امتیاز موضوع:
  • 0 رأی - میانگین امتیازات: 0
  • 1
  • 2
  • 3
  • 4
  • 5
سناریوی سرقت داده‌ها (Hancitor)
#
به گزارش واحد امنیت مای بی بی اسکین این بدافزار نسخه‌های متفاوتی دارد که از طریق ضمیمه‌های فایل مخرب انتشار می‌یابد و بدافزارهای ویژه سرقت داده‌ها را منتشر می‌کند.
بدافزار هنکیتور (Hancitor) با دیگر نام‌های Chanitor یا TorDal یک بدافزار از نوع دانلودر است که تقریباً از سال 2014 پدیدار شده است. دانلودرها پس از استقرار در سیستم قربانی، با سرورهای C2 خود تماس برقرار کرده و تروجان‌ها، بات‌ها و دیگر انواع بدافزار را دانلود و نصب می‌کنند.
همان‌طور که در گزارش مرکز ماهر (مدیریت امداد و هماهنگی عملیات رخدادهای‌ رایانه‌ای) آمده است، در ماه می، محققان Proofpoint اعلام کردند که ظهور مجدد هنیکتور را مشاهده کردند.
این دانلودر خاص سه قابلیت اساسی دارد: دانلود فایل exe از یک url و اجرای آن، دانلود یک DLL از یک url و اجرای آن بدون نوشتن آن روی دیسک و در عوض نوشتن آن مستقیماً بر روی فضای حافظه دانلودر، حذف خود دانلودر.
هر یک از این دستورات ممکن است پس ارسال یک درخواست به سرور C2 از طرف دانلودر، دریافت شوند. این درخواست شامل اطلاعات شناسایی منحصربه‌فرد قربانی است و مهاجم را قادر می‌کند تا به‌سادگی قربانیان را کنترل کند.
سناریوی آلودگی
دانلودر هنکیتور تا زمان فعالیت کمپین اصلی در ژوئن 2112، تقریباً فعالیتی نداشته اما طی هفته‌های اخیر، در زمان انجام تحقیقات افزایش چشمگیری در ارسال خانواده بدافزار هنکیتور مشاهده‌شده است.
درعین‌حال، گزارش‌هایی از دیگر شرکت‌ها و محققان امنیتی مبنی بر فعالیت مشابه دریافت شده است. این بدافزار دانلودر، از طریق ضمیمه‌های فایل مخرب انتشار می‌یابد و بدافزارهای ویژه سرقت داده‌ها (مانند Pony و Vawtrak) را منتشر می‌کند.
البته به گفته محققان، شیوه‌ تحویل داده‌های واقعی (Payload) بدافزار هنکیتور با نسخه‌های قبلی آن متفاوت است.
جالب‌ترین تکنیک مربوط به توانایی بدافزار هنکیتور برای پنهان کردن فرمان‌های مخرب PowerShell است. به گفته محققان، زمانی که کاربر ماکروها را فعال کند، درواقع راهی برای ایجاد فرمان PowerShell بازخواهد کرد.
این بدافزار قطعات کد را برای سرهم‌بندی و تولید فرمان ترکیب می‌کند. بنا بر ادعای این محققان هکرها از اندازه فونت بسیار کوچک «1» برای پنهان کردن متن PowerShell استفاده می‌کنند که تشخیص آن را بسیار دشوار می‌کند.
تشابهات بدافزار هنکیتور با دیگر بدافزارها
در ماه می، اندکی پس‌ازاینکه هنکیتور برای اولین مرتبه بروز شد، Ruckguv در حال دانلود Vawtrak مشاهده شد. آخرین مرتبه‌ای که این دانلودر مشاهده شد، در دسامبر 2111 بود که بار مفید Crytowall را بارگذاری می‌کرد.
از آخرین مرتبه‌ای که دانلودر در داده‌های ProofPoint مشاهده‌شده، Ruckguv نیز تغییرات اساسی کرده و به‌روز شده است. تغییرات قابل‌توجه و خصوصیات جدید بدافزار عبارت‌اند از اینکه بار مفید دانلودشده در سیستم به‌جای سه نام فایل، با یک نام فایل احتمالی نوشته‌شده و قابلیت دانلود و اجرای DLL به نام Pony به‌عنوان یک ماژول فراهم‌شده است.
این بدافزار به‌صورت یک سند ورد آلوده و عمدتاً با استفاده از پیوست کردن این فایل به پیام‌های پست الکترونیکی منتشر می‌شود. شواهد و بررسی‌ها نشان می‌دهد که بدافزار هنکیتور نسخه‌های متفاوتی دارد که هر یک تفاوت کمی با دیگری دارد اما روال کلی کار آن‌ها مشابه یکدیگر است. این بدافزار دانلودر، از طریق ضمیمه‌های فایل مخرب انتشار می‌یابد و بدافزارهای ویژه سرقت داده‌ها (مانند Pony و Vawtrak) را منتشر می‌کند.
 
 


موضوع‌های مرتبط با این موضوع...
موضوع: نویسنده پاسخ: بازدید: آخرین ارسال
  چرا رتبه الکسا نشان داده نمی شود Kamb!z 0 394 ۹-۹-۱۳۹۵
آخرین ارسال: Kamb!z

پرش به انجمن:


کاربرانِ درحال بازدید از این موضوع: 1 مهمان

اخبار فناوری اطلاعات | نرم افزار املاک | نرم افزار رستوران | نرم افزار تاکسی سرویس | نرم افزار رستوران | دانلود نرم افزار مطب | دانلود نرم افزار تاکسی سرویس | مجله پزشکی آسان طب | اتوماسیون پزشکی | نرم افزار دفترچه تلفن نرم افزار چاپ چک نرم افزار رستوران نرم افزار فست فود نرم افزار کافی شاپ نرم افزار تاکسی سرویس نرم افزار نمایشگاه خودرو نرم افزار املاک نرم افزار هتلداری نرم افزار مطب نرم افزار دندانپزشکی نرم افزار انبارداری نرم افزار حسابداری فروشگاه نرم افزار وکالت مجله اینترنتی پارسی وان | مجله اینترنتی زیگیل | خرید بک لینک | خرید رپورتاژ | سینما تئاتر مای استیج | یک مهاجر | دنیای مهاجرت | مجله گردشگری کاروان | وردپرس دانلود | مجله تفریحی تندیس فان | نرم افزار Software | جوک جدید | اخبار هنر | اخبار کامپیوتر | سایت پزشکی | فروشگاه اینترنتی | سایت خبری | اندروید سه | مجله کامپیوتری | تم کد | مجله اینترنتی وبدون | سایت تفریحی تک لایو | مجله سرگرمی سایت پزشکی دکتر طب | فرتکست | مجله پزشکی نت سلامت | کافه ایرونی | مجله خندانک | مجله اینترنتی فان استار | مجله من | مجله اینترنتی دونیمه | مجله اینترنتی بردیا | فاینال مد | فرهنگیا | نامبروان | جان نو | مگفر | مجله 24 | نیمچه | تک پدیا | آیناز وب | مطالب بیست | میهن اسکای | نیک آنلاین | شینار | وطنی ها | طب جدید | هوای تازه | آاقای گل | برترین مطالب | دایی رضا | فارس پدیا | آجودانیه | چارشنبه | فانیفا | قارپوز | گوهرمند | گل بهار | جهان من | جوان امروز | کالچر | مه آذین | مجله سبز | مگناب | دنیای نت | نیک اندیشه | نیکاندوست | نیک پاتوق | ازبک | پارمینو | پیک آبی | پورتال من | راز آلود | روسپید | رشد نگر | رویای زندگی | شورانگیز | سیمای وب | نتیها | تاپکده | وب دوستان | ویکی وان | یکناز | زرچوب | زردقناری | عصرطلایی | فرتورز | آموزش گیتار | مایادانلود | | دکتر CMS | سایت آموزش گیتار | رایان درمان | پارسیان گشت | ایران کافه | گیتی بوک | مجله فراتوریسم | فراتوریسم | دکتر آسان دنت | آسان دنت | مجله گردشگری افراگشت | افراگشت | هشت گام | فرکافی | میهن تاج | مجله پزشکی رایان درمان | موج سینما | تیزباد | برفانک | کافه داران | کینگ دانلود | هتل آپارتمان مشهد

درباره خانه

ایران تاک | انجمن گفتگوی ایرانیان