اکسپلویت کیت‌ها

اکسپلویت کیت Terror
۱۰ آبان ۱۳۹۶

اکسپلویت کیت Terror

با بالا رفتن بی سابقه قیمت بیت کوین، هر روز به تعداد افراد جویا‌ی این ارز دیجیتال افزوده می‌شود. در این بازار پر‌هیاهو مهاجمین هم بی‌کار ننشسته‌اند. اکسپلویت‌کیت Terror از جمله بدافزارهایی است که در جستجوی ارز دیجیتال است. هویت طراحان این اکسپلویت‌کیت ناشناس است و آن‌ها به صورت مستمر در حال  به‌روز رسانی این اکسپلویت‌کیت هستند. هدف اصلی Terror آلوده کردن سیستم‌ها و سپس استفاده از آن‌ها  به عنوان معدنچی(miner) برای ارز دیجیتالی می‌باشد.. Terror بر مبنای اکسپلویت‌کیت Sundown بنا شده است. Terror از اکسپلویت‌های متعددی استفاده می‌نماید:

اکسپلویت کیت Terror

نحوه انتشار اکسپلویت کیت Terror

اکسپلویت کیت Terror، از طریق تبلیغات pop-up منتشر می‌شود. این تبلیغات عموما با عناوینی مانند لاغری در بیست دقیقه، ترک سیگار و غیره نظر بازدیدکنندگان سایت را به خود جلب می‌نمایند. بعد از کلیک کردن بر روی این تبلیغات، مسیر قربانی به onclkds[.]net domainمنحرف می‌شود. Terror برای مخفی ماندن از دید راه‌کارهای امنیتی جاوا‌اسکریپت خود را مبهم می‌سازد.

جاوا‌‌اسکریپت مبهم نشده‌ی Terror را می‌توانید مشاهده نمایید.

نحوه عملکرد اکسپلویت کیت Terror

زمانی که درخواست به سمت صفحه‌ی .php می‌رود با HTTP 302 به سمت صفحه فرود Terror منحرف می‌شود. در صفحه‌ی فرود اکسپلویت‌ کیت Terror، یک VBScript و یک JavaScript بارگذاری شده است.

شماره مراجعی که در صفحه‌ی فرود اکسپلویت کیت Terror مشاهده شده‌اند، CVE-2016-0189 و CVE-2014-6332  بوده است. در انتهای صفحه‌ی فرود هم یک URL فراخوانی می‌شود که سعی می‌کند سه اکسپلویت فلش را بارگذاری نماید.

تغییرات اکسپلویت کیت Terror

همان‌طور که گفتیم اکسپلویت کیت Terror در حال بهبود و به‌روز‌رسانی است و شاهد تغییراتی در سربار اکسپلویت فلش آن هستیم. در آخرین نسخه‌ی اکسپلویت کیت Terror شاهد استفاده از سرباری بودیم که متعلق به خانواده تروجان smoke loader downloader می‌باشد. این سربار با “۶ea344d0db80ab6e5cabdc9dcecd5ad4” هش MD5 شده است.

از دیگر تغییرات اکسپلویت کیت Terror، افزودن لایه‌های جدیدی از مبهم‌سازی به آن است. هدف نهایی از این کار هم مخفی ماندن از دید راه‌کارهای امنیتی است. شرکت‌های امنیتی مانند کسپرسکی همواره در حال رصد این اکسپلویت‌ها هستند تا مطمئن شوند کاربرانش به طور کامل محافظت می‌گردند.

نشانه‌های آلودگی

  • cf3f532f2b25953b8ea3d30429dbeec5
  • ۷۲۱۵ee9c7d9dc229d2921a40e899ec5f
  • ۱۷۱۹۰۷c1490f7856f73a195da3f72497
  • ۰۶c8fb254196421f1bd4cd0234b52fa6
  • ۶e8ae2da57167a0c47b42953d9ffaa57
  • bfa8e123c2f037f6849dd331da73da0a
  • ۸۴۹bcdea44e56f4b6471f2e1269be519
  • ۷۲۱۵ee9c7d9dc229d2921a40e899ec5f
  • ۴e35757ebcf82eaea857af69ce825c9d
     
  • hi.notkodi[.]science
  • goods-boot[.]accountant
  • facilities-occupation[.]loan
  • estimate-smell[.]win
  • goods-bag[.]cricket
  • disadvantage-roof[.]webcam
  • explanation-shampoo[.]cricket
  • risk-pantyhose[.]trade

راه‌کارهای مقابله

  • ناوشگر، ضد‌ویروس و به طور کل نرم‌افزارهای خود را به‌روز نگه دارید.
  • کاربران شبکه تان را آموزش دهید.
  • به روز رسانی وصله‌های سیستم عامل را جدی بگیرید.
  • از یک ضد ویروس معتبر استفاده نمایید
  • اگر از کسپرسکی استفاده می‌نمایید پیشنهاد میکنیم تا کارهای زیر را انجام دهید:
    System Watcher کسپرسکی را فعال نمایید.
    زیرا در صورت فعال بودن، System Watcher از ایجاد هرگونه تغییر ناخواسته‌ای جلوگیری می‌کند. در نتیجه System Watcher از رمز شدن فایل‌های سیستم هم جلوگیری می‌کند، حتی در زمان‌هایی که بدافزاری که اقدام به رمز نمودن فایل‌ها نموده است در پایگاه داده کسپرسکی وجود نداشته باشد.
  • همیشه از اطلاعات خود نسخه‌ی پشتیبان تهیه نمایید.
  • اخبار آسیب‌پذیری را جدی گرفته و به روز رسانی‌ها را جدی بگیرید.
  • از راهکارهای مدیریت وصله‌ی کارآمد استفاده نمایید.

آرمان داده پویان نمایندگی رسمی محصولات کسپرسکی در ایران


تازه ترین ها