‫‫ظهور دوباره بدافزار StealRat‎

1 دیدگاه
دسته بندی: آموزش, اخبار, امنیت
‫‫ظهور دوباره بدافزار StealRat‎

شبکه‌های بات

‫شبکه بات شبکه‌ای از میزبان‌های آلوده است که تحت کنترل بک مرکز فرمان دهی واحد (سرور کنترل و فرمان) بوده و با دریافت فرامین از این مرکز اقدامات متناسبی را انجام می‌دهد. سرور کنترل و فرمان (C&C)، کامپیوتری است که فعالیت‌های کامپیوترهای آلوده به بات، روتکیت، worm و یا هر بدافزاری که جهت به‌روز رسانی و گرفتن فرامین به کامپیوتر دیگری وابسته هستند را هماهنگ می‌کند. سرور C&C ممکن است به کامپیوترهای آلوده بگوید که چه نوع اطلاعاتی را به سرقت ببرند، بدافزار موجود را به‌روز رسانی نماید و یا بدافزار جدیدی بر روی کامپیوترهای آلوده نصب نمایند.

اهداف شبکه های بات

اهداف شبکه‌های بات شامل موارد زیر می‌باشند:

  • حملات منع سرویس توزیع شده (DDOS) جهت متوقف ساختن ارائه خدمات الکترونیک سازمان‌ها
  • اشتراک گذاری منابع سیستم‌های قربانی جهت استفاده حمله کننده
  • میزبانی داده‌ها و اطلاعات غیرقانونی بر روی قربانیان و سرورهای کنترل و فرماندهی
  • مصرف منابع سیستم‌های قربانی

جزییات بات stealrat

Stealrat نوع جدیدی از شبکه بات انتشار spam می‌باشد که از یک روش جدید برای انتشار spam استفاده می‌نماید و عملکرد این بات به شرح زیر است:

  • جمع آوری اطلاعات spam از قبیل نام فرستنده و نام گیرنده و فرمت ایمیل اسپم spam server و ارسال آن‌ها به سایت قربانی توسط سیستم آلوده به بات stealrat
  • ارسال ایمیل‌های spam به کاربران توسط سایت قربانی
  • ترغیت کاربران به کلیک بر روی لینک های ایمیل spam جهت هدایت به وب سایت قربانی دوم

انتشار بدافزار توسط ایمیل spam انجام نمی‌گیرد بنابراین ارتباط میان ایمیل spam و بدافزار قابل مشاهده نیست.

این ایمیل‌ها شامل لینک‌هایی است که کاربران را به وب سایت قربانی دوم هدایت می‌کند. در وب سایت دوم نیز لینک‌هایی وجود دارد که شامل صفحه وب آنلاین داروخانه و یا صفحاتی است که کاربر را به کلیک بر روی آنها ترغیت می‌نماید.

نکته جالب توجه این است که stealRat تلاش می‌کند از طریق تغییر نام دامنه به google.com، پنهان سازی ترافیک شبکه و همچنین عدم ارتباط مستقیم با C&C رد پایی از خود بر جای نگذارد و تشخیص و شناسایی آن به آسانی انجام نگیرد.

 راه کارهای شناسایی:

نقطه مشترک وب سایت‌های آلوده استفاده از CMS‌های آماده‌ای مانند وردپرس، جوملا و دروپال می‌باشد.

در ادامه برخی راه‌های بررسی و تشخیص بات نت stealrat در وب سایت‌های مشکوک به آلودگی آموزش داده خواهد شد.

اولین قدم چک کردن اسکریپ‌های اسپمر است که عموما با نام sm13e.php یا sm14e.php یافت می‌شود، اما توجه کنید که این اسکریپت‌ها ممکن است بر اساس نام فایل تغییر کند، لذا بهتر است هر فایل PHP نا آشنایی چک شود. نام فایل‌هایی که تاکنون شناسایی شده‌اند به شرح ذیل می‌باشد:

  1. copy.php
  2. up.php
  3. Del.php
  4. path.php
  5. bak.php
  6. utf.php
  7. bannerEB3Y.php
  8. returnMoCo.php
  9. sitemapuuA.php
  10. themesqx10.php

برای جلوگیری از آسیب و حذف فایل‌های مخرب استفاده از اسکریپت CXS شدیدا توصیه می‌گردد.

