*مینا*
مــدیـر بـازنشـسـتـه
- تاریخ ثبتنام
- Sep 12, 2013
- ارسالیها
- 3,063
- پسندها
- 366
- امتیازها
- 83
- محل سکونت
- زیر اسمون خدا
- تخصص
- ترانه سرا
- دل نوشته
- هر وقت دلت شکست خورده هاشو خودت جمع کن نزار هر نامردی منت دست زخمیشو روت بزاره
- بهترین اخلاقم
- بخشیدن
- مدل گوشی
-
- سیم کارت
-
- تیم ایرانی مورد علاقه
-
- تیم باشگاهی مورد علاقه
-
[h=2]تحلیل شبكه بات بانكی فعال در كشور (GameOverZeus)[/h]
در هفته گذشته بات نت Game over zeus با اجرای قوانین بین المللی و با همكاری مراكز، شركت ها و سازمان های فعال در زمینه بدافزار شناسایی و به حالت تعلیق درآمد. آنچه اهمیت دارد آن است كه از لحاظ فنی باز پس گرفتن كنترل بات ها غیرممكن نیست، بنابراین شناسایی، رفع آلودگی سیستم های قربانی و زامبی ها به این گونه بات ها بسیار پراهمیت است. درحال حاضر بیش از یك میلیون كامپیوتر توسط Game over zeus آلوده شده اند.
ساختار بات نت
شبكه بات شبكه ای از میزبان های آلوده است كه تحت كنترل یك مركز فرمان دهی واحد بوده و با دریافت فرامین از این مركز اقدامات متناسبی را انجام می دهند. شبكه های بات تهدیدی جدی علیه امنیت منابع اینترنتی بوده و معمولا انگیزه های مالی و سیاسی مهمی پشت آن ها وجود دارد. در سال های اخیر فروش شبكه های بات شكل تجاری به خود گرفته است. برخی شبكه های بات علاوه بر استفاده در به اشتراك گذاری منابع در حملات منع دسترسی، می توانند همانند یك تروجان جهت دزدی اطلاعات كاربر نیز مورد استفاده قرار گیرند.
بات دستورات خود را از سرور كنترل و فرمان كه توسط رییس بات[1] هدایت می شود، دریافت می نماید. رییس بات به فردی گفته می شود كه تمامی امور یك شبكه بات از ایجاد تا كنترل را به دست دارد، بدین ترتیب كه بات را پیكربندی می كند، روش هایی كه برای مصالحه كردن سیستم قربانی به كار می رود را مشخص می كند و آن ها را پیاده سازی می نماید. سپس بات را بر روی سیستم قربانی نصب می نماید و در نهایت بات ها را از طریق كانال كنترلی هدایت و رهبری می كند و دستورات حمله را صادر می نماید. بات نت ها معمولاً بدون هیچ شواهد غیرقابل مشاهده عمل می كنند و می توانند برای سال ها عملیاتی باقی بمانند.
جزییات بات نت Game over zeus
Gameover Zeus یكی از انواع Trojan.Zbot می باشد كه اغلب با نام Zeus شناخته شده است و از یك شبكه نظیر به نظیر (P2P) و الگوریتم تولید دامنه (DGA)[2] برای كنترل و فرماندهی (C&C) استفاده می كند. رییس این بات (botmaster) یك شبكه نسبتا ثابت از صدها هزار نفر از كامپیوترهای آلوده را در سراسر جهان حفظ نموده است.
Gameover به عنوان ییشرفته ترین نوع Zeus شناخته شده است و بر خلاف انواع دیگر، اهداف آن از جمله Citadel و IceX برای فروش مجدد نیست. این شبكه بات می تواند جهت انجام تقلب های مالی در مقیاس بزرگ از طریق ربودن نشست های بانكی هزاران نفر از قربانیان آنلاین مورد استفاده قرار گیرد.
این بات به طور معمول از طریق یك ایمیل كه به عنوان صورت حساب مطرح می شود توزیع شده است. هنگامی كه یك كاربر آلوده وب سایت بانكی خود را از طریق یك كامپیوتر قربانی بازدید می كند، Gameover* با استفاده از تكنیكی كه به نام man-in-the-browser(MITB) شناخته شده است، میان این راه ارتباطی قرار گرفته و با دور زدن فاكتور های احراز هویت و نشان دادن پیام های جعلی امنیت بانكداری به كاربر، سعی در بدست آوردن اطلاعات كاربر می نماید و در نهایت با بدست آوردن این اطلاعات قادر به تغییر تراكنش های بانكی كاربر و سرقت پول او خواهد شد.
از این بدافزار می توان در فعالیت هایی از قبیل malware dropping ، حملات DDOS، سرقت bitcoin و Skype و سرقت دیگر سرویس های مالی آنلاین استفاده نمود.
پیامدهای آلودگی به بدافزار Game over zeus
سیستمی كه آلوده به شبكه بات GameOverZeus می گردد می تواند در اجرای حملاتی همچون DDOS، ارسال اطلاعات اسپم و سرقت اطلاعات بانكی مورد سواستفاده قرار بگیرد.
اجزای زیرساخت بدافزار Game over zeus
· ارتباطات هم نظیر P2P به اسم gameover-zeus-peer شناسایی شده است
· ارتباطات لایه HTTP ***** به نام gameover-zeus-***** شناسایی شده است.
· درخواست های مجدد DGA ( بالغ بر 1000 دامنه تصادفی برای هر هفته با پسوند های .biz, .com, .info, .net, .org و .ru) به نام gameover-zeus-dga شناسایی شده است.
سیستمهای آسیب پذیر
•Microsoft Windows 95, 98, Me, 2000, XP, Vista, 7, and 8
•Microsoft Server 2003, Server 2008, Server 2008 R2, and Server 2012
احتمال آلودگی به بدافزار Cryptolocker
كامپیوتر های آلوده به بات نت Gameover ممكن است به بدافزار Cryptolocker نیز آلوده گردند. Cryptolocker جزء بدافزارهای ransomware می باشد كه بوسیله قفل نمودن كامپیوتر قربانی و رمزنگاری فایل ها، سعی در اخاذی از قربانی می كند. این بدافزار از خطرناك ترین نوع ransomware انتشاریافته می باشد كه از رمزنگاری بسیار قوی، كه به راحتی قابل شكستن نمی باشد استفاده می نماید. Cryptolocker اولین بار در سپتامبر 2013 مشاهده شده است. ثابت شده كه ransomware از جمله Cryptolocker، بطور قابل توجهی برای مهاجمین سودآور می باشد و در سالهای اخیر توزیع كنندگان آن بدون شك میلیون ها دلار بدست آورده اند. براساس تحقیقات سمانتك، بطور میانگین 3 درصد از كاربران آلوده، به این نوع اخاذی پاسخ مثبت می دهند. قربانیان معمولا بوسیله ایمیل های spam كه دارای پیوست حاوی فایل فشرده هستند آلوده می گردند. این بدافزار پس از ارتباط با سرور كنترل و فرمان كلید عمومی مورد استفاده برای رمزنگاری فایل های سیستم قربانی را دانلود می نماید. كلید خصوصی برای رمز گشایی فایل ها در سرور كنترل و فرمان باقی می ماند.
مشخصات
فایل های سیستم قربانی رمز شده و تا هنگام پرداخت قربانی باقی می ماند.
بیش از 121.000 قربانی در آمریكا و 234.000 قربانی در تمام جهان كه آلوده به این بدافزار هستند، شناسایی گردیده اند.
بصورت تخمینی 30 میلیون دلار پرداخت به مهاجمین بین سپتامبر و دسامبر 2013 انجام شده است.
http://up.ashiyane.org/images/r9b72i9heqrwlmase.png
قلمرو Game over zeus/ CryptoLocker
بیش از یك میلیون آلوده به این بات در جهان شناسایی گردیده است.
تقریباً 25% كامپیوترهای آلوده در ایالات متحده آمریكا قرار دارند.
ضرر و تلفات در سطح جهان صدها میلیون دلار برآورد شده است.
10 كشور در عملیات شناسایی و مقابله جهت رفع آن مشاركت كلیدی داشته اند.
http://up.ashiyane.org/images/ynmp1z7p6pp22d023odd.png
شناسایی و رفع آلودگی
برای شناسایی و رفع آلودگی بات نت GameOverZeus موارد زیر پیشنهاد می گردد:
· نرم افزار آنتی ویروس معتبر خود را بروزرسانی نمایید.
· رمزعبور سیستمهای قربانی را تغییر داده و از قوانین رمزعبور قوی در سیستمها استفاده نمایید.
· به منظور مقابله با سو استفاده مهاجمین از آسیب پذیری های رایانه ای، سیستم عامل و برنامه های كاربردی نصب شده بر روی سیستم را به روز رسانی نمایید.
· از برنامه های معتبر معرفی شده در وب سایت شركتهای امنیتی به منظور شناسایی آلودگی سیستم استفاده نمایید مانند:
1- http://campaigns.f-secure.com/en_global/zeus/ols/
2- http://www.symantec.com/security_res...052915-1402-99
در هفته گذشته بات نت Game over zeus با اجرای قوانین بین المللی و با همكاری مراكز، شركت ها و سازمان های فعال در زمینه بدافزار شناسایی و به حالت تعلیق درآمد. آنچه اهمیت دارد آن است كه از لحاظ فنی باز پس گرفتن كنترل بات ها غیرممكن نیست، بنابراین شناسایی، رفع آلودگی سیستم های قربانی و زامبی ها به این گونه بات ها بسیار پراهمیت است. درحال حاضر بیش از یك میلیون كامپیوتر توسط Game over zeus آلوده شده اند.
ساختار بات نت
شبكه بات شبكه ای از میزبان های آلوده است كه تحت كنترل یك مركز فرمان دهی واحد بوده و با دریافت فرامین از این مركز اقدامات متناسبی را انجام می دهند. شبكه های بات تهدیدی جدی علیه امنیت منابع اینترنتی بوده و معمولا انگیزه های مالی و سیاسی مهمی پشت آن ها وجود دارد. در سال های اخیر فروش شبكه های بات شكل تجاری به خود گرفته است. برخی شبكه های بات علاوه بر استفاده در به اشتراك گذاری منابع در حملات منع دسترسی، می توانند همانند یك تروجان جهت دزدی اطلاعات كاربر نیز مورد استفاده قرار گیرند.
بات دستورات خود را از سرور كنترل و فرمان كه توسط رییس بات[1] هدایت می شود، دریافت می نماید. رییس بات به فردی گفته می شود كه تمامی امور یك شبكه بات از ایجاد تا كنترل را به دست دارد، بدین ترتیب كه بات را پیكربندی می كند، روش هایی كه برای مصالحه كردن سیستم قربانی به كار می رود را مشخص می كند و آن ها را پیاده سازی می نماید. سپس بات را بر روی سیستم قربانی نصب می نماید و در نهایت بات ها را از طریق كانال كنترلی هدایت و رهبری می كند و دستورات حمله را صادر می نماید. بات نت ها معمولاً بدون هیچ شواهد غیرقابل مشاهده عمل می كنند و می توانند برای سال ها عملیاتی باقی بمانند.
جزییات بات نت Game over zeus
Gameover Zeus یكی از انواع Trojan.Zbot می باشد كه اغلب با نام Zeus شناخته شده است و از یك شبكه نظیر به نظیر (P2P) و الگوریتم تولید دامنه (DGA)[2] برای كنترل و فرماندهی (C&C) استفاده می كند. رییس این بات (botmaster) یك شبكه نسبتا ثابت از صدها هزار نفر از كامپیوترهای آلوده را در سراسر جهان حفظ نموده است.
Gameover به عنوان ییشرفته ترین نوع Zeus شناخته شده است و بر خلاف انواع دیگر، اهداف آن از جمله Citadel و IceX برای فروش مجدد نیست. این شبكه بات می تواند جهت انجام تقلب های مالی در مقیاس بزرگ از طریق ربودن نشست های بانكی هزاران نفر از قربانیان آنلاین مورد استفاده قرار گیرد.
این بات به طور معمول از طریق یك ایمیل كه به عنوان صورت حساب مطرح می شود توزیع شده است. هنگامی كه یك كاربر آلوده وب سایت بانكی خود را از طریق یك كامپیوتر قربانی بازدید می كند، Gameover* با استفاده از تكنیكی كه به نام man-in-the-browser(MITB) شناخته شده است، میان این راه ارتباطی قرار گرفته و با دور زدن فاكتور های احراز هویت و نشان دادن پیام های جعلی امنیت بانكداری به كاربر، سعی در بدست آوردن اطلاعات كاربر می نماید و در نهایت با بدست آوردن این اطلاعات قادر به تغییر تراكنش های بانكی كاربر و سرقت پول او خواهد شد.
از این بدافزار می توان در فعالیت هایی از قبیل malware dropping ، حملات DDOS، سرقت bitcoin و Skype و سرقت دیگر سرویس های مالی آنلاین استفاده نمود.
