تحلیل شبکه بات بانکی (GameOverZeus)

در هفته گذشته بات نت Game over zeus با اجرای قوانین بین المللی و با همکاری مراکز، شرکت ها و سازمان های فعال در زمینه بدافزار شناسایی و به حالت تعلیق درآمد. آنچه اهمیت دارد آن است که از لحاظ فنی باز پس گرفتن کنترل بات ها غیرممکن نیست، بنابراین شناسایی، رفع آلودگی سیستم های قربانی و زامبی ها به این گونه بات ها بسیار پراهمیت است. درحال حاضر بیش از یک میلیون کامپیوتر توسط Game over zeus آلوده شده اند.

 ساختار بات نت

شبکه بات شبکه‌ای از میزبان‌های آلوده است که تحت کنترل یک مرکز فرمان دهی واحد بوده و با دریافت فرامین از این مرکز اقدامات متناسبی را انجام می‌دهند. شبکه‌های بات تهدیدی جدی علیه امنیت منابع اینترنتی بوده و معمولا انگیزه‌های مالی و سیاسی مهمی پشت آن‌ها وجود دارد. در سال‌های اخیر فروش شبکه‌های بات شکل تجاری به خود گرفته است. برخی شبکه‌های بات علاوه بر استفاده در به اشتراک گذاری منابع در حملات منع دسترسی، می‌توانند همانند یک تروجان جهت دزدی اطلاعات کاربر نیز مورد استفاده قرار گیرند.

بات دستورات خود را از سرور کنترل و فرمان که توسط رییس بات هدایت می‌شود، دریافت می‌نماید. رییس بات به فردی گفته می‌شود که تمامی امور یک شبکه بات از ایجاد تا کنترل را به دست دارد، بدین ترتیب که بات را پیکربندی می‌کند، روش‌هایی که برای مصالحه کردن سیستم قربانی به کار می‌رود را مشخص می‌کند و آن‌ها را پیاده سازی می‌نماید. سپس بات را بر روی سیستم قربانی نصب می‌نماید و در نهایت بات ها را از طریق کانال کنترلی هدایت و رهبری می‌کند و دستورات حمله را صادر می‌نماید. بات نت ها معمولاً بدون هیچ شواهد غیرقابل مشاهده عمل می کنند و می توانند برای سال ها عملیاتی باقی بمانند.

 

جزییات بات نت Game over zeus  

Gameover Zeus‌ یکی از انواع Trojan.Zbot می باشد که اغلب با نام Zeus شناخته شده است و از یک شبکه نظیر به نظیر (P2P) و الگوریتم تولید دامنه (DGA) برای کنترل و فرماندهی (C&C) استفاده می کند. رییس این بات (botmaster) یک شبکه نسبتا ثابت از صدها هزار نفر از کامپیوترهای آلوده را در سراسر جهان حفظ نموده است.

Gameover به عنوان ییشرفته ترین نوع Zeus شناخته شده است و بر خلاف انواع دیگر، اهداف آن از جمله Citadel و IceX برای فروش مجدد نیست. این شبکه بات می تواند جهت انجام تقلب های مالی در مقیاس بزرگ از طریق ربودن نشست های بانکی هزاران نفر از قربانیان آنلاین مورد استفاده قرار گیرد.

این بات به طور معمول از طریق یک ایمیل که به عنوان صورت حساب مطرح می شود توزیع شده است. هنگامی که یک کاربر آلوده وب سایت بانکی خود را از طریق یک کامپیوتر قربانی بازدید می کند، Gameover‌ با استفاده از تکنیکی که به نام man-in-the-browser(MITB) شناخته شده است، میان این راه ارتباطی قرار گرفته و با دور زدن فاکتور های احراز هویت و نشان دادن پیام های جعلی امنیت بانکداری به کاربر، سعی در بدست آوردن اطلاعات کاربر می نماید و در نهایت با بدست آوردن این اطلاعات قادر به تغییر تراکنش های بانکی کاربر و سرقت پول او خواهد شد.

از این بدافزار می توان در فعالیت هایی از قبیل malware dropping ، حملات انکار سرویس توزیع شده، سرقت bitcoin و Skype و سرقت دیگر سرویس های مالی آنلاین استفاده نمود.

    پیامدهای آلودگی به بدافزار Game over zeus  

سیستمی که آلوده به شبکه بات GameOverZeus می گردد می تواند در اجرای حملاتی همچون انکار سرویس توزیع شده، ارسال اطلاعات اسپم و سرقت اطلاعات بانکی مورد سواستفاده قرار بگیرد.

       اجزای زیرساخت بدافزار Game over zeus  

·         ارتباطات هم نظیر P2P به اسم  gameover-zeus-peer شناسایی شده است

·         ارتباطات لایه HTTP Proxy به نام gameover-zeus-proxy شناسایی شده است.

·         درخواست های مجدد DGA ( بالغ بر 1000 دامنه تصادفی برای هر هفته با پسوند های  .biz, .com, .info, .net, .org  و .ru) به نام gameover-zeus-dga شناسایی شده است.

    سیستمهای آسیب پذیر

•Microsoft Windows 95, 98, Me, 2000, XP, Vista, 7, and 8

•Microsoft Server 2003, Server 2008, Server 2008 R2, and Server 2012 

  احتمال آلودگی به بدافزار Cryptolocker

کامپیوتر های آلوده به بات نت Gameover ممکن است به بدافزار Cryptolocker نیز آلوده گردند. Cryptolocker جزء بدافزارهای گروگان گیر می باشد که بوسیله قفل نمودن کامپیوتر قربانی و رمزنگاری فایل ها، سعی در اخاذی از قربانی می کند. این بدافزار از خطرناک ترین نوع بدافزارهای گروگان گیر انتشاریافته می باشد که از رمزنگاری بسیار قوی، که به راحتی قابل شکستن نمی باشد استفاده می نماید. Cryptolocker اولین بار در سپتامبر 2013 مشاهده شده است. ثابت شده که بدافزارهای گروگان گیر از جمله Cryptolocker، بطور قابل توجهی برای مهاجمین سودآور می باشد و در سالهای اخیر توزیع کنندگان آن بدون شک میلیون ها دلار بدست آورده اند. براساس تحقیقات سایمانتک، بطور میانگین 3 درصد از کاربران آلوده، به این نوع اخاذی پاسخ مثبت می دهند. قربانیان معمولا بوسیله ایمیل هایهرزنامه  که دارای پیوست حاوی فایل فشرده هستند آلوده می گردند. این بدافزار پس از ارتباط با سرور کنترل و فرمان کلید عمومی مورد استفاده برای رمزنگاری فایل های سیستم قربانی را دانلود می نماید. کلید خصوصی برای رمز گشایی فایل ها در سرور کنترل و فرمان باقی می ماند.

       مشخصات

·         فایل های سیستم قربانی رمز شده و تا هنگام پرداخت قربانی باقی می ماند.

·         بیش از 121.000 قربانی در آمریکا و 234.000 قربانی در تمام جهان که آلوده به این بدافزار هستند، شناسایی گردیده اند.

·         بصورت تخمینی 30 میلیون دلار پرداخت به مهاجمین بین سپتامبر و دسامبر 2013 انجام شده است. 

قلمرو Game over zeus/ CryptoLocker

·         بیش از یک میلیون آلوده به این بات در جهان شناسایی گردیده است.

·         تقریباً 25% کامپیوترهای آلوده در ایالات متحده آمریکا قرار دارند.

·         ضرر و تلفات در سطح جهان صدها میلیون دلار برآورد شده است.

·         10 کشور در عملیات شناسایی و مقابله جهت رفع آن مشارکت کلیدی داشته اند.

 شناسایی و رفع آلودگی

برای شناسایی و رفع آلودگی بات نت GameOverZeus موارد زیر پیشنهاد می گردد:

·         نرم افزار آنتی ویروس معتبر خود را به روزرسانی نمایید.

·         رمزعبور سیستمهای قربانی را تغییر داده و از قوانین رمزعبور قوی در سیستمها استفاده نمایید.

·         به منظور مقابله با سو استفاده مهاجمین از آسیب پذیری های رایانه ای، سیستم عامل و برنامه های کاربردی نصب شده بر روی سیستم را به روز رسانی نمایید.

·         از برنامه های معتبر معرفی شده در وب سایت شرکتهای امنیتی به منظور شناسایی آلودگی سیستم استفاده نمایید مانند:

1-    http://campaigns.f-secure.com/en_global/zeus/ols/

2-    http://www.symantec.com/security_response/writeup.jsp?docid=2014-052915-1402-99