حملات بدافزاری به ویندوز از راه دیكشنری
به گزارش دانلود فایل بات نت جدیدی به نام لوسیفر مشاهده شده است كه می تواند توسط یك دیكشنری حملات خویش را آغاز كند و سیستم های ویندوزی را مورد هدف قرار می دهد.
به گزارش دانلود فایل به نقل از ایسنا، لوسیفر (Lucifer) یک بات نت مخرب و ترکیب جدیدی از cryptojacking و نوعی بدافزار DDoS است که منجر به اکسپلویت صدمه پذیری های قدیمی و انجام فعالیتهای مخرب روی سیستم عامل های ویندوز می شود. این بات نت بعد از آلوده کردن سیستم، آنرا توسط رباتی به یک کلاینت استخراج رمزارز (cryptomining) تبدیل نموده و از این طریق می تواند حملات انکار سرویس توزیع شده (DDoS) را آغاز کند.
نویسنده بدافزار، این ربات را Satan DDoS نامگذاری کرده است، اما محققان پالو آلتو، به آن لقب لوسیفر داده اند، چونکه بدافزار دیگری هم با همین نام (Satan Ransomware) وجود دارد. در ۲۹ام ماه می ۲۰۲۰، محققان پالو آلتو، نوع جدیدی از بدافزار ترکیبی cryptojacking را کشف کردند که صدمه پذیری با شناسه "CVE-۲۰۱۹-۹۰۸۱"را اکسپلویت می کند. بر اساس گزارش مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای کامپیوتر ای)، بدافزار لوسیفر قادربه انجام حملات DDoS و همینطور اکسپلویت صدمه پذیر ویندوز است.
لوسیفر بسیار قدرتمند است، این بات نت علاوه بر آن که می تواند XMRig را جهت cryptojacking Monero حذف کند، می تواند از راه اکسپلویت صدمه پذیری های مختلف، نظارت بر سرور کنترل و فرمان را هم برعهده گرفته و حملات EternalBlue، EternalRomance و DoublePulsar را ضد اهداف صدمه پذیر اینترانت اجرا نماید. پیش از این هم درباره اکسپلویت EternalBlue هشدار داده شده بود که یکی از ابزارهای جاسوسی سازمان امنیت ملی امریکا (NSA) است که توسط گروه دلالان سایه افشا شد و در حمله باج افزاری واناکرای نقش اصلی را بازی می کرد.
لوسیفر قادر به حذف XMRig Monero بوده و شامل ماژول DDoS است و مکانیزم خویش را با اکسپلویت صدمه پذیری های مختلف و اجرای حملات جدی پیاده سازی خواهد نمود. در ابتدا این بدافزار به منظور آلوده کردن هاست های خارجی، یک آدرس IP غیرخصوصی تولید کرده و سپس قربانی که به صورت تصادفی انتخاب شده است را با درخواست های HTTP روی برخی از پورت ها مورد بررسی قرار می دهد.
مهاجم می تواند بعد از به خطرافتادن سیستم قربانی توسط این بات نت، دستورات دلخواه را روی دستگاه آلوده اجرا نماید. کارشناسان دریافتند که لوسیفر می تواند که هم اینترنت و هم اینترانت هاست های ویندوز را مورد هدف قرار دهد. این بدافزار می تواند توسط یک دیکشنری حملات بی رحمانه خویش را آغاز کند، که در این حملات، بدافزار متکی به یک دیکشنری با هفت نام کاربریِ “sa” “SA” “su” “kisadmin” “SQLDebugger” “mssql”و “1234Chred”و صدها پسورد است.
نرم افزارهای صدمه پذیر عبارتند از: Rejetto HTTP File Server، Jenkins، Oracle Weblogic، Drupal، Apache Struts، Laravel framework و Microsoft Windows. با عنایت به اهمیت این مساله، مرکز ماهر سفارش می شود هر چه سریع تر به روزرسانی ها و وصله های امنیتی نرم افزارهای تحت تاثیر را اعمال کرده و همینطور جهت پیشگیری از حملاتی که از راه دیکشنری انجام می شوند، از پسورد های قوی استفاده کنید.
این مطلب را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب