مرکز امنیت و‌ رخدادهای‌ سایبری | APK

شناسایی ۵۲.۰۰۰ سرور منبع کنترلِ بدافزار

شناسایی 52.000 سرور منبع کنترلِ بدافزار

 

حدود 52.000 سرور فرماندهی و کنترل(Command & Control , C&C)   بدافزار یا Malware که به دلیل یک زنجیره‌ی آلودگی به نام EITest ، روزانه 2 میلیون بد افزار به طور پیوسته پخش می‌کردند، از کار انداخته شدند.

EITest یک Infection Chain  یا به عبارتی زنجیره ای از آلودگی‌های مخرب و پیچیده‌ی سیستمی است که مرتبط با بدافزار است و کاربران را از یک وب‌سایت در معرض خطر، به صفحات بارگذاری (Exploit Kit (EK، روش‌های مهندسی اجتماعی و خطرات بالقوه سوق می‌دهد.

EITest یکی از قدیمی‌ترین و بزرگترین Infection Chainهاست که با انتشار Ransomware و بدافزار‌های دیگر و همچنین سرقت اطلاعات، انواع مختلفی از آلودگی‌های مخرب سیستمی را پخش می‌نماید. در سال‌های اخیر، EITest یکی از فروشندگان اصلی ترافیک مخرب به عاملان (Exploit Kit (EK و عاملان مهندسی اجتماعی از طریق وب‌سایت‌های در معرض خطر است.

سابقه‌ی آلودگی EITest با Exploit Kit

در ابتدا در سال 2017، محققان پی بردند که EITest از انواع مختلفی از تاکتیک‌های مهندسی اجتماعی استفاده می‌نماید و EITest در سال 2013 مسیر کاربران را به یک EK خصوصی به نام Glazunov تغییر می‌داد و همچنین در همان سال شروع به آلوده کردن زیرساخت‌های جدید نمود. مدتی بعد نیز، EITest کاربران را به سمت (Exploit Kit (EK هدایت کرد. انگیزه‌ی اصلی این عامل خطر‌آفرین برای پخش تروجان Zaccess  و Glazunov، یک (Exploit Kit (EK خصوصی بود که تنها توسط عاملان EITest مورد استفاده قرار می‌گرفت. EITest مجددا در سال 2014 با الگوی آلوده‌سازی تازه‌ای ظاهر شد و با یک Payload جدید با 2 دسته‌بندی مجزا شروع به خرابکاری در شبکه نمود:

  • فروش بار‌ها (loadها) یا همان Infectionها
  • فروش ترافیک (به عاملان دیگر، فروشندگان بار و یا هردو)

زنجیره‌ی آلودگی اخیر از طریق EITest، عمدتا برای مهندسی اجتماعی و کلاه‌برداری‌های پشتیبانی فنی است که نهایتا به آلوده شدن توسط Ransomware یا باج‌افزار ختم می‌گردد.

از کار انداختن سرور‌های مخرب با عملیات Sinkholing

درپی تحقیقات به عمل آمده، توسط کارشناسان، دامین جدیدی ایجاد گردید و برای عملیات EITest که به یک آدرس IP جدید هدایت‌شده، عملیات Sinkholing (تغییر مسیر ترافیک از مقصد اصلی خود) را انجام می‌داد و با ایجاد آن دامین‌های جدید توانستند سرور مخرب را با یک Sinkhole تعویض کنند تا ترافیک را از Backdoorهای روی وب‌سایت‌های در معرض خطر دریافت نمایند. آن‌ها در ادامه توانستند این وب‌سایت‌ها را از C&Cهای EITest جدا کرده و در نتیجه مراجعه‌کنندگان را از ترافیک و ورودی‌های مخرب نجات دهند.

محققان، ترافیکی را که از این عملیات Sinkhole استفاده می‌کرد، آنالیز نمودند و مشاهده کردند که بین 15 مارس تا 4 آوریل 2018، Sinkhole از حدود 52.000 سرور تقریبا 44 میلیون درخواست داشته است. آن‌ها همچنین درخواست‌های مخرب را کدبرداری نموده و لیستی از دامین‌های در معرض خطر و همچنین آدرس‌های IP و Agent‌های کاربرِ مربوط به کاربرانی که سرور‌های در معرض خطر را مرور کرده بودند، را یافتند.

وب‌سایت‌های در معرض خطر، سیستم‌های مدیریت محتوای متعدد و وب‌سایت‌های  WordPress بودند، که بیشترین آلودگی را در بین وب‌سایت‌ها را داشتند.

نشانه‌های در معرض خطر بودن (IOCها) در زیر ارائه شده است:

IOC IOC Type Description
54dfa1cb[.]com|31.184.192.163 domain|ip (EITest C&C (before sinkholing
e5b57288[.]com|31.184.192.173 domain|ip (EITest C&C (before sinkholing
33db9538[.]com|31.184.192.173 domain|ip (EITest C&C (before sinkholing
9507c4e8[.]com|31.184.192.163 domain|ip (EITest C&C (before sinkholing
04d92810[.]com domain EITest Sinkhole
c84c8098[.]com domain EITest Sinkhole
e42d078d[.]com domain EITest Sinkhole
498296c9[.]com domain EITest Sinkhole
stat-dns[.]com domain Seized domain controlling the DGA

 

 

اشتراک امنیت

دسته ها