آخرین اخبار
پژوهشگران کسپرسکی در فوریه سال جاری، یک درپشتی جدید مشاهده کردند که دارای چند ویژگی مخرب است. این بدافزار می‌تواند خود را در یک شبکه محلی از طریق اکسپلویت‌ها گسترش دهد، دسترسی به شبکه‌های مورد حمله را فراهم و کاوش‌گر رمزارز و دیگر بدافزارها را روی رایانه‌های قربانی نصب کند.
به گزارش معاونت بررسی مرکز افتا، به نقل از کسپرسکی، این درپشتی که Plurox نام دارد یک بدافزار مدولار است و قابلیت‌های آن به کمک ‌افزونه‌‌های دیگر قابل گسترش است. Plurox به زبان C نوشته شده و باMingw GCC  کامپایل و با توجه به شرایط فعلی آن، این بدافزار در مرحله تست و آزمون کشف شده ‌است.
درپشتی Plurox از پروتکل TCP برای ارتباط با سرور فرمان و کنترل (C&C) استفاده می‌کند؛ افزونه‌‌ها از این طریق بارگذاری شده و به طور مستقیم از طریق دو پورت متفاوت به Plurox متصل می‌شوند. در هنگام نظارت بر فعالیت بدافزار، دو زیرشاخه کشف شده است که در یکی، Plurox، تنها کاوش‌گر رمزارز را از سرورC&C دریافت می‌کند، در حالی که در دیگری، علاوه بر کاوش‌گر، چندین افزونه نیز وجود دارد. بدافزار Plurox تقریبا بدون رمزگذاری است و تنها چند کلید 4 بایتی برای رمزگذاری معمول XOR استفاده می‌شود.
نسخه Plurox  مورد بررسی در مجموع از هفت دستور پشتیبانی می کند:
•    دانلود و اجرای فایل ها با استفاده از دستور  WinAPI CreateProcess
•    به‌روزرسانی بات
•    حذف و توقف 
•    دانلود و اجرای افزونه
•    توقف افزونه
•    به‌روزرسانی افزونه 
•    توقف و حذف افزونه
یکی از افزونه‌ها، قابلیت کاوش رمزارز در Plurox است. این بدافزار می تواند با توجه به پیکربندی خاص رایانه قربانی یکی از استخراج‌کننده‌های رمزارز را بر روی آن نصب کند. بات بسته اطلاعات پیکربندی سیستم را به سرور C&C ارسال می‌کند و در پاسخ اطلاعات افزونه‌ای که باید دانلود کند را دریافت می‌کند. 
افزونه دیگر این بدافزار UPnP است. این ماژول مسئول بررسی وجود اکسپلویت‌ها در سرویس‌های در حال اجرا در سیستم است تا مهاجم بتواند در سیستم، محل نفوذ و روش ثبات وضعیت خود را پیدا کند. افزونه بعدی در این بدافزار ماژول SMB است که این ماژول مسئولیت گسترش بد‌افزار را در شبکه با استفاده از اکسپلویت EternalBlue دارد. 
نشانه‌های آلودگی (IoC):
سرورهای C&C:
•    178.21[.]11.90
•    185.146[.]157.143
•    37.140[.]199.65
•    194.58[.]92.63
•    obuhov2k[.]beget[.]tech
•    webdynamicname[.]com
•    37.46[.]131.250
•    188.93[.]210.42
هش‌ها:
•    59523DD8F5CE128B68EA44ED2EDD5FCA
•    C4A74D79030336A0C3CF60DE2CFAE9E9
•    CECFD6BCFDD56B5CC1C129740EA2C524
•    BE591AA0E48E496B781004D0E833E261
•    f233dd609821c896a4cb342cf0afe7b2
•    2e55ae88c67b1d871049af022cc22aac
•    b2d76d715a81862db84f216112fb6930
•    a24fd434ffc7d3157272189753118fbf
•    117f978f07a658bce0b5751617e9d465
•    768857d6792ee7be1e1c5b60636501e5
•    e8aed94c43c8c6f8218e0f2e9b57f083
•    8cf5c72217c1bb48902da2c83c9ccd4e
•    b2824d2007c5a1077856ae6d8192f523
•    6915dd5186c65891503f90e91d8716c6
•    cd68adc0fbd78117521b7995570333b2

منبع : 
 

 

 
امتیاز دهی
 
 

نسخه قابل چاپ
  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.