پیامدهای آلودگی به بدافزار Game over zeus
سیستمی كه آلوده به شبكه بات GameOverZeus می گردد می تواند در اجرای حملاتی همچون DDOS، ارسال اطلاعات اسپم و سرقت اطلاعات بانكی مورد سواستفاده قرار بگیرد.
اجزای زیرساخت بدافزار Game over zeus
· ارتباطات هم نظیر P2P به اسم gameover-zeus-peer شناسایی شده است
· ارتباطات لایه HTTP ***** به نام gameover-zeus-***** شناسایی شده است.
· درخواست های مجدد DGA ( بالغ بر 1000 دامنه تصادفی برای هر هفته با پسوند های .biz, .com, .info, .net, .org و .ru) به نام gameover-zeus-dga شناسایی شده است.
سیستمهای آسیب پذیر
•Microsoft Windows 95, 98, Me, 2000, XP, Vista, 7, and 8
•Microsoft Server 2003, Server 2008, Server 2008 R2, and Server 2012
احتمال آلودگی به بدافزار Cryptolocker
كامپیوتر های آلوده به بات نت Gameover ممكن است به بدافزار Cryptolocker نیز آلوده گردند. Cryptolocker جزء بدافزارهای ransomware می باشد كه بوسیله قفل نمودن كامپیوتر قربانی و رمزنگاری فایل ها، سعی در اخاذی از قربانی می كند. این بدافزار از خطرناك ترین نوع ransomware انتشاریافته می باشد كه از رمزنگاری بسیار قوی، كه به راحتی قابل شكستن نمی باشد استفاده می نماید. Cryptolocker اولین بار در سپتامبر 2013 مشاهده شده است. ثابت شده كه ransomware از جمله Cryptolocker، بطور قابل توجهی برای مهاجمین سودآور می باشد و در سالهای اخیر توزیع كنندگان آن بدون شك میلیون ها دلار بدست آورده اند. براساس تحقیقات سمانتك، بطور میانگین 3 درصد از كاربران آلوده، به این نوع اخاذی پاسخ مثبت می دهند. قربانیان معمولا بوسیله ایمیل های spam كه دارای پیوست حاوی فایل فشرده هستند آلوده می گردند. این بدافزار پس از ارتباط با سرور كنترل و فرمان كلید عمومی مورد استفاده برای رمزنگاری فایل های سیستم قربانی را دانلود می نماید. كلید خصوصی برای رمز گشایی فایل ها در سرور كنترل و فرمان باقی می ماند.
مشخصات
فایل های سیستم قربانی رمز شده و تا هنگام پرداخت قربانی باقی می ماند.
بیش از 121.000 قربانی در آمریكا و 234.000 قربانی در تمام جهان كه آلوده به این بدافزار هستند، شناسایی گردیده اند.
بصورت تخمینی 30 میلیون دلار پرداخت به مهاجمین بین سپتامبر و دسامبر 2013 انجام شده است.
http://up.ashiyane.org/images/r9b72i9heqrwlmase.png
قلمرو Game over zeus/ CryptoLocker
بیش از یك میلیون آلوده به این بات در جهان شناسایی گردیده است.
تقریباً 25% كامپیوترهای آلوده در ایالات متحده آمریكا قرار دارند.
ضرر و تلفات در سطح جهان صدها میلیون دلار برآورد شده است.
10 كشور در عملیات شناسایی و مقابله جهت رفع آن مشاركت كلیدی داشته اند.
http://up.ashiyane.org/images/ynmp1z7p6pp22d023odd.png
شناسایی و رفع آلودگی
برای شناسایی و رفع آلودگی بات نت GameOverZeus موارد زیر پیشنهاد می گردد:
· نرم افزار آنتی ویروس معتبر خود را بروزرسانی نمایید.
· رمزعبور سیستمهای قربانی را تغییر داده و از قوانین رمزعبور قوی در سیستمها استفاده نمایید.
· به منظور مقابله با سو استفاده مهاجمین از آسیب پذیری های رایانه ای، سیستم عامل و برنامه های كاربردی نصب شده بر روی سیستم را به روز رسانی نمایید.
· از برنامه های معتبر معرفی شده در وب سایت شركتهای امنیتی به منظور شناسایی آلودگی سیستم استفاده نمایید مانند:
1- http://campaigns.f-secure.com/en_global/zeus/ols/
2- http://www.symantec.com/security_res...052915-1402-99