کشف بدافزاری که در کنار ارزکاوی پنهان حملات DDoS هم انجام میدهد
گروه تحقیقاتی «Palo Alto Networks Unit 42» دو نسخه از بدافزار لوسیفر را شناسایی کردهاند. هر دوی این بدافزارها با نام Satan DDos شناخته میشوند، اما گروه تحقیقاتی مورد بحث به خاطر تشابه اسمی با Satan Raas تصمیم گرفته نام لوسیفر را برای آن انتخاب کند.
اولین نسخه از این بدافزار پس از دسترسی موفق به آدرس IP واحد فرماندهی و کنترل (C&C) را رمزگشایی کرده و از اطلاعات آن برای ساخت یک شی جهش یافته استفاده کند. پس از آن نیز از کلیدهای رجیستری و تسکهای زمانبندی شده بهره میبرد تا تشخیص دهد آیا در هر کدام از آن کلیدها دادههایی مربوط به استخراج رمزارز ذخیره شده یا نه. در این حین لوسیفر سیستم اشکالزدایی خودش را فعال کرده و از رشتههای متعددی برای پیاده سازی سیستم استخراج خودش استفاده میکند.
لوسیفر از روشهای متعددی برای انتشار و شیوع بدافزار استفاده میکند. تیم تحقیقاتی Unit 42 مشاهده کرده که این بدافزار از تکنیکهای حمله جستجوی فراگیر برای دسترسی به پورتهای مختلف استفاده میکند و همچنین از تعداد قابل توجهی حفره امنیتی بهره میبرد.
در کنار حمله جستجوی فراگیر به بخشهای مختلف، بدافزار از سیستم تکثیر اختصاصی خودش هم استفاده میکند. برای آلوده سازی شبکه داخلی، این بدافزار وارد هر بخش شده و هنگامی که پورت باز است ابزارهای خودش را اجرا میکند. بعد از دسترسی موفقیت آمیز، از گواهی اولیه برای انتشار بدافزار استفاده میشود.
بعد از این ماجرا، لوسیفر وارد چرخهای بینهایت شده تا به صورت دائمی با سرویس C&C در ارتباط باشد. برقراری این ارتباط به معنای آن است که بدافزار میتواند به خوبی فعالیتهای استخراجی و حملات DDoS خودش را مدیریت کرده و ساختارش را مدام ترمیم کند.
هر دو نسخه لوسیفر عملکردی نسبتا مشابه با یکدیگر دارند؛ این بدافزار به خوبی الزام حیاتی بهروزرسانی سیستمهای امنیتی سازمانهای مختلف را نشان میدهد. آنها میتوانند از تمام آسیب پذیریها و حفرههای امینیتی سیستمهای مدیریتی نهایت بهره را برده و به عملکرد کلی سیستم صدمه وارد کنند.
دیدگاه ها (0)