تحليل شبكه بات بانكی (GameOverZeus)

IRCRE201406169
تاريخ: 09/04/93

در هفته گذشته بات نت Game over zeus با اجراي قوانين بين المللي و با همكاري مراكز، شركت ها و سازمان هاي فعال در زمينه بدافزار شناسايي و به حالت تعليق درآمد. آنچه اهميت دارد آن است كه از لحاظ فني باز پس گرفتن كنترل بات ها غيرممكن نيست، بنابراين شناسايي، رفع آلودگي سيستم هاي قرباني و زامبي ها به اين گونه بات ها بسيار پراهميت است. درحال حاضر بيش از يك ميليون كامپيوتر توسط Game over zeus آلوده شده اند.

ساختار بات نت
شبكه بات شبكه‌اي از ميزبان‌هاي آلوده است كه تحت كنترل يك مركز فرمان دهي واحد بوده و با دريافت فرامين از اين مركز اقدامات متناسبي را انجام مي‌دهند. شبكه‌هاي بات تهديدي جدي عليه امنيت منابع اينترنتي بوده و معمولا انگيزه‌هاي مالي و سياسي مهمي پشت آن‌ها وجود دارد. در سال‌هاي اخير فروش شبكه‌هاي بات شكل تجاري به خود گرفته است. برخي شبكه‌هاي بات علاوه بر استفاده در به اشتراك گذاري منابع در حملات منع دسترسي، مي‌توانند همانند يك تروجان جهت دزدي اطلاعات كاربر نيز مورد استفاده قرار گيرند.
بات دستورات خود را از سرور كنترل و فرمان كه توسط رييس بات هدايت مي‌شود، دريافت مي‌نمايد. رييس بات به فردي گفته مي‌شود كه تمامي امور يك شبكه بات از ايجاد تا كنترل را به دست دارد، بدين ترتيب كه بات را پيكربندي مي‌كند، روش‌هايي كه براي مصالحه كردن سيستم قرباني به كار مي‌رود را مشخص مي‌كند و آن‌ها را پياده سازي مي‌نمايد. سپس بات را بر روي سيستم قرباني نصب مي‌نمايد و در نهايت بات ها را از طريق كانال كنترلي هدايت و رهبري مي‌كند و دستورات حمله را صادر مي‌نمايد. بات نت ها معمولاً بدون هيچ شواهد غيرقابل مشاهده عمل مي كنند و مي توانند براي سال ها عملياتي باقي بمانند.

جزييات بات نت Game over zeus
Gameover Zeus‌ يكي از انواع Trojan.Zbot مي باشد كه اغلب با نام Zeus شناخته شده است و از يك شبكه نظير به نظير (P2P) و الگوريتم توليد دامنه (DGA) براي كنترل و فرماندهي (C&C) استفاده مي كند. رييس اين بات (botmaster) يك شبكه نسبتا ثابت از صدها هزار نفر از كامپيوترهاي آلوده را در سراسر جهان حفظ نموده است.
Gameover به عنوان ييشرفته ترين نوع Zeus شناخته شده است و بر خلاف انواع ديگر، اهداف آن از جمله Citadel و IceX براي فروش مجدد نيست. اين شبكه بات مي تواند جهت انجام تقلب هاي مالي در مقياس بزرگ از طريق ربودن نشست هاي بانكي هزاران نفر از قربانيان آنلاين مورد استفاده قرار گيرد.
اين بات به طور معمول از طريق يك ايميل كه به عنوان صورت حساب مطرح مي شود توزيع شده است. هنگامي كه يك كاربر آلوده وب سايت بانكي خود را از طريق يك كامپيوتر قرباني بازديد مي كند، Gameover‌ با استفاده از تكنيكي كه به نام man-in-the-browser(MITB) شناخته شده است، ميان اين راه ارتباطي قرار گرفته و با دور زدن فاكتور هاي احراز هويت و نشان دادن پيام هاي جعلي امنيت بانكداري به كاربر، سعي در بدست آوردن اطلاعات كاربر مي نمايد و در نهايت با بدست آوردن اين اطلاعات قادر به تغيير تراكنش هاي بانكي كاربر و سرقت پول او خواهد شد.
از اين بدافزار مي توان در فعاليت هايي از قبيل malware dropping ، حملات انكار سرويس توزيع شده، سرقت bitcoin و Skype و سرقت ديگر سرويس هاي مالي آنلاين استفاده نمود.

