تحليل شبكه بات Zorenium

تحليل شبكه بات Zorenium

تاریخ ایجاد

IRCRE201407171
تاريخ :93/4/21

در ماه مارس 2014 هنگامي كه مولف بات Zorenium (W32.Zorenium) ادعا كرد كه بدافزار سرقت اطلاعات با ويژگي هاي جديد به روز شده است، مورد توجه قرار گرفت . مطابق گفته مولف بدافزار، REX، اين بدافزار قابليت اجرا بر روي سيستم عامل اندرويد و IOS ، سرقت اعتبارات بانكي، پشتيباني ارتباطات point 2 point و انتشار از طريق Skype و Facebook را دارد.
بر اساس تحليل صورت گرفته توسط شركت امنيتي سمانتك، اگر ادعاي REX درست باشد بنابراين Zorenium يك تهديد مهم محسوب مي شود. در حالي كه اين ادعاها هرگز ثابت نشده است.
بر اساس تعداد محدودي نمونه بات Zorenium ، سيمانتك به رديابي تكامل اين بدافزار پرداخته است. اولين نمونه مشاهده شده داراي برچسب زماني 2013 و 40 KB مي باشد. برچسب زماني كه در هدر فايل هاي اجرايي است مي تواند جعلي باشد اما هدر در همه نمونه هاي Zorenium، قابل اعتماد به نظر مي رسد. اين نمونه داراي قابليت محدودي از نوعي تروجان backdoor را از قبيل توانايي برقراري ارتباط با مهاجم از طريق كانال IRC ، ضبط تصاوير و تغيير فايل كامپيوتر قرباني را شامل مي شود.
گروه دوم داراي برچسب زماني دسامبر 2013 و حجم 50KB مي باشند. اين نمونه ها، از لحاظ قابليت بسيار شبيه نمونه اول مي باشند با اين تفاوت كه با سواستفاده از منابع سيستم قرباني به جمع آوري اعتبار مالي، bitcoin، مي پرداختند.
گروه سوم داراي برچسب زماني آوريل 2014، حجم 1MB مي باشند. اين گروه ويژگيهاي بيشتري نسبت به دو گروه قبل دارا مي باشند از جمله اين ويژگيها مي توان به موارد زير اشاره نمود.
   • برقراري ارتباط با مهاجم از طريق كانال IRC
   • ضبط تصاوير، دانلود و اجراي فايل ها
   • ايجاد يك سرور FTP
   • انتشار خود به ديگر سيستمها از طريق پيوست ايميل
   • نصب Key logger به منظور سرقت اطلاعات حساب از پرداخت هاي آنلاين و سرويس هاي بازي
   • سواستفاده از سيستم قرباني براي انجام حملات DOS و انجام حملات پورت اسكن
   • و خاتمه دادن به پروسه مربوط به آنتي ويروس سيستم
همانطور كه مي بينيم بر طبق نمونه بات هاي مشاهده شده اين تهديد شامل ويژگيهاي مخرب زيادي جهت استفاده مهاجمين مي باشد. با اين حال هنوز مدركي براي اثبات برخي از ويژگيهاي ادعا شده همچون موارد زير وجود ندارد:
   • اجرا در سيستم هاي IOS 5 و 7
   • اجرا بر روي بسياري از پلتفرم هاي Debian و آخرين نسخه هاي تبلت هاي اندرويدي
   • شباهت عملكرد با بدافزار پيچيده TLD-4
   • توانايي به گسترش از طريق Skype و facebook

برچسب‌ها