- خانه
- محصولات و خدمات
- امنیت نقاط پایانیامنیت نقاط پایانی پیشرفتهامنیت دادهامنیت زیر ساخت شبکهمدیریت فناوری اطلاعاتحفاظت الکترونیکامنیت نقاط پایانی
امنیت نقاط پایانی (Endpoint Protection Platform)
(آنتی ویروس سازمانی پادویش بیس) Padvish Base
(آنتی ویروس سازمانی پادویش کورپوریت) Padvish Corporate
Kaspersky Small Office Security
Kaspersky Endpoint Security Select
Kaspersky Endpoint Security Advanced
Kaspersky Total Security for Business
Kaspersky Endpoint Security Cloud
Kaspersky Endpoint Security Cloud Plus
Kaspersky Hybrid Cloud Security
(ضد باجگیر سازمانی پادویش) Padvish Anticrypto
Kaspersky Security for Storage
امنیت نقاط پایانی پیشرفتهمرکز کشف و پاسخ نقاط پایانی (Endpoint Detection & Response)مرکز کشف و پاسخ مدیریت شده (Managed Detection & Response)مرکز کشف و پاسخ پیشرفته (eXtended Detection & Response)امنیت دادهامنیت زیر ساخت شبکهفایروال و مدیریت یکپارچه تهدیدات (Firewall & UTM)
APK GATE Unified Threat Management
مدیریت وقایع و امنیت اطلاعات (SIEM)
مدیریت فناوری اطلاعات(Asset Management) مدیریت داراییها
(مدیریت داراییهای پادویش) Padvish AM
(Support Management) مدیریت پشتیبانی
jsjحفاظت الکترونیک
- دانلود
- مقالات
- دعوت به همکاری
- درباره ما
- تماس با ما
- فروش آنلاین
- سفارش آنتی ویروس سازمانی
بستن
باتنت MyloBot، ارتشی نامرئی از بدافزارها !
فهرست مطالب
بدافزار MYLOBOT چیست؟
به گزارش آژانس امنیت سایبری BitSight، نسخه جدیدی از باتنت MyloBot شناسایی شدهاست؛ بدافزاری که سیستمهای ویندوزی را مورد هدف قرار میدهد.این باتنت پیشرفته توانسته به تعداد بسیاری زیادی سیستم رایانهای نفوذ کرده و آنها را تبدیل به پروکسی سرور کند. این بدافزار در چهار کشور : هند، ایالات متحده آمریکا، اندونزی و ایران نفوذ کرده است.
MyloBot توانسته به هزاران سیستم رایانهای نفوذ کند که نشان دهنده توانایی و کارایی بسیار بالای در یک مقیاس جغرافیایی بزرگ میباشد. با توجه به گزارش منتشر شده این باتنت از سال 2017 در حال فعالیت میباشد و تعداد میزبانهای آلوده شده به 250 هزار سیستم منحصر به فرد میرسیده است. هم اکنون با شناسایی این بدافزار تعداد میزبانها به میزان قابل توجهی کاهش یافته است و به رقم 50هزار سیستم رسیده است.
با جستجوهای عمیقتر در زیرساخت MyloBot وابستگی به سرویس پروکسی محلی BHProxies یافته شده است. به نظر میرسد این باتنت در سیستمهای لیست شده در سرویس پروکسی BHProxies نفوذ کرده و همانند یک انگل از قدرت پردازشی و منابع آنها برای اهداف غیر قانونی خود بهره میبرد.
بررسی عملکرد باتنت MyloBot
این باتنت به غیرقابل شناسایی بودن مشهور است؛ توسعه دهندگان این بدافزار آن را به گونهای طراحی کردهاند که آنالیز و درک آن را بسیار مشکل میکند. MyloBot می تواند به عنوان یک دانلود کننده بدافزار عمل کند و سیستم قربانی را با ابزارهای مخرب دیگر و انواع payloadها آلوده کند. که در نتیجه به حمله کنندگان اجازه بارگذاری و اجرای جدیدترین نوع بدافزارها را بروی سیستم قربانی میدهد.
مهمترین حمله سایبری توسط این بدافزار به سال گذشته میلای باز میگردد، هنگامی که MyloBot درگیر یک کمپین مالی بود و از طریق نقاط پایانی هک شده؛ اقدام به ارسال ایمیلهای اخاذی برای گیرندگان ناآگاه میکرد. در این ایمیلها قربانیان تهدید به افشای اطلاعات خصوصی در سطح اینترنت میشدند مگر اینکه اقدام به پرداخت باج به ارزش 2,700 دلار نمایند.
اولین نمونه این بدافزار در سال 2017 شناسایی شد، که در آن زمان دارای سه مرحله اجرایی بود، در آخرین مرحله کدهای مربوط به پروکسی بارگذاری میشد و سیستمهای آلوده شده را تبدیل به پروکسی سرور میکرد. با گذشت زمان، MyloBot پیچیدهتر شدهاست و دارای سطوح مختلفی برای دانلود بدافزار و پیلودهای رمزگذاری شده، رمزگشایی آنها و تزریق به درون پردازههای دیگر دارد.
در قدم اول: بدافزار به مدت دو هفته پس از استقرار در سیستم قربانی غیرفعال باقی میماند این تکنیک باعث جلوگیری از شناسایی سریع آن میشود. بعد از این دوره نهفتگی، اقدام به دریافت دادههای رمزگذاری شده میکند که با استفاده از الگوریتم بسیار سریع و ساده اقدام به رمزگشایی آن میکند، کدهای دریافت شده وظیفه اجرای مرحله بعدی را به عهده دارد که در واقع بارگذاری خود بدافزار MyloBot برروی سرور قربانی است. پس از بارگذاری MyloBot و استقرار در سیستم اقدام به برقراری ارتباط با سرور C2 خود میکند و تا وقتی که دستور جدیدی دریافت نکرده بدون هیچ واکنشی در سیستم باقی میماند.
این بدافزار میتواند به عنوان یک ابزار بسیار قوی برای گروه مجرمان سایبری هدایت کننده باتنت عمل کند و ضمن ایفای نقش گره میانی برای ترافیک هدایت شده از سمت سرور C2 ، با دانلود payload های مختلف که به صورت رمزگذاری شده، رایانه قربانی را تبدیل به یک گره برای انتشار بیشتر بدافزارهای مختلف کند.با بررسیهای بیشتر انجام شده در عملکرد آن، تعداد سرورهای کنترلی این بدافزار در نسخه جدید به سه آدرس زیر ختم میشود:
- fywkuzp[.]ru:7432
- dealpatu[.]ru:8737
- rooftop7[.]ru:8848
جمع بندی
به نظر میرسد، احتمال دخیل بودن بدافزار MyloBot در یک عملیات بسیار بزرگ تر وجود دارد. گروههای هکری برای افزایش درآمد خود دست به راه اندازی سرویسهای مخرب میزنند و در ازای دریافت هزینه آن را در اختیار گروههای هکری دیگر قرار میدهند. به این زیرساخت اصطلاحاً MaaS(Malware as a Service) گفته میشود که در سالهای اخیر تعداد آنها افزایش یافته است. محققان امنیت سایبری چنین عملکردی را بسیار محتمل میدانند. گروههای هکری از چنین سرویسهایی برای اجرای حملات گسترده DDOS، میزبانی بدافزارهای مختلف و استفاده از پروکسی سرور برای ناشناس ماندن در سطح اینترنت استفاده میکنند.