آخرین اخبار
صفحه اصلی
اسلاید

بات‌نت Necurs؛ عامل اصلی ارسال هرزنامه‌ در سال ۲۰۱۶

تاریخ:
در: اسلاید
دیدگاهتان را بنویسید:
751 نمایش ها

ایمیلکمیته رکن چهارم – محققان می‌گویند با افزایش فعالیت‌های بات‌نت Necurs، حملات هرزنامه‌ای در سال جاری بیشتر شده‌است.

به گزارش کمیته رکن چهارم،امسال با افزایش چشم‌گیر حجم هرزنامه‌ها مواجه بودیم، افزایشی که موجب شد رکورد هرزنامه‌ها با میزان ثبت‌شده در سال ۲۰۱۰ قابل قیاس باشد. محققان سیسکو تالوس بر این باورند که این افزایش عمدتاً از فعالیت‌های قابل ملاحظه‌ بات‌نت Necurs ناشی شده‌است.

در طول پنج سال گذشته، حجم هرزنامه‌ها در مقایسه با سال ۲۰۱۰ میلادی نسبتاً پایین بوده‌است، سالی که دائماً با حملات هرزنامه‌ای مواجه بودیم. با این حال به نظر می‌رسد که هرچه به پایان این سال میلادی نزدیک‌تر می‌شویم، این آرامش نبود هرزنامه نیز به انتهای خود می‌رسد، چرا که بار دیگر با هجوم هرزنامه مواجه شده‌ایم. با استناد به داده‌های CBL، محققان سیسکو تالوس خاطرنشان کردند که حجم هرزنامه‌های ۲۰۱۶ تقریباً معادل با میزان مشاهده‌شده در اواسط ۲۰۱۰ است.

علاوه‌بر این، اندازه‌ کلی SCBL2 در سال گذشته افزایش بیش از ۴۵۰هزار آدرسIP را در آگوست ۲۰۱۶ نشان می‌دهد، اگرچه اندازه‌ SCBL در سال گذشته کمتر از ۲۰۰هزار  IP بوده‌است.

افزایش حجم در رایانامه‌های ناخواسته در این سال تنها بدین معناست که بات‌نت‌های مخصوص فعالیت بی‌اندازه‌ای داشته‌اند. با این حال سامانه‌های ضدهرزنامه معمولاً می‌توانند به سرعت سد راه کمپین‌های هرزنامه شوند، زیرا بات‌نت‌ها از یک روش غیرهدفمند کمک می‌گیرند. با این وجود محققان بر این باورند که هرگز نمی‌توان پیش از شروع، یک حمله‌ هرزنامه‌ای را پیش‌بینی کرد.

سیسکو می‌گوید که احتمالاً عامل اصلی رشد کمپین‌های هرزنامه‌ای امسال می‌تواند بات‌نت Necurs باشد، بات‌نتی که درست چند ماه قبل با باج‌افزار Locky و نیز تروجان Dridex همراه شده‌بود. وقتی در ماه ژوئن Necurs با مشکل مواجه شد، آلودگی‌های Locky و Dridex نیز تقریباً متوقف شدند، اما این باج‌افزار سه هفته بعد با اوج‌ گرفتن مجدد Necurs با حس انتقام‌جویی بازگشت.

توقف عملکرد Necurs و نیز عدم فعالیت Dridex و Locky ظاهراً به علت دستگیری‌های صورت‌گرفته در روسیه، در رابطه با تروجان Lurk بوده‌است؛ البته سیسکو در حال حاضر این قضیه را تأیید کرده‌است. Necurs فقط یکی از تهدیدهای مهمی است که به‌دنبال دستگیری‌های یادشده فعالیت آن منتفی شده‌است، اما بازگشت آن هم با تغییرات مهمی در رفتارش همراه بوده‌است.

نه‌تنها Necurs بازگشته است، بلکه از ارسال هرزنامه‌های روسی با محتوای دوست‌یابی به فرستادن هرزنامه‌هایی با ضمایم مخرب تغییر ماهیت داده‌است. این اولین باری است که می‌بینیم Necurs دست به ارسال ضمیمه می‌زند.

در ماه ژوئن بسته‌ نفوذی Angler هم ناپدید شد و ترافیک ناشی از این بسته‌ نفوذی هم پایین آمد، گمان آن می‌رود که عاملان این بسته‌ نفوذی در صدد یافتن راهی تازه برای ارسال محتوای مخرب مد‌نظرشان هستند و به نظر می‌رسد که بات‌نت‌های هرزنامه به انتخاب اصلی آنها مبدل شده‌است.

اگرچه فناوری‌های نوین ضدهرزنامه و فوت‌و‌فن‌های جلوگیری از عملکرد بات‌نت‌های مربوط به هرزنامه منجر به کاهش میزان هرزنامه‌ها در طول زمان شده‌اند، اما به نظر می‌رسد این شیوه‌ حمله بار دیگر میان مجرمان سایبری محبوب شده‌است.

Necurs همچنان یکی از بات‌نت‌های هرزنامه‌ بسیار فعال باقی مانده‌است، زیرا متصدیان آن مدت مدیدی است که روش هوشمندانه‌ای را برای ادامه‌ استفاده از میزبان‌های آلوده پیدا کرده‌اند. فقط کافی است که آنها هرزنامه را به یک زیرمجموعه از دستگاه‌های آلوده ارسال کنند و چند هفته از استفاده از این میزبان‌ها دست بکشند تا بدین ترتیب توجه عموم را از آنها دور کرده و کارکنان امنیتی را به باور این مسئله وادار کنند که این میزبان، پاک‌سازی شده‌است.

بسیاری از IPهای میزبانی که دست به ارسال هرزنامه‌ Necurs می‌زنند، بیش از دو سال آلوده بوده‌اند. Necurs برای آنکه کل حوزه‌ تحت پوشش یک بات‌نت را مخفی نگه دارد، فقط هرزنامه را از یکی از زیرمجموعه‌های خود ارسال می‌کند. ممکن است میزبان آلوده دو یا سه روز استفاده شود، سپس به مدت دو یا سه روز کنار گذاشته شود. محققان در تالوس بارها و بارها این الگو دیده‌اند.

از آنجایی‌که ارسال‌کنندگان هرزنامه از زمان شروع یک کمپین هرزنامه تا استقرار سامانه‌های ضدهرزنامه فرصت اندکی دارند، سعی می‌کنند که حداکثر هرزنامه‌ ممکن را بفرستند تا مطمئن شوند که می‌توانند به‌طور موفقیت‌آمیزی رایانامه‌های مخرب را به صندوق‌های دریافت رایانامه‌ قربانی‌های خود وارد کنند.

متأسفانه هیچ روش عاری از اشتباهی برای مقابله با یک کمپین هرزنامه وجود ندارد. به سازمان‌ها توصیه می‌شود که یک لایه‌ دفاعی را برای به حداکثر رساندن شانس شناسایی و مسدودسازی چنین حملاتی در نظر بگیرند. به‌طور حتم وقتی پای یک باج‌افزار در میان باشد، پشتیبان‌های برون‌خط می‌تواند به کمک سازمان مربوطه بیایند. طرح‌های بازیابی باید به‌صورت منظم مورد بازبینی و آزمایش قرار بگیرند تا اطمینان حاصل شود هیچ خطایی وجود ندارد. کاربران باید بدانند که هیچ‌گاه پرونده‌های ضمیمه‌ ناشناس و مشکوک نمی‌توانند موارد مورد اطمینانی باشند.
مرجع : وب‌گاه اخبار امنیتی فن‌آوری اطلاعات و ارتباطات

برچسب ها:

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Red Captcha Characters Below.