شگرد های جدید تروجان معروف Dyre
•
خالقین تروجان معروف Dyre که سیستمهای بانکداری را هدف قرار میدهد شروع به استفاده از تکنیکهای جدیدی کردهاند؛ تکنیکهایی که کشف و پاکسازی این بدافزار را دشوارتر از گذشته خواهند ساخت.
به گفته محققان IBM، توسعهگران تروجان Dyre تصمیم گرفتهاند تا سازوکار پایدارکننده تهدید را اصلاح کرده و کلیدهای اجرایی Windows Registry را با اجرای زمانبندی شده (Task Scheduling) جایگزین نمایند.
به نقل از محققان بدافزار IBM Trusteer، «رجیستری هنوز حاوی دستورالعمل ها است، ولی فایلهای اجرا شده بوسیله Scheduler را میتوان در پوشه پیشفرض Windows Tasks یافت؛ از آنجا است که فایلها در صورت لزوم بارگذاری میشوند. با تبدیل نحوه اجرای تروجان Dyre به شکل وظیفه ی زمان بندی شده، این تروجان از انعطافپذیری بیشتری در برابر تهدید پاک شدن بوسیله کاربر یا محصولات امنیتی برخوردار خواهد بود.» وی ادامه میدهد، «البته این ویژگی به توسعهگر این تروجان فضای بیشتری برای تصمیمگیری راجع به زمان اجرا و دفعات اجرای آن میدهد یا اینکه در زمان وقوع کدام رویداد سیستم عامل به فایل بدافزار مبدا باز گردد.»
تغییر دیگری که توسط توسعهگران تروجان Dyre اعمال شده مربوط به نامهای تخصیص یافته به فایلهای پیکربندی است. با اختصاص نامهای نیمه تصادفی به این فایلها، مجرمان سایبری امیدوارند تا بیش از پیش مانع کشف مخلوقشان توسط راهحلهای امنیتی خودکاری شوند که برای جستجو و پاکسازی این فایل طراحی شدهاند.
به گفته محققان IBM، توسعهگران تروجان Dyre تصمیم گرفتهاند تا سازوکار پایدارکننده تهدید را اصلاح کرده و کلیدهای اجرایی Windows Registry را با اجرای زمانبندی شده (Task Scheduling) جایگزین نمایند.
به نقل از محققان بدافزار IBM Trusteer، «رجیستری هنوز حاوی دستورالعمل ها است، ولی فایلهای اجرا شده بوسیله Scheduler را میتوان در پوشه پیشفرض Windows Tasks یافت؛ از آنجا است که فایلها در صورت لزوم بارگذاری میشوند. با تبدیل نحوه اجرای تروجان Dyre به شکل وظیفه ی زمان بندی شده، این تروجان از انعطافپذیری بیشتری در برابر تهدید پاک شدن بوسیله کاربر یا محصولات امنیتی برخوردار خواهد بود.» وی ادامه میدهد، «البته این ویژگی به توسعهگر این تروجان فضای بیشتری برای تصمیمگیری راجع به زمان اجرا و دفعات اجرای آن میدهد یا اینکه در زمان وقوع کدام رویداد سیستم عامل به فایل بدافزار مبدا باز گردد.»
تغییر دیگری که توسط توسعهگران تروجان Dyre اعمال شده مربوط به نامهای تخصیص یافته به فایلهای پیکربندی است. با اختصاص نامهای نیمه تصادفی به این فایلها، مجرمان سایبری امیدوارند تا بیش از پیش مانع کشف مخلوقشان توسط راهحلهای امنیتی خودکاری شوند که برای جستجو و پاکسازی این فایل طراحی شدهاند.
نامهایی که برای فایل پیکربندی توسط این بدافزار تولید شده در هر دستگاه آلوده متفاوت خواهد بود، البته برای یک کاربر خاص یکسان هستند. نام فایل از الحاق نام دستگاه با نام کاربر و سه بار هشینگ رشته حاصل با استفاده از SHA-256 بدست میآید. بین هر دور هشینگ، بدافزار یکی به ارزش بایت ASCII اضافه میکند (مثلاً «C» تبدیل میشود به «D»). هش حاصل به یک رشته 16 بایتی جدید پردازش شده که نام فایل پیکربندی را نشان خواهد داد.
به گفته محققین، در صورت عدم دسترسی به نام دستگاه بدافزار به نحوی طراحی شده است که از حرف «C» به عنوان نام دستگاه استفاده کند.
در حالی که این نام فایل نیمه تصادفی کشف تروجان Dyre را دشوارتر میسازد، کارشناسان خاطر نشان کردهاند که اطلاع از الگوریتم مورد استفاده برای تولید این نام، کشف تهدید را سادهتر خواهد ساخت.
«این تغییرات نشان میدهند که بدافزارهای پیشرفته و فعالی مانند Dyre هدف متحرکی خواهند بود که دائماً برای نفوذ به امنیت ایستا در حال تغییر و تحول بوده و تلاش میکنند تا از کشف شدن در نقاط انتهایی آلوده ممانعت نمایند.»
لازم به ذکر است که تروجان Dyre طی چند سال گذشته از تکامل و توسعه چشمگیری برخوردار بوده است. در آوریل، محققان Seculert کشف نسخهای از این بدافزار را گزارش کردند که تعداد هستههای پردازنده را شمارش کرده تا تعیین کند که آیا روی ماشین واقعی یا Sandbox در حال اجرا است.
در اوایل سال جاری، IBM آشکار ساخت که تروجان Dyre توسط یک گروه تبهکاری سایبری برای سرقت بیش از 1 میلیون دلار از حسابهای شرکتهای آمریکایی مورد استفاده قرار گرفته است. این مهاجمین عملیاتی پیچیده را برای تحقق هدف شومشان انجام دادهاند که ایمیلهای اسپیر فیشینگ، اطلاعات محرمانه سرقتی، کلاهبرداریهای پشتیبانی فنی و حملات توزیعشده DoS را در بر گرفته است.
دادههای گردآوری شده توسط IBM نشان میدهد ایالات متحده (27%)، انگلستان (20%)، استرالیا (7%) و آلمان (7%) بیش از بقیه مورد حمله تروجان Dyre طی دو ماهه گذشته قرار گرفتهاند.
به گفته محققین، در صورت عدم دسترسی به نام دستگاه بدافزار به نحوی طراحی شده است که از حرف «C» به عنوان نام دستگاه استفاده کند.
در حالی که این نام فایل نیمه تصادفی کشف تروجان Dyre را دشوارتر میسازد، کارشناسان خاطر نشان کردهاند که اطلاع از الگوریتم مورد استفاده برای تولید این نام، کشف تهدید را سادهتر خواهد ساخت.
«این تغییرات نشان میدهند که بدافزارهای پیشرفته و فعالی مانند Dyre هدف متحرکی خواهند بود که دائماً برای نفوذ به امنیت ایستا در حال تغییر و تحول بوده و تلاش میکنند تا از کشف شدن در نقاط انتهایی آلوده ممانعت نمایند.»
لازم به ذکر است که تروجان Dyre طی چند سال گذشته از تکامل و توسعه چشمگیری برخوردار بوده است. در آوریل، محققان Seculert کشف نسخهای از این بدافزار را گزارش کردند که تعداد هستههای پردازنده را شمارش کرده تا تعیین کند که آیا روی ماشین واقعی یا Sandbox در حال اجرا است.
در اوایل سال جاری، IBM آشکار ساخت که تروجان Dyre توسط یک گروه تبهکاری سایبری برای سرقت بیش از 1 میلیون دلار از حسابهای شرکتهای آمریکایی مورد استفاده قرار گرفته است. این مهاجمین عملیاتی پیچیده را برای تحقق هدف شومشان انجام دادهاند که ایمیلهای اسپیر فیشینگ، اطلاعات محرمانه سرقتی، کلاهبرداریهای پشتیبانی فنی و حملات توزیعشده DoS را در بر گرفته است.
دادههای گردآوری شده توسط IBM نشان میدهد ایالات متحده (27%)، انگلستان (20%)، استرالیا (7%) و آلمان (7%) بیش از بقیه مورد حمله تروجان Dyre طی دو ماهه گذشته قرار گرفتهاند.
آلماشبکه پرداز
ارائه راهکار جامع امنیت شبکه
( (Network Security SolutionProvider
Symantec ///// VMware ///// F-Secure /////
/////Microsoft Software
تماس با شرکت مهندسی آلماشبکه پرداز :
021-66932635
021-66932688
021-66419334
