گزارش چک‌پوینت درباره

استفاده بات‌نت Black از شبکه پراکسی سرورها با کمک بدافزار‌های Ramnit و Ngioweb

محققان امنیتی شرکت چک‌پوینت به‌تازگی بات‌نت جدیدی با نام Black کشف کرده‌اند که با استفاده از بدافزارهای Ramnit و Ngioweb، بیش از ۱۰۰ هزار کامپیوتر را در کمتر از دو ماه آلوده کرده است. این بات‌نت از دستگاه‌های آلوده به عنوان پراکسی سرور مخرب استفاده می‌کند و به اعتقاد محققان، این حملات تنها مقدمه یک عملیات بزرگ سایبری است.
بات‌نت Black و بدافزار Ramnit

بات‌نت Black

شرکت چک‌پوینت در گزارش اخیر خود از شروع فعالیت یک بات‌نت چند منظوره با نام Black خبر داده است. براساس این گزارش، بات‌نت Black با استفاده از بدافزارهای Ramnit و Ngioweb در حال حاضر با ایجاد یک شبکه پراکسی سرور، در حال گسترش است.

به اعتقاد محققان این بات‌نت مقدمه یک عملیات‌ مخرب بزرگ بوده و می‌تواند برای مواردی مانند استخراج پنهانی ارزهای دیجیتالی، انتشار گسترده باج‌افزار، حملات DDoS و سرقت اطلاعات مورد استفاده قرار گیرد.

بات‌نت Black که تقریبا از ابتدای ماه مارس سال ۲۰۱۸ فعال شده است، تنها طی دو ماه (از ماه می تا جولای ۲۰۱۸) بیش از ۱۰۰ هزار کامپیوتر را آلوده کرده است.

 

بدافزار Ramnit

بدافزار Ramnit یک تروجان شناخته شده بانکی است که در بات‌نت Black از آن استفاده شده است. نمونه‌های اولیه این بدافزار برای نخستین‌‌بار در سال ۲۰۱۰ مشاهده شد و یک سال پس از آن، با استفاده از کدهای تروجان بانکی Zeus، به یک تروجان بانکی پیشرفته تبدیل شد.

از این تروجان در ابتدا برای سرقت اطلاعات احراز هویت بانکی استفاده می‌شد، اما بعدها با توسعه آن، امکان سرقت رمز عبور حساب‌های کاربری در شبکه‌های اجتماعی و همینطور سرقت اطلاعات مربوط به دسترسی FTP‌ها به کارکرد Ramnit اضافه شد.

سازندگان بات‌نت Black از این بدافزار برای اعمال تکنیک‌های جلوگیری از شناسایی و مدیریت دستگاه‌های آلوده استفاده می‌کنند.

 

بدافزار Ngioweb

Ngioweb بدافزاری است که مهاجمان از آن برای ساخت پروکسی در دستگاه‌های آلوده استفاده می‌کنند. این بدافزار می‌تواند به عنوان یک پراکسی back-connect معمولی و یک پراکسی relay فعالیت کند. در حالتی که بدافزار به عنوان یک پراکسی relay فعالیت کند، با ایجاد زنجیره‌هایی از پراکسی‌ها، شناسایی فعالیت‌های خود را دشوار می‌کند.

این حالت را می‌توان یکی از قدرتمند‌ترین حالت‌ها شمرد چون به سازندگان بدافزار اجازه می‌دهد زنجیره‌ای از پراکسی‌ها بسازند و و حرکات خود را پشت آدرس IP دستگاه‌های آلوده پنهان کنند.

برای ساخت یک سرویس مخفی با استفاده از Ngioweb، سازندگان بدافزار ابتدا آدرس دستگاه قربانی را در یک کانال عمومی مثل DNS منتشر می‌کند؛ سپس دومین دستگاه قربانی آدرس اول را resolve کرده و به آن وصل می‌شود. سپس کامپیوتر آلوده اول اتصال جدیدی به سرور ایجاد می‌کند و به عنوان رله بین سرور و دومین میزبان آلوده عمل می‌کند و این کار ممکن است بصورت بی نهایت ادامه یابد.

 

شاخص سازش (IOCs):
MD5:
2233ca776f54900d1413e76185a699d6
00dcab7d87c753cd057934fabf391254
7c3bc5776862734a4deaa86732abcffd
0e63e2bd00b8171c569ecbbf61f0ae3c
6321db55485e1e8ae7e8261345bd2448

Old version with DGA:
e1953052c0c0a9aa39c51174b9d9a953

 

 

توضیحات بیشتر در:

- Ramnit’s Network of Proxy Servers