یک بدافزار به لطف روش ارتباطی که با کارگزار دستور و کنترل خود داشته، از دید محققان امنیتی ناشناس باقی مانده و کشف نشده است.

به گزارش محققان امنیتی شبکه‌ی پالوآلتو، این بدافزار با نام Dimnie در اواسط ژانویه زمانی کشف شد که در یک پویش رایانامه‌ای در قالب حملات فیشینگ، توسعه‌دهندگان متن‌باز را هدف قرار داده بود. به نظر می‌رسد رایانامه‌ها حاوی اسناد doc. هستند که در آن‌ها ماکروهای مخرب تعبیه شده و این ماکروها، دستورات پاورشِل را برای بارگیری و نصب پرونده‌های دیگر مورد استفاده قرار می‌دهند.

محققان پالوآلتو اعلام کردند نمونه‌هایی از این بدافزار را با روش ارتباط مشابه با کارگزار دستور و کنترل، اوایل سال ۲۰۱۴ میلادی مشاهده کرده‌اند. محققان در یک پست وبلاگی گفتند: «این بدافزار مانند یک بارگیری‌کننده عمل می‌کند و به‌طور ماژولار توسعه داده شده و تمامی قابلیت‌های سرقت اطلاعات را در خود دارد. تجزیه و تحلیل‌ها نشان می‌دهد هر یک از این ماژول‌ها به حافظه‌ی پردازنده‌ی اصلی در ویندوز تزریق می‌شوند. در طول فرآیند آلودگی نیز به نظر می‌رسد چندین بار روش ارتباط با کارگزار دستور و کنترل خود را تغییر می‌دهد.»

با نگاه به ارتباط این بدافزار با زیرساخت دستور و کنترل، محققان متوجه شدند که بدافزار از درخواست‌های پروکسی HTTP به سرویس پیج‌رنک گوگل استفاده می‌کند که سال گذشته از کار افتاده است. به دلیل استفاده از آدرس URL مطلق در درخواست HTTP به سرویسی که اصلا وجود ندارد، کارگزار به‌عنوان پروکسی عمل نکرده و این ساده‌ترین راه برای استتار ارتباطات دستور و کنترل است.

نتیجه‌گیری محققان امنیتی این بوده که هدف اصلی بدافزار، سرقت اطلاعات و شناسه‌های قربانی است. چارچوب ماژولار همچنین به مهاجمان اجازه می‌دهد از طیف وسیعی از قابلیت‌ها و عملکردها استفاده کنند که شاید بسیاری از آن‌ها در فرآیند تجزیه و تحلیل بدافزار مشاهده نشده است.

کارشناسان پالوآلتو در نتیجه‌گیری خود اعلام کردند: «چندین عامل باعث طول عمر زیاد بدافزار Dimnie شده است. با شبیه‌سازی ترافیک مربوط به بارگیری و بارگذاری به ترافیک عادی، توانسته راه‌حل‌های تشخیصی را دور بزند. همچنین استفاده از روش‌های ترکیبی برای ارتباطات دستور و کنترل باعث شده تا بدافزار مدت‌های طولانی ناشناخته باقی بماند.»

منبع: asis

درباره نماد امن

کانال اخبار فناوری اطلاعات نماد امن

“نماد امن” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

بدافزار Dimnie: بدافزاری که ۳ سال ناشناخته باقی ماند

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *