گلستان | گرگان

tamasbama@sgnj.ir

شبکه گستر نسل جدید

پاسخگوی شـما هـستیم

32220356 17 98+

بدافزار Glupteba

ادمین سایت

بدافزاری که به سادگی از دید ما پنهان میشود.

بدافزار چیست؟

بدافزار یا Malware کوتاه‌شده‌ی عبارت “Malicious Software” به معنی نرم‌افزار مخرب است. بدافزار توسط مهاجمان سایبری با نیت دسترسی یا آسیب‌رسانی به کامپیوتر یا شبکه‌ی اینترنتی طراحی می‌شود و در اغلب موارد، قربانی حمله از وجود آن در سیستم خود بی‌خبر است. زمانی‌که بدافزار وارد کامپیوتر شود، بدون اجازه، دسترسی هکرها را به اطلاعات، دستگاه‌ها و سیستم‌ها ممکن می‌سازد.

بدافزار ابتدا به عنوان نوعی خراب­کاری سایبری طراحی شد و هدف آن خراب کردن کامپیوتر، تغییر عکس پس‌زمینه یا دسترسی به اطلاعات شخصی بود؛ اما با گذر زمان، در دست مجرمان سایبری به ابزاری برای کسب درآمد از طریق سرقت اطلاعات باارزش برای باج‌گیری از کسب‌وکارها، هک کردن رمز عبور برای دسترسی به حساب‌های بانکی یا سرقت هویت تبدیل شده و در طول سال‌ها انواع مختلفی پیدا کرده است.

بدافزارها انواع مختلفی دارند: Virus ، Worm ، Trojan ، Rootkit ، Ransomware ، Adware و Spyware

تروجان Trojan

تروجان‌ها یکی از انواع مختلف بدافزار بوده که خود را در قالب یک نرم‌افزار سالم و قانونی نشان می‌دهند و بسیار شبیه نرم‌افزارهای مفید و کاربردی رفتار می‌کنند. اما هنگامی ‌که اجرا می‌شوند، خرابی‌های زیادی را برای سیستم ایجاد می‌کنند. نرم‌افزارهای دانلود شده از اینترنت، جاسازی شدن در متن HTML و ضمیمه شدن به یک ایمیل از جمله راه‌های ورود تروجان‌ها به سیستم هستند.

ویروس فایل‌ها را آلوده می‌کند، قابلیت خودتکثیری داشته و با چسباندن خود به برنامه دیگر در کامپیوتر قربانی پخش می‌شود. کرم‌ها هم نوعی بدافزار مشابه ویروس هستند؛ با این تفاوت که برای پخش شدن در سیستم نیازی به چسبیدن به برنامه دیگر و اجرا شدن توسط کاربر ندارند.

برخلاف ویروس‌ها و کرم‌های کامپیوتری، تروجان‌ها قادر به تکثیر خود نیستند و همانند ویروسها سیستم‌ها یا کامپیوترهای دیگر را آلوده نمی‌کنند، بلکه باید توسط کاربر اجرا شوند. یک تروجان به محض ورود و نصب، امکان کنترل از راه دور سیستم شما را فراهم کرده و آنها به شبکه ای از باتها (دیگر کامپیوترهای آلوده) که اصطلاحا به آن بات نت گفته میشود، متصل میکند، که از این شبکه برای آلوده کردن دیگر سیستمها استفاده میشود.

تروجان انواع مختلفی دارد : Backdoor ، Dropper ، Banker ، FTP ، IM و Downloader

معرفی بدافزار Glupteba

بدافزار Glupteba، یک تروجان است که در دسته Dropperها قرار میگیرد و می‌تواند با تزریق کدهای مخرب در پردازه Explorer.exe ویندوز، کنترل ماشین قربانی را به دست گرفته و از طریق ارتباط با سرورهای فرماندهی و کنترل (C2)، سبب دانلود و اجرای نسخه‌های جدید خود و همین­طور اجرای بدافزارهای دیگری از نوع باج‌افزارها و کرم‌ها شود. این بدافزار در هنگام اجرا، محیط‌ و ابزارهای تحلیل بدافزار را شناسایی کرده و در صورت اجرا در ماشین مجازی، پردازه خود را بدون آلوده کردن سیستم می‌بندد.

یک هکر برای اینکه تا حد امکان از حمله بدافزار سود ببرد، به یک کانال مخفی یا درب پشتی بین سرور خود و شبکه یا سیستم در معرض خطر نیاز دارد. سرور مجرمان سایبری، چه یک سیستم یا یک بات نت از سیستم‌ها، سرور فرماندهی و کنترل (C2) نامیده می‌شود.

با اینکه تروجان Glupteba به عنوان یک دراپر طبقه­بندی می­شود، اما دارای برخی عملکردهای خطرناک مازادی نیز است. اخیرا Trend Micro نوع جدیدی از Glupteba را کشف کرده که به عنوان Adware عمل می‌کند، اما دو ماژول دیگر در خود جای داده است. ماژول اول به‌روزرسانی­کننده­ی آدرس سرورهای C2 توسط بلاک­چین بیت کوین است که یک سارق اطلاعات و ماژول دوم اکسپلویتی برای هدف قرار دادن مسیریاب‌های میکروتیک محلی است.

به این نکته هم باید اشاره داشت که این بدافزار دامنه­ی توزیع بسیار گسترده­ای دارد. از سال 2017 در 180 کشور مشاهده شده است، اگر چه تقریبا یک سوم حملات در اوکراین، روسیه و ترکیه متمرکز شده است.

نحوه­ ی عملکرد

زمانی که Glupteba به سیستم راه پیدا کرد، cmd.exe را برای اجرای CompMgmtLauncher.exe و لانچر آن در کنسول مدیریتی ویندوز، فراخوانی می‌کند. این بدافزار از CompMgmtLauncher.exe برای دور زدن UAC و اجرای خود با امتیازات مدیریتی استفاده می­کند. پس از آن، معمولاً خود را به autorun در رجیستری اضافه می­کند، یک فایل اجرایی را تغییر نام داده و آن را در زیر شاخه­های ویندوز کپی می­کند.

هم­چنین Glupteba سیستم را برای راه­حل­های ضدبدافزاری بررسی می­کند، رول­های فایروال و استثنائات دفاعی را اضافه می­کند. علاوه بر موارد فوق، این بدافزار خود را به Schedule Tasks نیز اضافه می­کند تا در سیستم آلوده باقی بماند. Glupteba در طول چرخه عمر خود، بسته­ها را با سرور C2 مبادله می­کند و توانایی دانلود بدافزارهای دیگر را نیز دارد.

علائم آلودگی

  • •وجود فایل‌های اجرایی بدون پسوند و با نام‌های تصادفی در مسیر %AppData%
  • •وجود Scheduled Task برای فایل اجرایی موجود در مسیر %AppData%
  • •وجود تعداد زیادی فایل اجرایی مخرب در مسیر %Temp%
  • •برقراری ارتباطات شبکه مشکوک توسط پردازه explorer.exe و به دنبال آن دانلود و اجرای بدافزارهای دیگر
  • •خرابی و از کار افتادن پیاپی آنتی ویروس

مقابله و پاک­سازی

جهت پیشگیری از ورود این دست بدافزارها به سیستم پیشنهاد می‌شود از کلیک بر روی لینک‌های مشکوک خودداری نموده و فایل‌های ضمیمه ایمیل‌ها را قبل از اجرا، حتما اسکن کنید. از نرم افزارهای کرک شده و یا رایگان ناشناخته استفاده نکنید. هم­چنین، در صورت امکان همیشه سیستم‌عامل و آنتی‌ویروس خود را به روز نگه دارید.

برخی از روشها برای متوجه شدن اینکه آیا به تروجان آلوده شده ایم یا نه، وجود دارد. بررسی برنامه های نصب شده، چک کردن برنامه های اجراشونده در زمان Startup ، کنترل عملکرد کامپیوتر و در نهایت استفاده از آنتی ویروس میتوانند کمک کننده باشند.

این بدافزار در آنتی ویروسهای مختلف با نام­های گوناگونی شناسایی می­شود.

  • •Symantec >> ML.Attribute.HighConfidence
  • •BitDefender >> Gen:Heur.Mint.Titirez.1.31
  • •ESET-NOD32 >> Win32/Kryptik.HIJO
  • •Kaspersky >> HEUR:Trojan.Win32.Zenpak.vho
  • •Microsoft >> Trojan:Win32/Glupteba.NT!MTB
  • •McAfee >> Trojan-FSWW!60D22219B7AA
  • •Padvish >> Trojan.Win32.Glupteba.a

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *