طی بررسی های که تیم امنیتی سکیورهاست برای برخی از شرکت های هاستینگ داخلی و خارجی انجام داده است Malware با نام stealrat که در سال گذشته در وب سایت هایی با سیستم های مدیریت محتوی Joomla و Wordpress وجود داشته است دوباره فعالیت خود را شروع کرده و ظهور دوباره این بدافزار در هاستینگ های داخلی بیشتر از هاستینگ های خارچی مشاهده شده که نسخه جدیدی از بدافزار Stealrat بوده است
شبکه های بات
شبکه بات شبکه ای از میزبان های آلوده است که تحت کنترل بک مرکز فرمان دهی واحد (سرور کنترل و فرمان) بوده و با دریافت فرامین از این مرکز اقدامات متناسبی را انجام می دهند. سرور کنترل و فرمان ، کامپیوتری است که فعالیت های کامپیوترهای آلوده به بات، روتکیت، worm و یا هر بدافزاری که جهت به روز رسانی و گرفتن فرامین به کامپیوتر دیگری وابسته هستند را هماهنگ می کند. سرور C&C ممکن است به کامپیوترهای آلوده بگوید که چه نوع اطلاعاتی را به سرقت ببرند، بدافزار موجود را به روز رسانی نماید و یا بدافزار جدیدی بر روی کامپیوترهای آلوده نصب نمایند.
اهداف شبکه های بات
اهداف شبکه های بات شامل موارد زیر می باشند:
حملات منع سرویس توزیع شده (DDOS) جهت متوقف ساختن ارایه خدمات الکترونیک سازمانها
اشتراک گذاری منابع سیستم های قربانی جهت استفاده حمله کننده
میزبانی داده ها و اطلاعات غیرقانونی بر روی قربانیان و سرورهای کنترل و فرماندهی
مصرف منابع سیستم های قربانی
جزییات بات stealrat
Stealrat نوع جدیدی از شبکه بات انتشار spam می باشد که از یک روش جدید برای انتشار spam استفاده می نماید و عملکرد این بات به شرح زیر می باشد:
- جمع آوری اطلاعات spam از قبیل نام فرستنده و نام گیرنده و فرمت ایمیل اسپم spam server و ارسال آنها به سایت قربانی توسط سیستم آلوده به بات stealrat
- ارسال ایمیل های spam به کاربران توسط سایت قربانی
- ترغیت کاربران به کلیک بر روی لینک های ایمیل spam جهت هدایت به وب سایت قربانی دوم
انتشار بدافزار توسط ایمیل spam انجام نمی گیرد بنابراین ارتباط میان ایمیل spam و بدافزار قابل مشاهده نیست.
این ایمیل ها شامل لینک هایی است که کاربران را به وب سایت قربانی دوم هدایت می کند. در وب سایت دوم نیز لینک هایی وجود دارد که شامل صفحه وب آنلاین داروخانه و یا صفحاتی است که کاربر را به کلیک بر روی آنها ترغیت می نماید.
نکته جالب توجه این است که stealRat از طریق تغییر نام دامنه به google.com و پنهان سازی ترافیک شبکه و همچنین عدم ارتباط مستقیم با C&C سرور تلاش می نماید که رد پایی از خود بر جای نگذارد و تشخیص و شناسایی آن به آسانی انجام نگیرد.
راه کارهای شناسایی:
نقطه مشترک میان این وب سایت های آلوده اجرای نرم افزارهای آسیب پذیر CMS مانند وردپرس، جوملا و دروپال روی آنها می باشد. در ذیل مواردی را مشاهده می کنید که مدیران وب سایت می توانند آلودگی وب سایت را بررسی کرده و تشخیص دهند که آیا وب سایت قسمتی از بات نت stealrat می باشد یا نه:
-
اولین قدم چک کردن اسکریپ های اسپمر است که عموما با نام sm13e.php یا sm14e.php یافت می شود. اما توجه کنید که این اسکریپت ها ممکن است بر اساس نام فایل تغییر کند، لذا بهتر است هر فایل PHP نا آشنایی چک شود.
نام فایلهایی که تاکنون شناسایی شدهاند به شرح ذیل می باشد.
۱-copy.php
۲-up.php
۳-Del.php
۴-path.php
۵- bak.php
۶-utf.php
۷- bannerEB3Y.php
۸-returnMoCo.php
۹-sitemapuuA.php
۱۰ -themesqx10.php
2. راه دیگر شناسایی وجود فایل PHP آلوده، جستجوی هر کدام از رشته های زیر در کدها است:
die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321)
die(PHP_OS.chr(49).chr(49).chr(43).md5(0987654321)
در سیستم لینوکسی میتوانید رشته های ذکر شده را با دستور زیر جستجو نمایید:
grep “die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321″ /path/to/www/folder/
که به جای /path/to/www/folder/ مسیر مربوطه را وارد نمایید.
ولی در سیستم های ویندوزی از دستور ذیل استفاده می شود:
content:”die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321″
همچنین شما میتوانید از نرمافزار SpyHunterجهت اسکن و پاکسازی اقدام نمایید.
این رشته ها قسمتی از کد ‘die’ فایل PHP هستند ( مثلا وقتی که پارامتر خاصی را ندارد). تا آنجایی که میدانیم، آخرین نسخه از رشته موجود و در مقایسه با sm13e.php فایل sm14e.php در حال حاضر چندین آدرس ایمیل را برای ارسال اسپم پشتیبانی میکند. علاوه بر آن فایل PHP یکسان که پارامترهای ذیل را قبول میکند، وجود دارد:
l: آدرس رایانامه (برای ارسال هزرنامه به آن)
e: نُه (۹) نویسه که بهطور تصادفی تولید شدهاند
m: کارگزار رایانامه (بهطور مثال گوگلمیل)
d: قالب رایانامه
پاسخ ها هم بسته به درخواست های ارسال شده و نیز روتین اسپم می تواند متغیر باشد.
در صورت نیاز به پاکسازی و بررسی سرور خود لطفاً تیکتی به بخش امنیت سکیورهاست ارسال نمایید. ارسال نمایید.