور را نیز نشانه‌ای از تأثیرپذیری آن از بات‌نتی با همین نام می‌دانند.
علیرغم وجود کدهای مشابه با کدهای بکار رفته در بات‌نت‌های Mirai و Qbot محققان Bitdefender اکثر امکانات dark_nexus را مختص آن می‌دانند. به‌عبارت‌دیگر اگرچه dark_nexus برخی امکانات را با بات‌نت‌های مبتنی بر اینترنت اشیاء به اشتراک می‌گذارد اما روش توسعه و برنامه‌نویسی برخی از ماژول‌های آن موجب شده که این بات‌نت بسیار قدرتمندتر و ستبرتر از سایرین باشد.
dark_nexus سه ماه است که فعال و در این مدت سه نسخه متفاوت از آن عرضه‌شده است. هانی‌پات‌ها نشان می‌دهند که حداقل ۱,۳۷۲ بات عضو dark_nexus هستند.
پس از شناسایی ماشین، بات‌نت با تکنیک Credential Stuffing و همچنین با به‌کارگیری بهره‌جوها برای هک کردن آن تلاش می‌کند. هدف دو ماژول که یکی از آن‌ها به‌صورت هم‌زمان و دیگری به‌طور غیرهمزمان مورداستفاده قرار می‌گیرد استفاده از پودمان Telnet و فهرستی از اطلاعات اصالت‌سنجی برای نفوذ به ماشین است.
همانند اکثر پویشگرهایی که توسط بات‌نت‌های متداول مورداستفاده قرار می‌گیرند پویشگر dark_nexus نیز از مدل موسوم به ماشین‌های حالات متناهی (Finite State Machines) برای به‌کارگیری پودمان Telnet و در ادامه گام‌های بعدی آلوده‌سازی پیروی کرده که بر طبق آن، مهاجم فرمان را بر مبنای خروجی فرمان‌ها قبلی صادر می‌کند.
dark_nexus برای راه‌اندازی بات از Qbot الگوبرداری کرده است: چندین انشعاب را ایجاد کرده، تعدادی سیگنال را مسدود نموده و در ادامه بات ارتباط خود را با ترمینال قطع می‌کند. سپس بات مشابه با Mirai درگاه ۷۶۳۰ را باز می‌کند.
همچنین بات به‌منظور مخفی کردن ماهیت فعالیت‌های خود نامش را به /bin/busybox تغییر می‌دهد.
بات‌نت دارای کدهای مخربی است که با ۱۲ معماری CPU سازگار بوده و بسته به پیکربندی دستگاه قربانی اجرا می‌شوند.
dark_nexus از یک رویکرد منحصربه‌فرد برای محکم کردن جای پای خود بر روی ماشین استفاده می‌کند. بدین ترتیب که کد بدافزار بات‌نت حاوی فهرستی از پروسه‌های مجاز و روش‌هایی برای شناسایی پروسه‌هاست تا از این طریق پروسه‌های مزاحم از دید dark_nexus متوقف شوند.
بات‌نت دارای دو سرور فرماندهی (C۲) است و یک سرور دیگر نیز وظیفه گزارش دهی در خصوص سرویس‌های آسیب‌پذیر شامل IP و شماره درگاه‌های آن‌ها در فرایند شناسایی را انجام می‌دهد.
نشانی‌های سرور یا در کدهای نسبتاً کوچکی که نقش Downloader رادارند تزریق‌شده‌اند و یا در بعضی از نمونه‌ها قابلیت پراکسی معکوس (Reverse Proxy) ارتباطات میان بات و سرورها را برقرار می‌کند. پراکسی معکوس در dark_nexus موجب تبدیل هر قربانی به یک پراکسی برای سرور میزبان شده و از این طریق بر روی درگاه‌های تصادفی به سرویس‌دهی می‌پردازد.
حملات اجراشده توسط بات‌نت معمولی گزارش‌شده‌اند. البته با ذکر یک استثنا و آن قابلیت اجرای فرمان browser_http_req است که به گفته Bitdefender بسیار پیچیده و قابل پیکربندی بوده و ترافیک‌هایی نظیر ترافیک مرورگر را عادی جلوه می‌کند.
امکان جالب دیگر dark_nexus قابلیتی برای جلوگیری از راه‌اندازی مجدد شدن دستگاه است. بدین منظور سرویس cron هک و متوقف‌شده و هم‌زمان مجوز فایل‌های اجرایی که می‌توانند در راه‌اندازی مجدد ماشین نقش دارند عزل می‌شود.
محققان معتقدند که توسعه‌دهنده بات‌نت، فردی با شناسه greek.Helios است که برای سال‌ها سرویس‌های DDoS را در تالارهای گفتگوی اینترنتی مهاجمان تبلیغ می‌کرده است.
همچنین پراکسی‌های socks۵ در چندین نسخه از بدافزار مورداستفاده توسط این بات‌نت شناسایی‌شده است. قابلیتی که در بات‌نت‌های دیگری همچون نسخه‌هایی از Mirai، TheMoon و Gwmndy استفاده می‌شود.
فروش دسترسی به این پراکسی‌ها در تالارهای گفتگوی اینترنتی مهاجمان می‌تواند یکی از انگیزه‌های گرداننده این بات‌‌نت باشد. اگرچه Bitdefender اعلام کرده که سندی برای اثبات این نظریه نیافته است.
مشروح گزارش Bitdefender در لینک زیر قابل دریافت و مطالعه است:

https://www.bitdefender.com/files/News/CaseStudies/study/۳۱۹/Bitdefender-PR-Whitepaper-DarkNexus-creat۴۳۴۹-en-EN-interactive.pdf
نشانه‌های آلودگی (IoC) این بات‌نت از آدرس زیر قابل دریافت هستند:

https://github.com/bitdefender/malware-ioc/blob/master/dark_nexus/all_bots.txt

منبع:

افتا

موضوع:

تازه ترین ها
همکاری
1404/11/19 - 16:11- هوش مصنوعي

همکاری گلدمن ساکس با استارتاپ آنتروپیک

بانک گلدمن ساکس با استارتاپ آنتروپیک برای خودکارسازی وظایف بانکی توسط هوش مصنوعی همکاری می‌کند.

تشخیص
1404/11/19 - 15:12- هوش مصنوعي

تشخیص بیماری‌های دریچه قلب توسط هوش مصنوعی

گوشی پزشکی هوش مصنوعی، تشخیص بیماری‌های دریچه قلب را دوبرابر می‌کند.

هشدار
1404/11/19 - 14:02- جرم سایبری

هشدار ساب‌استک به مشتریان در مورد نشت داده

مشتریان پلتفرم خبرنامه‌نویسی ساب‌استک روز چهارشنبه مطلع شدند که آدرس‌های ایمیل، شماره تلفن‌ها و سایر ابرداده‌های آنان در یک نشت داده اخیر افشا شده است.

مطالب مرتبط

در این بخش مطالبی که از نظر دسته بندی و تگ بندی مرتبط با محتوای جاری می باشند نمایش داده می‌شوند.