قدم دوم، جستجو برای رشته‌های زیر در فایل‌های زیر می‌باشد، چون یکی از دلایل آلودگی وب سایت، وجود یک یا هر دو رشته‌ی زیر در کدها است.

  • die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321)
  • die(PHP_OS.chr(49).chr(49).chr(43).md5(0987654321)

این رشته‌ها قسمتی از کد «die» فایل PHP است (مثلا وقتی که پارامتر خاصی ندارد). به‌نظر می‌رسد فایل sm14e.php آخرین نسخه از رشته موجود در مقایسه با sm13e.php نسخه قبل این رشته از چندین آدرس ایمیل برای ارسال اسپم پشتیبانی می‌کند. به‌جز این تفاوت هر دو نسخه کنونی و قبل دارای فایل PHP یکسان با پارامترهای ورودی ذیل می‌باشد:

  1. آدرس رایانامه‌ (برای ارسال هزرنامه به آن)
  2. نُه (۹) نویسه که به‌طور تصادفی تولید شده‌اند
  3. کارگزار رایانامه (به‌طور مثال گوگل‌میل)
  4. قالب رایانامه‌

پاسخ‌ها بسته به درخواست‌های ارسال شده و روتین اسپم می‌تواند متغیر باشد.

روش جستجوی رشته‌ها در سرورهای لینوکس و ویندوز:

در سیستم‌های لینوکس می‌توان رشته‌های ذکر شده را به کمک دستور زیر جستجو نمود:

grep “die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321″ /path/to/www/folder/

به جای عبارت «/path/to/www/folder/» باید مسیر مربوطه برای جستجو وارد شود.

و در سیستم‌های ویندوز می‌توان رشته‌های را به کمک دستور زیر جستجو نمود.

content:”die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321″

سومین قدم، استفاده از نرم‌افزار SpyHunter جهت اسکن و پاکسازی می‌باشد.

در صورت تمایل و عدم آشنایی کافی می‌توانید بررسی و پاکسازی این بات را به بخش امنیت ایران‌سرور واگزار نمایید، برای این منظور کافی است یک تیکت ارسال نمایید.

امتیاز شما

مایلید هر دو هفته یک ایمیل مفید دریافت کنید؟

ما را در شبکه‌های اجتماعی دنبال کنید

همچنین شاید دوست داشته باشید!

راهنمای قدم به قدم نصب ماتومو (Matomo)

0
ماتومو «Matomo» یکی از ابزارهای قدرتمند و متن‌باز در حوزه تجزیه‌وتحلیل وب است که به کاربران امکان می‌دهد تا اطلاعات دقیق و ارزشمندی از عملکرد…
SDK چیست

SDK چیست و چه کاربردی دارد؟

0
در دنیای توسعه نرم‌افزارها، ابزارها و تکنولوژی‌های بسیاری برای تسهیل فرآیند ساخت و پیاده‌سازی اپلیکیشن‌ها وجود دارد. یکی از مهم‌ترین این ابزارها، SDK یا Software…

نظرات کاربران

1 دیدگاه. دیدگاه تازه ای بنویسید

  • سیدمهدی حسینی
    14 بهمن 1393 10:57

    با سلام از اطلاع رسانیتان
    لطفا در یک مطلب آموزشی مراحل کامل نصب cxs و پاکسازی این بات را توضیح بفرمایید.
    با تشکر

    پاسخ

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.

این فیلد را پر کنید
این فیلد را پر کنید
لطفاً یک نشانی ایمیل معتبر بنویسید.
شما برای ادامه باید با شرایط موافقت کنید

فهرست