امنیت

سیستم‌عامل و نرم‌افزار

فناوری اطلاعات

June 30, 2020
10:53 سه شنبه، 10ام تیرماه 1399
کد خبر: 113554

حملات بدافزاری به ویندوز از طریق دیکشنری

بات‌نت جدیدی به نام لوسیفر مشاهده شده است که می‌تواند توسط یک دیکشنری حملات خود را آغاز کند و سیستم‌های ویندوزی را مورد هدف قرار می‌دهد.
 
لوسیفر (Lucifer) یک بات‌نت مخرب و ترکیب جدیدی از cryptojacking و نوعی بدافزار DDoS است که منجر به اکسپلویت آسیب‌پذیری‌های قدیمی و انجام فعالیت‌های مخرب روی سیستم عامل‌های ویندوز می‌شود. این بات‌نت پس از آلوده کردن سیستم، آن را توسط رباتی به یک کلاینت استخراج رمزارز (cryptomining) تبدیل کرده و از این طریق می‌تواند حملات انکار سرویس توزیع‌شده (DDoS) را آغاز کند.
 
نویسنده بدافزار، این ربات را Satan DDoS نامگذاری کرده است، اما محققان پالو آلتو، به آن لقب لوسیفر داده‌اند، زیرا بدافزار دیگری نیز با همین نام (Satan Ransomware) وجود دارد. در ۲۹ام ماه می ۲۰۲۰، محققان پالو آلتو، نوع جدیدی از بدافزار ترکیبی cryptojacking را کشف کردند که آسیب‌پذیری با شناسه "CVE-۲۰۱۹-۹۰۸۱"را اکسپلویت می‌کند. طبق گزارش مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانه ای)، بدافزار لوسیفر قادربه انجام حملات DDoS و همچنین اکسپلویت آسیب‌پذیر ویندوز است.
 
لوسیفر بسیار قدرتمند است، این بات‌نت علاوه بر آن که می‌تواند XMRig را جهت cryptojacking Monero حذف کند، قادر است از طریق اکسپلویت آسیب‌پذیری‌های مختلف، نظارت بر سرور کنترل و فرمان را نیز  برعهده  گرفته  و حملات EternalBlue, EternalRomance و DoublePulsar را  علیه اهداف آسیب‌پذیر اینترانت اجرا کند. پیش از این هم درباره اکسپلویت EternalBlue هشدار داده شده بود که یکی از ابزارهای جاسوسی سازمان امنیت ملی امریکا (NSA) است که توسط گروه دلالان سایه افشا شد و در حمله باج‌افزاری واناکرای نقش اصلی را بازی می‌کرد.
 
لوسیفر قادر به حذف XMRig Monero بوده و شامل ماژول DDoS است و مکانیزم خود را با اکسپلویت آسیب‌پذیری‌های متعدد و اجرای حملات جدی پیاده‌سازی خواهد کرد. در ابتدا این بدافزار به‌منظور آلوده کردن هاست‌های خارجی، یک آدرس IP غیرخصوصی تولید کرده و سپس قربانی که به‌طور تصادفی انتخاب شده است را با درخواست‌های ‌HTTP روی تعدادی از پورت‌ها مورد بررسی قرار می‌دهد.
 
مهاجم می‌تواند پس از به خطرافتادن سیستم قربانی توسط این بات‌نت، دستورات دلخواه را روی دستگاه آلوده اجرا کند. کارشناسان دریافتند که لوسیفر قادر است که هم اینترنت و هم اینترانت هاست‌های ویندوز را مورد هدف قرار دهد. این بدافزار می‌تواند توسط یک دیکشنری حملات بی‌رحمانه خود را آغاز کند، که در این حملات، بدافزار متکی به یک دیکشنری با هفت نام کاربریِ “sa” “SA” “su” “kisadmin” “SQLDebugger” “mssql”و “1234Chred”و صدها گذرواژه است.
 
نرم‌افزارهای آسیب‌پذیر عبارتند از: Rejetto HTTP File Server، Jenkins، Oracle Weblogic، Drupal، Apache Struts، Laravel framework و Microsoft Windows. با توجه به اهمیت این مسئله، مرکز ماهر توصیه می‌شود هر چه سریع‌تر به‌روزرسانی‌ها و وصله‌های امنیتی نرم‌افزارهای تحت تأثیر را اعمال کرده و همچنین جهت جلوگیری از حملاتی که از طریق دیکشنری انجام می‌شوند، از گذرواژه‌های قوی استفاده کنید.
 
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.