پيامدهاي آلودگي به بدافزار Game over zeus
سيستمي كه آلوده به شبكه بات GameOverZeus مي گردد مي تواند در اجراي حملاتي همچون انكار سرويس توزيع شده، ارسال اطلاعات اسپم و سرقت اطلاعات بانكي مورد سواستفاده قرار بگيرد.
اجزاي زيرساخت بدافزار Game over zeus

• ارتباطات هم نظير P2P به اسم gameover-zeus-peer شناسايي شده است
• ارتباطات لايه HTTP Proxy به نام gameover-zeus-proxy شناسايي شده است.
• درخواست هاي مجدد DGA ( بالغ بر 1000 دامنه تصادفي براي هر هفته با پسوند هاي .biz, .com, .info, .net, .org و .ru) به نام gameover-zeus-dga شناسايي شده است.

سيستم‌هاي آسيب پذير

• Microsoft Windows 95, 98, Me, 2000, XP, Vista, 7, and 8
• Microsoft Server 2003, Server 2008, Server 2008 R2, and Server 2012

احتمال آلودگي به بدافزار Cryptolocker
كامپيوتر هاي آلوده به بات نت Gameover ممكن است به بدافزار Cryptolocker نيز آلوده گردند. Cryptolocker جزء بدافزارهاي گروگان گير مي باشد كه بوسيله قفل نمودن كامپيوتر قرباني و رمزنگاري فايل ها، سعي در اخاذي از قرباني مي كند. اين بدافزار از خطرناك ترين نوع بدافزارهاي گروگان گير انتشاريافته مي باشد كه از رمزنگاري بسيار قوي، كه به راحتي قابل شكستن نمي باشد استفاده مي نمايد. Cryptolocker اولين بار در سپتامبر 2013 مشاهده شده است. ثابت شده كه بدافزارهاي گروگان گير از جمله Cryptolocker، بطور قابل توجهي براي مهاجمين سودآور مي باشد و در سالهاي اخير توزيع كنندگان آن بدون شك ميليون ها دلار بدست آورده اند. براساس تحقيقات سايمانتك، بطور ميانگين 3 درصد از كاربران آلوده، به اين نوع اخاذي پاسخ مثبت مي دهند. قربانيان معمولا بوسيله ايميل هايهرزنامه كه داراي پيوست حاوي فايل فشرده هستند آلوده مي گردند. اين بدافزار پس از ارتباط با سرور كنترل و فرمان كليد عمومي مورد استفاده براي رمزنگاري فايل هاي سيستم قرباني را دانلود مي نمايد. كليد خصوصي براي رمز گشايي فايل ها در سرور كنترل و فرمان باقي مي ماند.

مشخصات

• فايل هاي سيستم قرباني رمز شده و تا هنگام پرداخت قرباني باقي مي ماند.
• بيش از 121.000 قرباني در آمريكا و 234.000 قرباني در تمام جهان كه آلوده به اين بدافزار هستند، شناسايي گرديده اند.
• بصورت تخميني 30 ميليون دلار پرداخت به مهاجمين بين سپتامبر و دسامبر 2013 انجام شده است.

قلمرو Game over zeus/ CryptoLocker

• بيش از يك ميليون آلوده به اين بات در جهان شناسايي گرديده است.
• تقريباً 25% كامپيوترهاي آلوده در ايالات متحده آمريكا قرار دارند.
• ضرر و تلفات در سطح جهان صدها ميليون دلار برآورد شده است.
• 10 كشور در عمليات شناسايي و مقابله جهت رفع آن مشاركت كليدي داشته اند.

شناسايي و رفع آلودگي
براي شناسايي و رفع آلودگي بات نت GameOverZeus موارد زير پيشنهاد مي گردد:

• نرم افزار آنتي ويروس معتبر خود را به روزرساني نماييد.
• رمزعبور سيستمهاي قرباني را تغيير داده و از قوانين رمزعبور قوي در سيستمها استفاده نماييد.
• به منظور مقابله با سو استفاده مهاجمين از آسيب پذيري هاي رايانه اي، سيستم عامل و برنامه هاي كاربردي نصب شده بر روي سيستم را به روز رساني نماييد.
• از برنامه هاي معتبر معرفي شده در وب سايت شركتهاي امنيتي به منظور شناسايي آلودگي سيستم استفاده نماييد مانند:

1. http://campaigns.f-secure.com/en_global/zeus/ols/
2. http://www.symantec.com/security_response/writeup.jsp?docid=2014-052915-1402-99