امنیت

اینترنت و شبکه

فناوری اطلاعات

February 23, 2020
11:19 یکشنبه، 4ام اسفندماه 1398
کد خبر: 109114

ویروس KBOT، بدافزاری جدید با رفتاری کلاسیک

بیش از یک دهه از شناسایی ویروس ILOVEYOU که صنعت فناوری اطلاعات در کل جهان را به یکباره دچار اختلال کرد، می‌گذرد. MyDoom با روش انتشار مبتنی بر Email، در آن زمان به کابوسی برای کاربران تبدیل شد و ویروس Slammer نیز در عرض دقایقی ده‌ها هزار دستگاه را آلوده کرد.
 
 
 
 به گزارش مرکز افتا، به نقل از پایگاه اینترنتی ZDNet، گرچه زمانی ویروس‌ها و کرم‌های کامپیوتری سهم قابل توجهی از آلودگی‌ها را به خود اختصاص می‌دادند، اما مدت‌هاست که انواع دیگر از بدافزارها نظیر استخراج‌کنندگان رمزارز، اسب‌های تروا، باج‌افزارها و جاسوس‌افزارها به مراتب حضوری فعال‌تر در صحنه تهدیدات سایبری دارند. اما همچنان بدافزارهای جدیدی هستند که به نوعی یادآور دوران تاریک گذشته باشند. 
 
در یکی از تازه‌ترین نمونه‌ها، شرکت کسپرسکی از شناسایی بدافزار جدیدی با عنوان KBOT خبر داده که قابلیت آن در تزریق کد مخرب به فایل‌های اجرایی در سیستم‌عامل ویندوز موجب شده که این شرکت آن را نخستین ویروس زنده در سال‌های اخیر توصیف کند.
 
KBOT قادر است از طریق سیستم‌های قابل دسترس در سطح اینترنت، شبکه‌های محلی و حافظه‌های جداشدنی (Removable Drives) منتشر شود. به‌محض آلوده شدن سیستم با قرار دادن خود در بخش Startup، در کنار بهره‌گیری از فرامین زمانبندی‌شده (Scheduled Tasks) خود را بر روی دستگاه ماندگار کرده و در ادامه سبب آلوده شدن تمامی فایل‌های اجرایی ذخیره‌شده بر روی درایوها و پوشه اشتراکی بر سر راهش می‌شود.
 
همزمان با پویش درایوها، ویروس کدی چندشکلی (Polymorphic) را در فایل‌های اجرایی کپی کرده و توابع IWbemObjectSink را که قابلیتی در Win۳۲ است رونویسی می‌کند. همچنین KBOT رویدادهای ارتباطی بر روی درایوها را رصد کرده و از توابع NetServerEnum و NetShareEnum برای شناسایی مسیرها و منابع شبکه‌ای با هدف توزیع خود بر روی آنها بهره می‌گیرد.
 
همانند بسیاری دیگر از ویروس‌ها، KBOT با دست‌درازی به بخش تعیین‌کننده نقطه شروع اجرا (Entry Point) در کد فایل غیرآلوده موجب اجرای کد چندشکلی خود در زمان اجرای آن فایل می‌شود. در نتیجه آن نقطه شروع کد اصلی که پیش از آن در فایل قرار داشت از بین رفته و به همین خاطر عملکرد فایل پس از آلوده شدن حفظ نخواهد شد.
 
KBOT با استفاده از مجموعه‌ای از ابزارها و تکنیک‌های مبهم‌سازی (Obfuscation) از قبیل رمزگذاری رشته‌های مبتنی بر RC۴، پویش فایل‌های DLL مرتبط با محصولات ضدویروس و از کاراندازی آن‌ها، تزریق کد مخرب به پروسه‌های معتبر اجراشده، خود را از دید کاربر و محصولات امنیتی مخفی می‌کند.
 
ویروس به دست‌درازی به فایل‌های اجرایی بسنده نکرده و در ادامه با هدف سرقت داده‌های شخصی قربانی نظیر اصالت‌سنجی‌های استفاده‌شده در جریان ورود به سرویس‌های مالی و بانکی اقدام به تزریق وب می‌کند.
 
جعل (Spoofing) صفحات وب، اولویت اصلی KBOT است و بدین‌منظور ویروس توابعی از مرورگرهایی همچون گوگل کروم و فایرفاکس را در کنار توابع سیستمی مربوط به مدیریت ترافیک مورد دست‌درازی قرار می‌دهد.
 
قبل از آنکه سرقت قابل‌توجهی صورت بپذیرد بدافزار با برقرای ارتباط با با سرور فرماندهی (C۲) خود، فایل hosts.ini را که در آن نام دامنه‌های مورد نظر مهاجمان درج شده است به‌روزرسانی می‌کند. پیکربندی‌ها و مشخصه‌های ارتباط، رمزگذاری شده و موجب ارسال شناسه، نام و عنوان سیستم عامل دستگاه تسخیرشده و فهرستی از کاربران محلی و نرم‌افزارهای امنیتی آن را به سرور فرماندهی می‌شود.
 
فرامین ارسالی از سوی سرور فرماندهی شامل به‌روزرسانی فایل‌ها از جمله به‌روزرسانی ماژول‌های بدافزار و حذف فایل‌ها نظیر از کار انداختن ویروس (Self-destruction) است. همچنین KBOT قادر به دریافت ماژول‌های بدافزاری دیگر برای استخراج اطلاعات اصالت‌سنجی، فایل‌ها، اطلاعات سیستمی و داده‌های مرتبط با کیف‌های رمزارز (Cryptocurrency Wallet) است.
 
KBOT به سبب توانایی آن در توزیع سریع بر روی سیستم‌ها و شبکه محلی و آلوده‌سازی فایل‌های اجرایی بدون امکان بازگردانی آنها تهدیدی بسیار جدی تلقی می‌شود. این ویروس به‌طور محسوسی سیستم را در نتیجه تزریق کد مخرب به پروسه‌های سیستمی کند کرده و گردانندگان خود را قادر به دسترسی یافتن به سیستم آلوده از طریق نشست‌های Remote Desktop، استخراج داده‌های شخصی قربانی و سرقت اطلاعات بانکی او – با استفاده از تزریق‌های وب – می‌کند. 
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.