اکسپلویت کیت‌ها

اکسپلویت کیت Bizarro Sundown
۹ آبان ۱۳۹۶

اکسپلویت کیت Bizarro Sundown

شماره‌(های) مرجع مرتبط:

نسخه‌ی اولیه Bizarro Sundown برای اولین بار در ۵ اکتبر ۲۰۱۶ تشخیص داده شد. دو هفته بعد نسخه‌ی دوم هم عرضه شد و بیشتر قربانیان خود را از دو کشور تایوان و کره انتخاب کرد. این نسخه GreenFlash Sundown نام گرفت. هر دو نسخه‌ی Bizarro Sundown شباهت‌های زیادی به اکسپلویت کیت Sundown  دارند. تفاوت عمده‌ی آن‌ها در روش‌های تحلیلی ای می‌باشد که اضافه شده است تا بتواند شانس بیشتری برای مخفی ماندن داشته باشند. همچنین تغییری در فرمت URL این اکسپلویت ایجاد شد تا ترافیک آن بیشتر شبیه ترافیک تبلیغاتی معمول گردد. هر دو نسخه‌ی اکسپلویت کیت Bizarro Sundown توسط کمپین ShadowGate مورد استفاده قرار می‌گیرند.

کمپین ShadowGate

کمپین Shadowgate برای انتشار باج افزار Locky ابتدا از اکسپلویت کیت Neutriono استفاده کرد. سپس در ۵ اکتبر از اولین نسخه‌ی اکسپلویت Bizarro Sundown در جهت انتشار باج افزار Locky بهره برد. دو هفته بعد و با آمدن نسخه‌ی بعدی این اکسپلویت، کمپین ShadowGate از GreenFlash Sundown استفاده نمود.

آمار حملات Bizarro Sundown


در بررسی آمار حملات Bizarro Sundown محققان به این نکته رسیدند که در تعطیلات آخر هفته آمار حملات به صفر می‌رسد.

Bizarro Sundown  از آسیب پذیری IE با شماره مرجع (CVE-2016-0189) و دو آسیب‌پذیری دیگر در فلش با شماره‌های مرجع (CVE-2015-7645) و (CVE-2016-4117)  استفاده کرده است. فرمت URL اکسپلویت کیت Bizarro Sundown مشابه Sundown می‌باشد. با این که صفحات ورود متفاوتی دارند. همچنین اکسپلویت کیت Bizarro Sundown ویژگی ضد خزش(anti-crawling)  را به ویژگی‌هایش افزوده است. این ویژگی از خزش‌های خودکار جلوگیری نموده و نمی‌گذارد اکسپلویت کیت توسط راهکارهای امنیتی مورد تحلیل قرار گیرد.

دو هفته بعد از نسخه‌ی اول نسخهای عرضه شد که شامل تغییراتی در URL بود. این تغییرات باعث شد تا URL استفاده شده توسط Bizzaro Sundown بیشتر شبیه ترافیک تبلیغاتی معمول شود. این تغییر با روش تغییر مسیری که توسط کمپین Shadowgate مورد استفاده قرار گرفت هماهنگی بیشتری داد. همان‌طور که پیش‌تر هم اشاره کردیم نسخه‌ی جدید بعد از این تغییرات GreenFlash نام گرفت.

راهکارهای مقابله

از یک ضد ویروس معتبر استفاده نمایید

  • اگر از کسپرسکی استفاده می‌نمایید پیشنهاد میکنیم تا کارهای زیر را انجام دهید:
  • System Watcher کسپرسکی را فعال نمایید. زیرا در صورت فعال بودن، System Watcher از ایجاد هرگونه تغییر ناخواسته‌ای جلوگیری می‌کند. در نتیجه System Watcher از رمز شدن فایل‌های سیستم هم جلوگیری می‌کند، حتی در زمان‌هایی که بدافزاری که اقدام به رمز نمودن فایل‌ها نموده است در پایگاه داده کسپرسکی وجود نداشته باشد.
  • همیشه از اطلاعات خود نسخه‌ی پشتیبان تهیه نمایید.
  • اخبار آسیب‌پذیری را جدی گرفته و به روز رسانی‌ها را به موقع انجام دهید.
  • از راهکارهای مدیریت وصله‌ی کارآمد استفاده نمایید.
آرمان داده پویان نمایندگی رسمی محصولات کسپرسکی در ایران

تازه ترین ها