شرکت آکامایی جزئیات تجزیه و تحلیل یک بات‌نت فست‌فلاکس که از ۱۴ هزار IP ساخته شده را منتشر کرد

کارشناسان آکامایی یک بات‌نت در حال اجرا را شناسایی کردند که از بیش از ۱۴ هزار سامانه‌ی خطرناک برای توزیع بدافزار استفاده می‌کند. مدیران بات یک روش به نام فَست فلاکس را اجرا می‌کنند تا از کار انداختن این زیرساخت سخت باشد. عاملان تهدید شیوه‌ی فَست‌فلاکس را اجرا می‌کنند که در آن یک دامنه با استفاده از آدرس‌های آی‌پی چندگانه توسط تعویض یک دامنه با دیگری، میزبانی می‌شود. به‌واسطه‌ی تغییر سوابق DNS، آدرس‌های آی‌پی با فرکانس بسیار بالا در داخل و خارج تغییر می‌کنند. شیوه‌ی فَست‌فلاکس اولین بار در سال ۲۰۱۶ میلادی توسط انواع بدافزار استورم‌ورم اجرا شد.

 

آکامایی گزارش داد: «فَست‌فلاکس یک شیوه‌ی DNS است که اولین بار در سال ۲۰۰۶ میلادی معرفی شد و به طور گسترده‌ای با انواع بدافزار استورم‌ورم ارتباط دارد و می‌تواند توسط بات‌نت‌ها برای مخفی کردن انواع مختلف فعالیت‌های مخرب از جمله فیشینگ، پروکسی وب، توزیع بدافزار، ارتباطات بدفزار مورد استفاده قرار بگیرد. این شیوه به بات‌نت‌ اجازه می‌دهد تا در پشت شبکه‌ای از میزبان‌های خطرناک که همیشه در حال تغییر است، پنهان شود و در نهایت به عنوان پروکسی عمل کند و شناسایی آن‌ بسیار سخت باشد.»

 

کارشناسان توانستند یک بات‌نت را ردیابی کنند. این بات‌نت از بیش‌ از ۱۴ هزار آدرس آی‌پی که بیشتر آن‌ها از شرق اروپا گرفته شده‌اند، تشکیل شده است. شبکه‌ی فَست‌فلاکس به‌عنوان یک ارائه‌دهنده‌ی میزبانی وب‌گاه غیرقانونی برای وب‌گاه‌های غیرقانونی عمل می‌کند و خدماتی مانند گواهی‌نامه‌ها ربوده شده برای وب‌گاه‌های تجارت الکترونیکی محبوب، شماره‌های کارت اعتباری مورد نفوذ قرار گرفته با CVV و انمجن نفوذگران حرفه‌ای ارائه می‌دهد.

 

این بات‌نت برای وب‌گاه‌های فیشینگ میزبان و کارگزارهای دستور و کنترل بدافزار کار می‌کرد، آن همچنین برای انجام حملات خودکار مانند تخریب وب، تزریق اس‌کیوال و سوءاستفاده از گواهی‌نامه‌ها به کار گرفته می‌شد. تحلیل‌گران می‌گویند: «ویژگی اصلی شبکه‌ی فَست‌فلاکس این است که این شبکه به طور مدارم دامنه‌ها، آدرس‌های آی‌پی و نام کارگزارها را تغییر می‌دهد. این تغیییرات ماهیت واقعی شبکه را مبهم می‌کنند و کشف و مقابله با آن ‌را برای محققان بسیار دشوار می‌سازند.» محققان مشاهده کردند که شبکه‌ی فَست‌فلاکس براساس خدمات مخربی که ارائه می‌دهد به زیرشبکه‌های مختلفی تقسیم می‌شود:

 

بات‌نت فَست‌فلاکس

محققان معتقدند دستگاه‌ها با بدافزارهایی آلوده شده‌اند که یک مولفه‌ی پروکسی روی میزبان آلوده نصب می‌کنند. هر بار که کسی می‌خواهد به یک وب‌گاه مخرب که توسط بات‌نت آلوده شده متصل شود، کارگزار DNS، آی‌پی را از یک میزبان آلوده فراهم می‌کند که در آن زمان میزبان آن دامنه است. مولفه‌ی پروکسی میزبان آلوده، سپس ترافیک ورودی را به وب‌گاه مخرب هدایت می‌کند که در جای دیگری میزانی می‌شود. تجزیه و تحلیل این بات‌نت نشان داد که آن در دو زیرشبکه‌ی مجزا سازمان‌ یافته است:

•  زیرشبکه‌های میزبان، که برای میزبانی و هدایت ترافیک به یک وب‌گاه مخرب مورد استفاده قرار می‌گیرند.

•  زیرشبکه‌های دستور و کنترل مرکب از زیرساخت‌های دستور و کنترل بات‌نت که با کارگزارهای دستور و کنترل تفاوت دارند.

 

کارشناسان متوجه شدند که بیشتر زیرشبکه‌های میزبانی در اوکراین، رومانی و روسیه واقع شده‌اند. ترکیب زیرشبکه‌ی دستور و کنترل بات‌نت بسیار متفاوت بود. آی‌پی‌های زیرشبکه‌ی دستور و کنترل بات‌نت شامل آدرس‌های آی‌پی محرمانه مانند 192.168.x.x، 10.x.x.x، آی‌پی‌های متعلق به شرکت‌های فورچون۱۰۰ و همچنین آی‌پی ‌سازمان‌های نظامی است.

 

بات‌نت 2.PNG فَست‌فلاکس

تجزیه و تحلیل درگاه‌های آسیب‌دیده برای تمام آی‌پی‌ها نشان می‌دهد که بیشتر شبکه‌های میزبان که دارای درگاه‌های ۸۰ و ۴۴۳ بوده و بیشتر زیرشبکه‌های دستور و کنترل که دارای درگاه ۷۵۴۷ بودند، آسیب‌ دیده‌اند. تحلیل‌گران توضیح می‌دهند: «هنگام تجزیه و تحلیل زیرشبکه‌های دستور و کنترل، می‌بینیم که درگاه ۷۵۴۷ پراستفاده‌ترین درگاه است. این درگاه توسط مسیریاب‌هایی که دارای یک ابزار مدیریت TR-069 استفاده می‌شوند و این کاربرد نشان می‌دهد که چگونه دستگاه‌های آسیب‌پذیر یکسان برای اهداف یکسان مورد استفاده قرار می‌گیرند. چنین مسیریاب‌هایی به عنوان مسیریاب‌هایی که زیاد آسیب‌ می‌بینند شناخته می‌شوند و احتمالا به عنوان زیرساختی استفاده می‌شوند که مانند یک لایه‌ی پروکسی برای ارتباط بدافزار با کارگزار دستور و کنترل عمل می‌کنند.»

 

درگاه ۷۵۴۷ مخصوص پروتکل TR-069 است که توسط ابزارهای مدیریت از راه دور مسیریاب‌ها و مودم‌ها اجرا می‌شود، این دستگاه‌ها مشکوک به نمایندگی بخش خوبی از این بات‌نت‌ هستند. به گفته‌ی آکامایی، بات‌نت‌های فَست‌فلاکس می‌توانند با یک موجود زنده مقایسه شوند که در طول زمان تکامل می‌یابند تا بتوانند بقای خود را حفظ کنند، کارشناسان به بررسی تکامل آن‌ها ادامه خواهند داد.

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید