هکرها از SEO بلک هت برای انتشار باج افزار ، تروجان ها از طریق Google ، استفاده می کنند!!

هکرها از SEO بلک هت برای انتشار باج افزار ، تروجان ها از طریق Google ، استفاده می کنند!!


سیستم اطلاعات Gootkit به یک فریمورک پیچیده و مخفی تبدیل شده است که به آن Gootloader می گویند و الان سعی می کند نتایج گوگل را تغییر داده ، بدافزار های مختلفی رو با استفاده از سایت های وردپرسی هک شده و black SEO در صفحات اول نشان بدهند تا به محض ورود به سایت ها دستگاه ها آلوده شوند.این Gootloader علاوه بر افزایش میزان پیلود ها ، توزیع آنها را در صدها سرور هک از چندین منطقه دنیا که همیشه فعال هستند ، مشاهده کرده است.در این مقاله با نیما دباغی همراه خواهیم شد تا روش و متد حملات جدید بد افزاری که با استفاده از سئو گوگل در حال پخش و انجام هستن رو بررسی کنیمکمپین های بدافزار متکی به سازوکار Gootloader ، سال گذشته مشاهده شده است که باج افزار REVil را به طور گسترده ای در آلمان پخش و قربانیان زیادی گرفته است. این فعالیت شروع مجدد عملیات Gootkit را نشان داد که پس از یک وقفه طولانی بعد از نشت داده ها در اواخر سال 2019 ، انجام شد.مهاجمان با تشکیل یک شبکه گسترده از سایت های هک شده وردپرس و استفاده از SEO poisoning برای نمایش در فرم های Google با لینک های مخرب و حاوی بد افزار، مجدداً این جریان را شروع کردند.پیام جعلی در قالب یک بورد که فقط برای بازدیدکنندگان ازهر منطقه ی جغرافیای خاص سفارش سازی میشود و “بحثی” را به آنها ارائه می دهد که گفته می شود در میان بحث کاربران نیازمند پاسخ از سمت مدیرسایت هستند و مدیر سایت هم در آن پاسخ برای قربانیان لینک آلوده بد افزار را میفرستند.بروزرسانی [2 مارس 2021]: مایکروسافت امروز روش آلودگی Gootloader را تأیید کرد و گفت که حملات بی شماری را مشاهده می کند ، بیشتر آنها آلمان را هدف قرار می دهد.گزارشی امروز از شرکت امنیت سایبری Sophos برآورد می کند که Gootloader در هر لحظه حدود 400 سرور فعال را کنترل می کند که هاستینگ وب سایت های هک شده و قانونی هستند.در نمونه ای از یک سایت هک شده که بخشی از فریم ورک Gootloader است ، به نظر می رسد فرم جعلی برای یک جستجوی خاص مربوط به معاملات املاک و مستغلات ارائه می دهد.با این حال ،همه پست های انجمن در تمامی مناطقی که گفته شده فارغ از زبان آنها یکسان به نظر می رسند تیجه در سایتی برای یک روند پزشکی برای نوزادان است که هیچ چیز مشترکی با موضوع جستجو شده ندارد ، “با این حال این اولین نتیجه ای است که در یک پرسش در مورد نوع بسیار محدود تعریف شده از قرارداد املاک و مستغلات ظاهر می شود.”به غیر از payload های معمول ، Gootkit و باج افزار REvil ، همچنین Gootloader برای فرستادن Trojan Kronos وCobalt Strike threat emulation toolkit Cobalt Strike رصد شده است.به گفته Sophos ، کمپین های Gootloader بازدیدکنندگان از آلمان ، ایالات متحده و کره جنوبی را هدف قرار می دهند.با کلیک بر روی لینک ، بازدید کننده به یک فایل ZIP از یک فایل JavaScript که به عنوان آلوده کننده اولیه عمل می کند ، هدایت می شود. Sophos خاطرنشان می کند که این تنها مرحله ای است که یک فایل مخرب بر روی دیسک رایت میشود و سایر بدافزارها در حافظه سیستم مستقر می شوند ، بنابراین با ابزارهای امنیتی سنتی نمی توان آن را تشخیص داد.پیلود اولیه جاوا اسکریپت برای جلوگیری از شناسایی با راه حل های سنتی آنتی ویروس ها ، دو بار obfuscate می شود. همچنین شامل دو لایه رمزگذاری برای رشته ها و حباب های بین داده ای (data blobs) میباشد.اگر انتقال به مرحله دوم موفقیت آمیز باشد و کد مخرب اجرا شود، سرور دستور و کنترل (C2) Gootloader رشته ای از مقادیر عددی را از کاراکتر های ASCII ، در حافظه سیستم دانلود می کند.این مرحله شامل یک حباب داده ای بزرگ است که ابتدا مقدار عددی آن به یک متن رمزگشایی می شود ، سپس مستقیماً در یک سری از کلیدها در رجیستری ویندوز در زیر شاخه HKCU Software hive نوشته و ذخیره میشوددر مرحله بعدی ، یک ورودی خودکار برای یک اسکریپت PowerShell ایجاد می شود تا در هر راه اندازی مجدد سیستم ، load شود. هدف آن رمزگشایی از مطالبی است که قبلاً در کلیدهای رجیستری نوشته شده است و در نهایت با دانلود پیلود نهایی که می تواند Gootkit ، REvil ، Kronos یا Cobalt Strike باشد ، پایان می یابد.شرکت Sophos می گوید که آخرین نمونه های Gootloader از رجیستری برای ذخیره دو payload استفاده می کنند ،ابتدا یک C # قابل اجرا کوچک که وظیفه استخراج دومین پیلود اجرایی از داده های ذخیره شده در رجیستری ویندوز را دارد.بخش دوم قابل اجرا ، پیلود نهایی Gootloaders است ، یک تزریق کننده (injector) dotNET واسطه که یک بدافزار مبتنی بر Delphi را با استفاده از تکنیک hollowing فرآیند مستقر می کند. فرآیند hollowing تکنیکی است که توسط برخی از بدافزارها به کار می رود. این فرایند به مانند یک container عمل میکند و کد مخرب تحت یک پروسه تایید شده در سیستم اجرا میشود.در هنگام راه اندازی ، کد مجاز از جای خود خارج شده و کد مخربی جای آن را می گیرد. مزیت این پروسه این است که به روند obfuscate کمک میکند تا در میان فرآیندهای نرمال در حال اجرا به خوبی پنهان شود. حداقل دو برنامه قانونی و تایید شده را که برای این فرآیند استفاده شده ، رصد شده است : ImagingDevices.exe که در ویندوز موجود است و Embarcadero External Translation Manager.این بدافزار دلفی آخرین حلقه در زنجیره آلودگی توسط بد افزار هاست زیرا شامل یک نسخه رمزگذاری شده از REvil ، Gootkit ، Cobalt Strike یا Kronos است بعد پیلود را رمزگشایی و آن را در حافظه اجرا می کند.همه این پیچ و خم ها در هر مرحله از حمله ، مدتی را برای حمله به مهاجم می خرند زیرا تحلیلگران بدافزار باید زمان زیادی را برای درک هر مرحله از زنجیره ی آلودگی صرف کنند.علاوه بر این ، Sophos می گوید که چندین روش مختلف برای قرارگیری بد افزار روی سیستم ها وجود دارد که شامل اسکریپت های PowerShell اضافی ، ماژول های Cobalt Strike یا برنامه های اجرایی تزریق کد هستند.محققان می گویند که استفاده از مسدود کننده های اسکریپت می تواند کاربران را از این تهدید دور نگه دارد زیرا می تواند از جایگزینی صفحه هک شده جلوگیری کند. با این حال ، این راه حل در بین تعداد کمی از کاربران رایج است و هنوز تعداد زیادی از قربانیان بالقوه باقی مانده است.گروه تحقیقاتی Sophos یک تحلیل فنی از زنجیره آلودگی و حملات Gootloader منتشر کرده و شاخص های خطر و Yara rule را برای فایل مخرب JavaScript خود در صفحه GitHub در دسترس عموم قرار داده است.نویسنده : نیما دباغی ، محقق امنیت سایبری در Hakin9 و کارشناس باج افزاربرای دریافت بروزترین اخبار امنیت سایبری عضویت در کانال تلگرامی ما رو فراموش نکنید!Telegram.me/Alert_Security

منبع

Author: admin

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *