گزارش در خصوص ابزارهای Sysinternals Suite

Sysinternals Suite به صورت یک پک ارائه شده توسط شرکت ماکروسافت است که در آن بیش از 50 نرم افزار یا ابزار برای کارهای مختلف از جمله عیب یابی و رفع مشکلات ویندوز, امنیت, پردازش ,شبکه و اطلاعات سیستم را در اختیار ما قرار می دهد.
استفاده از این نرم افزار به متخصصین و توسعه دهندگان آی تی توصیه می شود که بسیار در زمینه عیب یابی سیستم ها به آن ها کمک خواهد کرد.
در ادامه این گزارش به بررسی تمام ابزارهای موجود در این پک و کاربرد آن ها می پردازیم.

گزارش تحلیلی بدافزار VBSpyware (WaterCooled/AfterGuns/…)

این نمونه بدافزار، جاسوس‌افزاری است که اخیراً در دامنه‌‌ای منسوب به ایران مشاهده شده است. هدف این جاسوس‌افزار، سرقت و جاسوسی اطلاعات کاربر شامل حساب‌های کاربری، رمزهای عبور، اطلاعات صفحات وب، نامه‌های الکترونیک و غیره است. مبدا اصلی این جاسوس‌افزار یک فایل اکسل آلوده با نام catalog-list و چکیده sha256 (304c6f454f0efca218002c12009518c27e63186dd5de57b652cf2d4d14c7f0) است که حاوی ماکروهایی به زبان ویژوال بیسیک و مبهم‌سازی شده است.

گزارش فنی بدافزار VBSpyware (WaterCooled/AfterGuns/…)

معرفی بدافزار
به طور کلی این جاسوس‌افزار برای دزدی اطلاعات از برنامه‌های نصب شده در ماشین قربانی طراحی شده است؛ برای نمونه اطلاعات مرورگرها، کلاینت‌های نامه الکترونیک، FTP، مدیریت فایل و غیره. با توجه به رفتارهای این جاسوس‌افزار می‌توان گفت که این بدافزار نسخه جدیدی از تروجان Lokibot است. این بدافزار در ابتدای اجرا از تمامی ظرفیت CPU استفاده می‌کند و کمی پس از آغاز به کار، پردازه‌ای هم‌نام خود اجرا و سپس فایل را از دیسک حذف می‌کند.

شناسایی سیستم آلوده از طریق لاگ‌های شبکه

بررسی و تحلیل بدافزار TrickBot

در سپتامبر 2016، تحلیلگری به نام «جروم سگورا » بدافزار قابل توجهی در اینترنت یافته است. مشخص شد که این بدافزار، یک بات جدید است. با توجه به رشته های یافت شده در کد، سازندگان آن را TrickBot یا .نامیده اند ( TrickLoader) لینک های بسیاری نشان می دهند که این بات، محصول دیگری از افراد توسعه دهنده بات قدیمی تر Dyreza است. به نظر می رسد که این بات از ابتدا دوباره نوشته شده است؛ با این وجود، حاوی خصوصیات و راهکارهای مشابه و زیادی با آنهایی است که در زمان تحلیل Dyreza مشخص گردید.

بررسی و تحلیل بدافزار Hancitor

Hancitor با دیگر نام های Chanitor یا( TorDal) یک بدافزار از نوع دانلودر می باشد که تقریبا از سال 2014 پدیدار شده است. دانلودرها پس از استقرار در سیستم قربانی، با سرورهای C2 خود تماس برقرار می کنند و تروجان ها، بات ها و دیگرا انواع بدافزار را دانلود و نصب می کنند. در ماه می، محققان Proofpoint، اعلام کردند که آن ها ظهور مجدد Hancitor را مشاهده کردند.
این دانلودر خاص سه قابلیت اساسی دارد:

تحلیل یک حمله تروجان موبایلی

در ماه اوت چند مورد از یک تروجان بانکی که به طور خودکار در هنگام مشاهده سایت‌های خبری خاصی، بر روی دستگاه موبایل‌شان دانلود شده بود، پیدا داده شده بود.‌‌بعدا مشخص شد که این می‌تواند از طریق پیام‌های تبلیغاتی شبکه گوگلAdSense، نیز باشد و محدود به آن سایت‌های خبری نمی‌شود. در حقیقت هر سایتی که گوگل AdSense را جهت نمایش تبلیغات بکار می‌گیرد.

بررسی و تحلیل باج افزار MarsJoke

MarsJoke که با نام های JokeFromMars یا Polyglot نیز شناخته می شود، نوعی باج افزار است که برای اولین بار در اواخر سبتامبر 2016 (22 سبتامبر) توسط ProofPoint شناسایی شد که از طریق پست الکترونیکی منتشر می شود و تمرکز آن بر بخش های دولتی و آموزش k-12 (دوره های تحصیل ابتدایی و متوسطه) می باشد.این باج‌افزار در یک کمپین رایانامه‌ای گسترده که بات‌نت Kelihos هدایت آن را بر عهده دارد کشف شده است.

مروری بر کیت‌های بهره‌بردار (ExploitKits) در سال 2016

مقدمه
بسته‌ی سوء‌استفاده از آسیب‌پذیری یا اکسپلویت‌ کیت (Exploit Kit) به مجموعه‌ای گفته می‌شود که تمام رایانه را پویش می‌کند تا آسیب‌پذیری‌هایی را کشف کند و برای انتشار بدافزار از آن‌ها بهره ببرد. هر بسته‌می‌تواند از تعدادی آسیب‌پذیری استفاده کند که اخیراً کشف شده‌اند یا حتی قدیمی هستند. به کمک این بسته‌ها شانس نفوذ به یک سامانه بیش‌تر می‌شود؛ در واقع بدافزار برای این‌که در سامانه نصب شود فقط متکی به یک آسیب‌پذیری نیست. موارد زیر از جمله این اکسپلویت‌ کیت ها می باشند: