بدافزاری که ریشه در گذشته دارد
بدافزار فوق که MM Core نام دارد، اولین بار در آوریل سال 2013 میلادی شناسایی شد. پژوهشگران شرکت امنیتی فایرآی در آن زمان اعلام کردند، قابلیتهای این بدافزار در نوع خود جالب توجه است. به دلیل اینکه سعی میکند اطلاعاتی در ارتباط با ماشینی که آنرا آلوده کرده جمعآوری کرده و در ادامه این اطلاعات را برای یک سرور راه دور ارسال کند. پس از انجام اینکار یک درب پشتی را روی ماشین قربانی نصب میکند. اولین نسخه از این بدافزار به نام BaneChant عمدتا شرکتها و سازمانهایی که در شرق آسیا و آسیای مرکزی قرار داشتند را هدف قرار داده بود. بدافزار فوق از شگرد هوشمندانهای برای فریب سامانههای امنیتی استفاده میکرد. این بدافزار زمانی که روی سیستم قربانی قرار میگرفت پیش از آنکه فعالیت خود را آغاز کند، صبر میکرد تا قربانی چند کلیک با ماوس انجام دهد. به این شکل بدافزار این توانایی را داشت تا از مکانیزم سندباکس موسوم به جعبه شنی فرار کند.
این بدافزار برای آنکه مانع از آن شود تا سرور کنترل و فرماندهی در فهرست سیاه نرمافزارهای امنیتی قرار گیرد از سرویسهایی که برای کوتاهسازی آدرسهای اینترنتی در دسترس کاربران قرار دارند استفاده میکرد. همچنین به جای آنکه کدهای مخرب را در قالب یک فایل روی هارددیسک کاربران قرار دهد، کدها را درون حافظه اصلی قرار میداد تا به این شکل پژوهشگران امنیتی این شانس را نداشته باشند تا اطلاعات زیادی در ارتباط با این بدافزار به دست آورند.
نگارش جدید تنها سه ماه پس از شناسایی منتشر شد
در ژوئن همان سال، پژوهشگران موفق شدند نگارش جدیدی از بدافزار MM Core را شناسایی کنند. این بدافزار که همراه با برچسب LNK-2.1 شناسایی شده بود StrangeLove نام گرفت. نسخه جدید همان فعالیتهای قبلی را انجام میداد با این تفاوت که دانلودکننده به شکل دیگری کار میکرد. این نسخه نیز شرق آسیا و آسیای میانه را به عنوان اهداف خود انتخاب کرده بود.
دو نگارش جدید در سال 2017
اما پژوهشگران به تازگی دو نسخه جدید از این بدافزار به نامهای BigBoss و SillyGoose را شناسایی کردهاند. نسخه BigBoss کار خود را از سال 2015 میلادی آغاز کرده و sillyGoose از سپتامبر 2016 (شهریورماه) کار خود را آغاز کرده است. نسخههای جدید کاربرانی که در آفریقا و ایالات متحده ساکن هستند را به عنوان اهداف خود انتخاب کردهاند. این دو بدافزار سایتهای خبری، دولتی، صنایع نفت/گاز و مخابرات را به عنوان اهداف خود برگزیده است. این دو نسخه دقیقا همان درب پشتی که دو نگارش قبلی روی ماشینهای قربانیها نصب میکردند را با نام متفاوت قرار میدهند.
این دو بدافزار از آسیبپذیری نرمافزار ورد با شناسه CVE-2015-1641 سوء استفاده کرده و فرآیند دانلود را کامل میکنند. جالب آنکه تعدادی از مولفههای دانلود از یک گواهینامه دیجیتالی معتبر که از سوی یک شرکت روسی به نام Bor Port ارائه شده استفاده میکنند. پژوهشگران امنیتی اعلام کردهاند، هکرها به احتمال زیاد این گواهینامهها را به سرقت بردهاند. هکرها برای آنکه مانع از آن شوند که بدافزارها از سوی پژوهشگران امنیتی شناسایی شود از سرویس محافظت از حریم خصوصی WHOIS استفاده کردهاند تا امکان شناسایی سرورهای کنترل و فرماندهی امکانپذیر نباشد. تحلیلها نشان میدهند که پلتفرم، فناوری و کدهایی که همه این بدافزارها از آنها برای آلودهسازی ماشینها استفاده میکنند به پروژهای به نام Gratem تعلق دارد. Gratem یک دانلود کننده قدرتمند است که از سال 2014 در اختیار کاربران قرار گرفته است. پژوهشگران امنیتی اعلام داشتهاند: «به نظر میرسد MM Core بخشی از یک سناریو تهدید وسیع است که هنوز تمامی پازلهای مربوط به آن شناسایی نشدهاند.»
ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را میتوانید از کتابخانههای عمومی سراسر کشور و نیز از دکههای روزنامهفروشی تهیه نمائید.
ثبت اشتراک نسخه کاغذی ماهنامه شبکه
ثبت اشتراک نسخه آنلاین
کتاب الکترونیک +Network راهنمای شبکهها
- برای دانلود تنها کتاب کامل ترجمه فارسی +Network اینجا کلیک کنید.
کتاب الکترونیک دوره مقدماتی آموزش پایتون
- اگر قصد یادگیری برنامهنویسی را دارید ولی هیچ پیشزمینهای ندارید اینجا کلیک کنید.
نظر شما چیست؟