‫ بدافزارهاي سه‌ماهه سوم 2012 به گزارش Kindsight – قسمت دوم

IRCRE201211119
تاريخ: 28/08/91
 
مقدمه
گزارش بدافزارهاي سه‌ماهه سوم 2012 از آزمايشگاه‌هاي امنيتي Kindsight، روندهاي معمول آلودگي‌هاي بدافزاري را در شبكه‌هاي خانگي يا دستگاه‌هاي موبايل مورد بررسي قرار مي‌دهد. داده‌هاي اين گزارش از شبكه‌هايي جمع‌آوري شده است كه Kindsight در آنها به كار گرفته مي‌شود. در اين مطلب، به قسمت دوم اين گزارش مي‌پردازيم.
 
تغييرات جديد در سه‌ماهه سوم
ZeroAccess
در سه‌ماهه سوم 2012 همچنان ZeroAccess فعال‌ترين بت‌نت بوده است. هدف اصلي اين بت‌نت، انتشار بدافزاري است كه مسئول يك كمپين جعل كليك‌هاي تبليغاتي است. يك نسخه از اين بدافزار نيز از طريق Bitcoin mining كسب درآمد مي‌كند. در سه‌ماهه دوم اين بت‌نت روش آلوده‌سازي و پروتكل دستور و كنترل خود را تغيير داد. هر دو نسخه اين بت‌نت همچنان فعال هستند.
ZeroAccess از يك پروتكل دستور و كنترل نظير به نظير (P2P) استفاده مي‌كند كه در آن، ميزبان‌هاي آلوده ارتباط را از طريق super-node ها نگهداري مي‌كنند. يك super-node يك ميزبان آلوده است كه مستقيما و بدون مداخله مسيرياب خانگي يا ساير ابزارهاي NAT به اينترنت متصل است. نمودار زير نشان دهنده تعداد super-node ها براي ZeroAccess2 است كه در سه‌ماهه سوم تشخيص داده شده‌اند.
در هر روز ارتباطاتي با حدود 200 هزار super node شناسايي شده است. توزيع جغرافيايي اين super node ها در نمودار زير مشاهده مي‌گردد.
اندازه بت‌نت ZeroAccess
درصد كاربران خانگي كه در طول سه‌ماهه سوم در آمريكاي شمالي آلوده شده‌اند، به‌طور ميانگين روزانه حدود 0.8% بوده است. بر اين اساس مي‌توان اندازه اين بت‌نت را تخمين زد. براي اين كار چند راه وجود دارد.
بر اساس نرخ آلودگي 0.8% در آمريكاي شمالي و تخمين تعداد كاربران پهن‌باند در ايالات متحده، مي‌توان به سادگي محاسبه كرد كه احتمالا 685 هزار كاربر خانگي آلوده در ايالات متحده وجود دارد. اگر همين نرخ آلودگي (0.8%) در 20 كشور برتر ميزبان Super node ها در نظر گرفته شود، مجموعا 2.21 ميليون كاربر خانگي آلوده به دست مي‌آيد. درصورتي‌كه فرض كنيم كه نرخ بين‌المللي كامپيوترهاي آلوده به super node ها مشابه آنچه كه در آمريكاي شمالي مشاهده شده است باشد، به عددي حدود 2.27 ميليون شبكه خانگي آلوده خواهيم رسيد.
البته اين اعداد تخميني هستند، ولي مبتني بر دو معيار مستقل هستند و ما مي‌توانيم با اطمينان بگوييم كه در هر روز، حداقل 2.2 ميليون عضو فعال ZeroAccess بر روي اينترنت وجود دارند.
جعل كليك بر روي تبليغات
ZeroAccess از طريق جعل كليك بر روي تبليغات اقدام به كسب درآمد مي‌نمايد. كارگزاران اين بت‌نت يا كسب و كارهاي مرتبط با آنها، تعداد زيادي وب‌سايت را ثبت كرده‌اند كه ميزبان تبليغاتي هستند كه به ازاي هر كليك، براي آنها توليد درآمد مي‌كند. اين سايت‌ها از قالب‌هاي استانداردي استفاده مي‌كنند ك شامل يك بخش جستجو، نمايش تبليغات و ارائه دامنه براي فروش هستند. اعضاي اين بت‌نت‌ها طوري برنامه‌ريزي شده‌اند كه بر روي تبليغاتي كه توسط اين سايت‌ها ميزباني مي‌شوند كليك نمايند. وقتي كه بر روي يك تبليغ كليك مي‌شود، صاحب آن سايت براي آن كليك درآمدي به دست مي‌آورد.
اين بت‌نت‌ها به طور مرتب با يك سرور دستور و كنترل در تماس هستند و يك فهرست از تبليغات براي كليك كردن دريافت مي‌كنند. اين به سرور دستور و كنترل اجازه مي‌دهد كه به طور پويا كنترل نمايد كه كدام تبليغات انتخاب شده‌اند، در چه فاصله زماني بر روي اين تبليغات كليك مي‌شود و كدام اعضاي بت‌نت مورد استفاده قرار گرفته‌اند. تبليغ كنندگان و شبكه‌هاي تبليغاتي مكانيزم‌هاي پيچيده‌اي براي تشخيص جعل كليك دارند، در نتيجه سرور دستور و كنترل بار را ميان اعضاي بت‌نت متوازن مي‌سازد تا رفتار كليك كردن آنها بسيار طبيعي به نظر برسد. براي وانمود كردن به طبيعي بودن كليك‌ها، اعضاي بت‌نت از طريق تغيير مسيرهاي متوالي و لايه به لايه، و بارگذاري تمامي اجزاي html، جاوا اسكريپت و گرافيك مانند يك مرورگر عادي به تبليغ مورد نظر دسترسي پيدا مي‌كنند. اين موضوع باعث مصرف پهناي باند قابل توجهي مي‌گردد.
