حملات هدفمند از چندین مرحله تشكیل میشوند كه به زنجیره قتل APT شناخته میشوند. مهاجمان به عنوان بخشی از فاز مسلح كردن خود، اغلب Payloadی را در یك فایل قرار میدهند كه زمانی كه نصب میگردد، در فاز دستور و كنترل (C۲) به مهاجم متصل میشود.
به گزارش ایتنا از مرکز ماهر، یك payload بسیار معمول مورد استفاده بسیاری از بدافزارهای سرقت كلمه عبور، نرم افزار ثبت ضربات صفحه كلید (keylogger) است. هدف از ثبت ضربات صفحه كلید این است كه ضربات صفحه كلید كاربر ضبط شود و اطلاعات اعتباری وی و لینكها به منابع داخلی و خارجی جمعآوری گردد.
اخیراً بدافزار مارمولك كه یك نرم افزار ایرانی ثبت ضربات صفحه كلید است با MD5 برابر با F09D2C65F0B6AD55593405A5FD3A7D97 شناسایی شده است.
نخستین ظهور این keylogger به یك فروم در خاورمیانه باز میگردد. اگرچه ممكن است برخی keylogger ها ضربات صفحه كلید را برای مقاصد قانونی ثبت نمایند، اما این نرمافزار قربانیان خود را با یك payload پنهان گمراه میسازد.
به نظر میرسد كه تولید كننده این بدافزار با قرار دادن آن در فروم مذكور، قصد حمله به سایر اعضای این فروم را داشته است كه این كار تكنیكی مرسوم است.
نویسندگان بدافزارها اغلب برای جلوگیری از شناسایی شدن، از ابزارهای ارزان و سادهای استفاده میكنند كه بدافزار را با یك برنامه runtime فشرده سازی یا رمزگذاری، تغییر میدهد. البته در این مورد خاص، فایلهای مرتبط توسط یك نسخه تغییر یافته از ابزار مشهور UPX پنهان شدهاند.
این فایل در هنگام اجرا یك كپی از خود با نام Mcsng.sys در فولدر Sysytem32 ایجاد میكند. این بدافزار همچنین پروسهای را اجرا میكند كه فایل ۱stmp.sys را در فولدر system32\config جایگذاری كرده و مینویسد.
اگرچه پسوند این فایل .sys (فایل سیستمی) است، اما در حقیقت این فایل سیستمی نیست. هدف این فایل این است كه به عنوان یك فایل لاگ عمل كند كه محتوی ضربات صفحه كلید كاربر است كه به صورت رمز شده ذخیره شدهاند.
هربار كه یك كلید فشرده میشود، این پروسه ضربات صفحه كلید را ثبت میكند، آن را رمز كرده و به 1stmp.sys اضافه میكند.
اگرچه الگوریتم رمزگذاری مورد استفاده برای این كار ساده است، ولی از رمزگذاری انتخابی با دو تكنیك استفاده میكند: هر بایت درصورتیكه فرد باشد با استفاده از تكنیك ۱ رمز میشود و درصورتیكه زوج باشد، با استفاده از تكنیك ۲ رمزگذاری میگردد.
پس از رمزگشایی نه تنها ضربات صفحه كلید قابل مشاهده هستند، بلكه اطلاعات زمانی ثبت این اطلاعات نیز قابل مشاهده است. پس از ثبت و رمز گذاری ضربات صفحه كلید، این بدافزار این اطلاعات را برای نویسنده خود ایمیل میكند.
این بدافزار همچنین نام كامپیوتر و نام كاربر را نیز برای سازنده خود میفرستد. لاگ رمز شده به آدرس marmoolak@red-move.tk ارسال میگردد كه بر روی دامنهای میزبانی میشود كه به میزبانی بدافزارها مشهور است.
مكآفی این تروجان keylogger و نسخههای مختلف آن را با عنوان Keylog-FAG میشناسد. برای جلوگیری از آلوده شدن توسط انواع keylogger ها، باید آنتیویروس خود را بهروز نگه دارید و از منابع نامطمئن دانلود نكنید.
http://www.itna.ir/vdchz-nx.23nv6dftt2.html
بدافزار ایرانی مارمولك
اصل این خبر مال مکآفی است و مرکز ماهر ترجمه کرده است.
من از مکآفی تعجب کردم که اینطوری خبر را منتشر کرده است. این کیلاگر نه جدید است (الان نسخه ۱.۱۷۲ است!) و نه حمله APT محسوب میشود.
متاسفانه جدیدا هر بدافزاری پیدا بشه اسمش را APT میگذارند. APT یک کلمه خاصه که به تهدیدات بسیار پیشرفته و هدفمندی مثل Stuxnet و Flame گفته میشه که معمولا یک تیم متخصص و بسیار مجرب پشتش است.
این تعریف را مقایسه کنید با این کیلاگر که یک نفر با Visual Basic پیاده کرده است!
علاوه بر اینکه اصلا این بدافزار جدید نیست؛ حداقل از سال ۲۰۰۶ وجود داشته و خیلی هم علنی در اختیار هکرها بوده است. (حملات APT در خفای کامل انجام میشوند)
لینک انواع نسخههای بدافزار
لینک نسخه 1.10 (سال ۲۰۰۶)
لینک خبر مکآفی
من از مکآفی تعجب کردم که اینطوری خبر را منتشر کرده است. این کیلاگر نه جدید است (الان نسخه ۱.۱۷۲ است!) و نه حمله APT محسوب میشود.
متاسفانه جدیدا هر بدافزاری پیدا بشه اسمش را APT میگذارند. APT یک کلمه خاصه که به تهدیدات بسیار پیشرفته و هدفمندی مثل Stuxnet و Flame گفته میشه که معمولا یک تیم متخصص و بسیار مجرب پشتش است.
این تعریف را مقایسه کنید با این کیلاگر که یک نفر با Visual Basic پیاده کرده است!
علاوه بر اینکه اصلا این بدافزار جدید نیست؛ حداقل از سال ۲۰۰۶ وجود داشته و خیلی هم علنی در اختیار هکرها بوده است. (حملات APT در خفای کامل انجام میشوند)
لینک انواع نسخههای بدافزار
لینک نسخه 1.10 (سال ۲۰۰۶)
لینک خبر مکآفی
[quote="Naficy"]اصل این خبر مال مکآفی است و مرکز ماهر ترجمه کرده است.
من از مکآفی تعجب کردم که اینطوری خبر را منتشر کرده است. این کیلاگر نه جدید است (الان نسخه ۱.۱۷۲ است!) و نه حمله APT محسوب میشود.
متاسفانه جدیدا هر بدافزاری پیدا بشه اسمش را APT میگذارند. APT یک کلمه خاصه که به تهدیدات بسیار پیشرفته و هدفمندی مثل Stuxnet و Flame گفته میشه که معمولا یک تیم متخصص و بسیار مجرب پشتش است.
این تعریف را مقایسه کنید با این کیلاگر که یک نفر با Visual Basic پیاده کرده است!
علاوه بر اینکه اصلا این بدافزار جدید نیست؛ حداقل از سال ۲۰۰۶ وجود داشته و خیلی هم علنی در اختیار هکرها بوده است. (حملات APT در خفای کامل انجام میشوند)
لینک انواع نسخههای بدافزار
لینک نسخه 1.10 (سال ۲۰۰۶)
لینک خبر مکآفی[/QUOTE]
البته مک آفی شرکت نابود شده ای در مقایسه با مثلا نورتون هست اما
شاید بچه مارمولک ها!!! ابتکار جدید به خرج دادن و چون ورژن جدیدی از اون منتشر شده مک آفی خبر رو با تاریخ May 21, 2014 منتشر کرده
البته این روزا بدشون نمیاد هر اتفاقی از عربستان سعودی تا نیویورک روی سیستم ها صورت میگیره به ایران نسبت بدن!! و مقایسه اش کنند با stuxnet و...
من از مکآفی تعجب کردم که اینطوری خبر را منتشر کرده است. این کیلاگر نه جدید است (الان نسخه ۱.۱۷۲ است!) و نه حمله APT محسوب میشود.
متاسفانه جدیدا هر بدافزاری پیدا بشه اسمش را APT میگذارند. APT یک کلمه خاصه که به تهدیدات بسیار پیشرفته و هدفمندی مثل Stuxnet و Flame گفته میشه که معمولا یک تیم متخصص و بسیار مجرب پشتش است.
این تعریف را مقایسه کنید با این کیلاگر که یک نفر با Visual Basic پیاده کرده است!
علاوه بر اینکه اصلا این بدافزار جدید نیست؛ حداقل از سال ۲۰۰۶ وجود داشته و خیلی هم علنی در اختیار هکرها بوده است. (حملات APT در خفای کامل انجام میشوند)
لینک انواع نسخههای بدافزار
لینک نسخه 1.10 (سال ۲۰۰۶)
لینک خبر مکآفی[/QUOTE]
البته مک آفی شرکت نابود شده ای در مقایسه با مثلا نورتون هست اما
شاید بچه مارمولک ها!!! ابتکار جدید به خرج دادن و چون ورژن جدیدی از اون منتشر شده مک آفی خبر رو با تاریخ May 21, 2014 منتشر کرده
البته این روزا بدشون نمیاد هر اتفاقی از عربستان سعودی تا نیویورک روی سیستم ها صورت میگیره به ایران نسبت بدن!! و مقایسه اش کنند با stuxnet و...