کشف بدافزاری که در کنار ارزکاوی پنهان حملات DDoS هم انجام می‌دهد

کشف

گروه تحقیقاتی «Palo Alto Networks Unit 42» دو نسخه از بدافزار لوسیفر را شناسایی کرده‌اند. هر دوی این بدافزارها با نام Satan DDos شناخته می‌شوند، اما گروه تحقیقاتی مورد بحث به خاطر تشابه اسمی با Satan Raas تصمیم گرفته نام لوسیفر را برای آن انتخاب کند.

اولین نسخه از این بدافزار پس از دسترسی موفق به آدرس IP واحد فرماندهی و کنترل (C&C) را رمزگشایی کرده و از اطلاعات آن برای ساخت یک شی جهش یافته استفاده کند. پس از آن نیز از کلیدهای رجیستری و تسک‌های زمان‌بندی شده بهره می‌برد تا تشخیص دهد آیا در هر کدام از آن کلیدها داده‌هایی مربوط به استخراج رمزارز ذخیره شده یا نه. در این حین لوسیفر سیستم اشکال‌زدایی خودش را فعال کرده و از رشته‌های متعددی برای پیاده سازی سیستم استخراج خودش استفاده می‌کند.

لوسیفر از روش‌های متعددی برای انتشار و شیوع بدافزار استفاده می‌کند. تیم تحقیقاتی Unit 42 مشاهده کرده که این بدافزار از تکنیک‌های حمله جستجوی فراگیر برای دسترسی به پورت‌های مختلف استفاده می‌کند و همچنین از تعداد قابل توجهی حفره امنیتی بهره می‌برد.

 

در کنار حمله جستجوی فراگیر به بخش‌های مختلف، بدافزار از سیستم تکثیر اختصاصی خودش هم استفاده می‌کند. برای آلوده سازی شبکه داخلی، این بدافزار وارد هر بخش شده و هنگامی که پورت باز است ابزارهای خودش را اجرا می‌کند. بعد از دسترسی موفقیت آمیز، از گواهی اولیه برای انتشار بدافزار استفاده می‌شود.

بعد از این ماجرا، لوسیفر وارد چرخه‌ای بی‌نهایت شده تا به صورت دائمی با سرویس C&C در ارتباط باشد. برقراری این ارتباط به معنای آن است که بدافزار می‌تواند به خوبی فعالیت‌های استخراجی و حملات DDoS خودش را مدیریت کرده و ساختارش را مدام ترمیم کند.

هر دو نسخه لوسیفر عملکردی نسبتا مشابه با یکدیگر دارند؛ این بدافزار به خوبی الزام حیاتی به‌روز‌رسانی سیستم‌های امنیتی سازمان‌های مختلف را نشان می‌دهد. آنها می‌توانند از تمام آسیب پذیری‌ها و حفره‌های امینیتی سیستم‌های مدیریتی نهایت بهره را برده و به عملکرد کلی سیستم صدمه وارد کنند.

دیدگاه ها (0)

دیدگاه خود را بیان کنید