بدافزار Andromeda
سه شنبه بیست و پنجم مهر ۱۳۹۶ ساعت 8:25 توسط موسسه ترسیم رایانه شرق | 
بدافزار Andromeda که یکی از بازیگران اصلی کارزارهای هرزنامه‌ای سال 2016 بوده سابقه و تاریخچه‌ای طولانی دارد.

در اکثر نسخه‌های این بدافزار که نخستین نمونه آن در سال 2011 میلادی شناسایی شد از روش‌های مختلفی از جمله هرزنامه‌های با پیوست و یا لینک مخرب به منظور انتشار آن استفاده شده است.

به گزارش شرکت مهندسی شبکه گستر، در سال‌های اخیر نیز یکی از روش‌های اصلی انتشار این بدافزار سوءاستفاده از آسیب‌پذیری‌های نرم‌افزارهای نصب شده بر روی دستگاه کاربران بوده است. برای این منظور گردانندگان این بدافزار بسته‌های بهره‌جو (Exploit Kit) را در سایت‌ها و سرویس‌های تبلیغاتی آنلاین تحت تسخیر خود تزریق کرده و با هدایت کاربران به این سایت‌ها اقدام به بهره‌جویی از آسیب‌پذیری موجود بر روی نرم‌افزارهای دستگاه و اجرای از راه دور فایل مخرب Andromeda می‌کنند.

دستگاه آلوده شده به این بدافزار عملاً به عضوی از شبکه مخرب Andromeda در آمده و با وجود درب‌پشتی (Backdoor) نصب شده بر روی آن مهاجمان را قادر به اعمال خرابکاری‌های بیشتر بر روی دستگاه می‌کنند.

به همین طریق بدافزار قادر است تا با ضبط اطلاعات محرمانه و حساسی همچون اطلاعات اصالت‌سنجی که توسط کاربر در سیستم وارد می شوند آنها را به سرور فرماندهی (C&C) خود ارسال کند.

شبکه مخرب (Botnet) این بدافزار قابلیت ارسال ایمیل‌های انبوه و اجرای حملات توزیع شده برای از کاراندازی سرویس (DDoS) را نیز در خود دارد.

برخی نمونه‌های Andromeda توانایی سرقت داده از روی حافظه RAM تجهیزات موسوم به پایانه‌های فروش (PoS) را دارند. باید توجه داشت که هر چند ارتباطات میان پایانه فروش و سرورهای بانک رمزگذاری شده اما در حین پردازش پرداخت، اطلاعات مورد نیاز بر روی حافظه پایانه فروش رمزگشایی می‌گردد. در همین مرحله نیز داده‌های حساس توسط Andromeda سرقت می‌شوند.

ارتباطات بدافزار با سرورهای فرماندهی از طریق کلیدهای RC4 رمزگذاری می‌شود. موضوعی که کار شناسایی ارتباطات مخرب این بدافزار را برای نرم‌افزارها و تجهیزات دیواره آتش دشوار می‌سازد.

ضمن اینکه این بدافزار مجهز به قابلیت‌ها و امکاناتی بر عبور از سد محصولات امنیتی از جمله ابزارهای موسوم به Sandbox نیز می‌باشد.

بکارگیری ضدویروس قدرتمند و به‌روز، نصب کامل و بموقع اصلاحیه‌های امنیتی، استفاده از محصولات دیواره آتش و نفوذیاب، بهره‌گیری از نرم‌افزارها و تجهیزات ضدهرزنامه و مهمتر از همه آموزش کاربران در پرهیز از باز کردن پیوست ایمیل‌های مشکوک و کلیک بر روی لینک‌های ناآشنا همگی در کنار یکدیگر می‌توانند احتمال آلوده شدن دستگاه به این نوع بدافزارهای مخرب را به حداقل برسانند.

توضیح اینکه نمونه بررسی شده در این گزارش توسط ضدبدافزارهای McAfee و Bitdefender بترتیب با نام‌های W32/Worm-FFE!41C33FDB9A95 و Gen:Variant.Kazy.219676 شناسایی می‌گردد.

مشخصات
رسانه خبری امنیت اطلاعات موسسه نرم افزاری ترسیم رایانه شرق
ارائه دهنده محصولات امنیتی ( آنتی ویروس ، اینترنت سکیوریتی ، توتال سکیوریتی ،فایروال )
www.tarsiem.ir
09203094689
telegram.me/tarsiemrayaneh
telegram.me/itmsecurity
tarsiem@yahoo.com
موضوعات وب
پیوندها
آرشیو وب

دریافت کد آمارگیر سایت

B L O G F A . C O M

تمامی حقوق برای رسانه خبری امنیت اطلاعات محفوظ است .