باج‌افزاری که حمله‌ی منع سرویس توزیع‌شده انجام می‌دهد

بدافزارکمیته رکن چهارم – در حال حاضر برخی از باج‌افزارها علاوه بر رمزنگاری پرونده‌ها، تلاش می‌کنند تا حملات منع سرویس توزیع‌شده در مقیاس کوچک و ضعیف را انجام دهند. براساس گزارش محققان امنیتی باج‌افزار FireCrypt در کیت بهره‌برداری BleedGreen مشاهده شده است.

به گزارش کمیته رکن چهارم،توزیع‌کننده‌ی این باج‌افزار اسنادی با پسوند DOC. و PDF. را توزیع کرده و قربانی پس از اجرای این برنامه‌ها به باج‌افزار آلوده می‌شود. در ادامه باج‌افزار بخش مدیریت وظایف سامانه را هدف قرار داده و پس از کُشتن فرآیندها، ۲۰ نوع مختلف از پرونده‌ها را رمزنگاری کرده و پسوند firecrypt. را به انتهای آن‌ها اضافه می‌کند.

شبیه سایر باج‌افزارها، FireCrypt نیز پس از رمزنگاری پرونده‌ها، پیغام باج‌خواهی را به قربانیان نشان داده و برای رمزگشایی آن‌ها ۵۰۰ دلار باج درخواست می‌کند. باج‌افزار FireCrypt پس از رمزنگاری پرونده‌ها کار دیگری را نیز انجام می‌دهد که بقیه‌ی باج‌افزارها این کار را نمی‌کنند.

در کد منبع این باج‌افزار یک تابع تعبیه شده که به یک URL هارکدشده متصل می‌شود، محتوا را بارگیری کرده و آن را در پرونده‌های موقتی بر روی ماشین آلوده ذخیره می‌کند. این URL به آدرس pta.gov.pk متعلق به مرکز مخابرات پاکستان است. در گزارش‌ها آمده است که این باج‌افزار از وب‌گاه مورد نظر پرونده‌های بدردنخور را بارگیری کرده و در پوشه‌ی موقتی ماشین آلوده ذخیره می‌کند. هدف این کار انجام حمله‌ی منع سرویس توزیع‌شده بر روی وب‌گاه مورد نظر است هرچند شدت زیادی ندارد.

در گزارش محققان امنیتی آمده است: «مهاجمان سایبری باید پیش از حمله‌ی منع سرویس توزیع‌شده علیه وب‌گاه مخاربرات پاکستان، هزاران قربانی را به این باج‌افزار آلوده کنند. همچنین باید تمامی این قربانی‌ها در یک زمان مشخص آلوده شوند و برای انجام حمله‌ی منع سرویس توزیع‌شده به اینترنت دسترسی داشته باشند.»

محققان امنیتی می‌گویند: «یک حمله‌ی منع سرویس توزیع‌شده برای اجرای موفقیت‌آمیز از طریق بدافزار نیاز به ماندگاری بر روی سامانه‌ی قربانی و مخفی بودن دارد. در حالی‌که بسیاری از باج‌افزارها خاصیت ماندگاری بر روی سامانه را نداشته و با نمایش پیغام باج‌خواهی قابلیت مخفی بودن نیز از بین می‌رود.» به عبارت دیگر قابلیت منع سرویس توزیع‌شده توسط پویشگر ضدبدافزار شناسایی شده و عملکرد قابل قبولی نخواهد داشت.

محققان در ادامه گفتند: «عملیات رمزنگاری پرونده‌های یک رایانه باعث می‌شود کاربر رایانه‌ی خود را برای بررسی سایر بدافزارها پویش کند و از این طریق مؤلفه‌ی حمله‌ی منع سرویس توزیع‌شده شناسایی خواهد شد. بنابراین فکر نمی‌کنیم این روش برای انجام حمله‌ای پایدار عملیاتی باشد.»

منبع:asis

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد.


Type The Green Captcha Characters Below.