نمودار زير فعاليت شبكه را بر اساس كنترل رفتار يك عضو اين بت‌نت كه در ساعت 10 صبح آغاز شده است، در طول يك 24 ساعت نشان مي‌دهد.
فعاليت اين شبكه در طول شبانه‌روز مانند آنچه كه از يك كاربر واقعي توقع مي‌رود، متغير است. در يك بازه 24 ساعته، اين عضو بت‌نت بر روي 140 تبليغ كليك كرده است كه منجر به ترافيك شبكه 262 مگابايتي شده است. فقط نيمي از اعضاي بت‌نت براي جعل كليك بر روي تبليغات مورد استفاده قرار مي‌گيرند (ساير اعضا براي Bitcoin mining استفاده مي‌شوند)، در نتيجه مي‌توان گفت كه هر روز حدود يك ميليون عضو ZeroAccess مسئول كليك كردن بر روي حدود 140 ميليون تبليغ هستند و حدود 260 ترابايت ترافيك شبكه توليد مي‌كنند.
تخمين زدن ارزش واقعي دلاري اين جعل كليك سخت است. شبكه‌هاي تبليغاتي از الگوريتم‌هاي پيچيده‌اي براي تشخيص كليك‌هاي جعلي استفاده مي‌كنند. وب‌سايت‌هاي آزار دهنده پس از تشخيص سوء استفاده در ليست سياه قرار مي‌گيرند. در سال 2007 گوگل گزارش داد كه حدود 10% از كليك‌هاي تبليغات جعلي تشخيص داده شده است و براي آنها پولي به تبليغ كننده پرداخت نشده است و فقط 0.02% از كليك‌هاي جعلي از فيلترهاي آنها عبور كرده‌اند. البته اين بت‌نت نيز بسيار پيچيده است و همه تلاش خود را مي‌كند تا كليك‌ها معتبر و واقعي به نظر برسند. الگوريتم كليك بر روي تبليغات، سومين الگوريتمي است كه از اواخر سال 2011 تا كنون در ZeroAccess مورد استفاده قرار گرفته است، در نتيجه گردانندگان اين بت‌نت در حال افزايش مهارت‌هاي خود هستند.
Bitcoin Mining
يك روش ديگر كسب درآمد توسط ZeroAccess، استفاده از Bitcoin Mining است. Bitcoin يك فرم از جريان الكترونيكي است كه در سال 2009 اختراع شد و از طريق يك شبكه نظير به نظير كنترل مي‌گردد. انتقالات Bitcoin از طريق محاسبات پيچيده صورت مي‌گيرد كه بسيار سخت و زمان‌بر هستند. Bitcoin miner ها كامپيوترهايي هستند كه اين محاسبات را انجام داده و به شكل Bitcoin پاداش مي‌گيرند. در حدود نيمي از اعضاي بت‌نت ZeroAccess براي انجام اين محاسبات و به دست آوردن Bitcoin ها همكاري مي‌كنند. سوفوس تخمين مي‌زند كه ZeroAccess به اين روش سالانه بيش از 2.7 ميليون دلار در سال كسب مي‌كند.
TDSS/Alureon
دومين بت‌نت فعال در سه‌ماهه سوم 2012، خانواده TDSS/Alureon بود كه به عنوان TDL-4 نيز شناخته مي‌شوند. اين بت‌نت يك روت‌كيت است كه خود را در ركورد راه‌اندازي اصلي سيستم آلوده پنهان مي‌كند و از تكنيك‌هاي سرقت متفاوتي براي پنهان‌سازي خود از چشمان نرم‌افزارهاي آنتي‌ويروس سنتي استفاده مي‌كند. اين روت‌كيت همچنين بدافزارهاي رقيب را از سيستم آلوده حذف مي‌كند. اين كار مهاجم را با يك پلت‌فورم امن براي بارگذاري بدافزارهاي ديگر مجهز مي‌كند تا از بت‌نت خود كسب درآمد نمايد و اغلب با آلودگي‌هاي بت‌نت‌هاي ارسال هرزنامه، تروجان‌هاي بانكي و سرقت هويت در ارتباط هستند. در گذشته برخي متخصصين امنيت گفته بودند كه اين بت‌نت عملا نابود نشدني است.
در ماه جولاي يك نسخه جديد از اين بت‌نت كشف شد كه از يك الگوريتم توليد نام دامنه براي برقراري شبكه دستور و كنترل خود استفاده مي‌كند. گزارش شده است كه اين نسخه حداقل 250 هزار كامپيوتر را آلوده كرده است. اين نسخه جديد علاوه بر نقش قديمي خود در توزيع بدافزار، در جعل كليك بر روي تبليغات نيز مورد استفاده قرار گرفته است.
 
آمار بدافزارهاي موبايل در سه‌ماهه سوم 2012
نرخ آلوده‌سازي دستگاه‌هاي موبايل
در شبكه‌هاي موبايل 0.3% از دستگاه‌ها توسط تهديدات سطح بالا آلوده شده‌اند. دستگاه‌هاي آلوده شامل تلفن‌هاي اندرويد و لپ‌تاپ‌هايي هستند كه مستقيما از طريق USB به يك گوشي متصل هستند. نرخ آلودگي به اين دليل پايين است كه مجموع تعداد دستگاه‌ها شامل تعداد زيادي تلفن‌هايي هستند كه هدف بدافزار نيستند. اما به هر حال ما شاهد افزايش 165 درصدي در تعداد نمونه‌هاي بدافزاري اندرويد بوده‌ايم.
برترين بدافزارهاي اندرويد
جدول زير نشان دهنده بدافزارهاي برتر اندرويد است كه در شبكه‌هايي كه Kindsight به كار گرفته شده است، شناسايي شده‌اند. اين جدول ده آلودگي برتر سه‌ماهه سوم را براي دستگاه‌هاي اندرويد نمايش مي‌دهد.
اغلب اين بدافزارها، برنامه‌هايي هستند كه به تروجان آلوده شده‌اند و اطلاعاتي راراجع به تلفن سرقت كرده يا پيام‌هاي كوتاه ارسال مي‌كنند، ولي اين فهرست همچنان نشان دهنده يك تروجان بانكي و دو برنامه جاسوس‌افزار نيز مي‌باشد.
تبليغ‌افزارهاي موبايل
در ژانويه 2012 بحث‌هايي صورت گرفت مبني بر اينكه آيا SDK تبليغاتي Plankton/Apperhand از StartApp بايد در دسته بدافزارها قرار گيرد يا خير. در آن زمان توافق عمومي بر اين بود كه اين يك تبليغ‌افزار متجاوز بود و نه بدافزار. بسياري از توليد كنندگان آنتي‌ويروس تشخيص آن را متوقف ساختند و اين برنامه‌ها بر روي Google Play در دسترس قرار گرفتند.
در سه‌ماهه سوم 2012 برخي اقدام به تبليغات مهاجمانه بيشتري كردند كه از تكنيك‌هايي مانند اعلام هشدار و برخي آيكون‌هاي صفحه خانگي براي ارائه پيغام خود استفاده مي‌كردند. برنامه‎‌هاي تبليغاتي پيشين، تبليغات خود را به زماني كه كاربر در حال استفاده از برنامه بود محدود مي‌كردند. اما با اين روش‌ها، حتي زماني كه برنامه مورد استفاده نيست نيز تبليغات نمايش داده مي‌شوند. كاربران اغلب در مورد منبع اين پيغام‌ها بي‌اطلاع هستند و نمي‌توانند از شر آنها خلاص شوند.
صنعت امنيت نيز با توليد «تشخيص دهنده تبليغ‌افزار» به اين اقدام پاسخ داد كه برنامه‌هاي آزار دهنده را تشخيص داده و حذف مي‌كرد. اين ابزار جديد موازي برنامه‌هاي ضد جاسوس‌افزار براي پلتفورم ويندوز بود كه تبليغ‌افزارها و سارقان مرورگر را دستگير مي‌كرد. يك تفاوت كليدي بين اين برنامه‌هاي تلبيغاتي اندرويد و نسخه‌هاي سنتي ويندوزي اين است كه نسخه‌هاي اندرويدي از طريق فروشگاه Google Play توزيع مي‌شود كه به آنها اعتبار مي‌بخشد.
Kindsight براي مديريت اين وضعيت و كنترل رشد اين مشكل، امضاهايي را براي تشخيص اين برنامه‌ها معرفي كرده است. نتايج نشان مي‌دهد كه حدود 3% از دستگاه‌هاي موبايل، از برنامه‌هايي استفاده مي‌كنند كه اين تبليغ‌افزارها را دارا هستند.
 
مطالب مرتبط:
 
منابع:
Malware Report, Q3 2012, Kindsight Security Labs

نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 27 مرداد 1392

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها:0