fanavaran
آخرین اخبار
   
    کد خبر : 21729
    تاریخ انتشار : 2 بهمن 1391 10:3
    تعداد بازدید : 3445

    همه چیز درباره بدافزار اكتبر سرخ

    در طول چند سال گذشته، سطح بالايي از جاسوسي سايبري با هدف قرار دادن شبكه هاي رايانه اي سازمان هاي پژوهشي، ديپلماتيك، دولتي و علمي به منظور نفوذ، جمع آوري داده ها و اطلاعات از دستگاه هاي تلفن همراه، سيستم هاي رايانه اي و تجهيزات شبكه، به طور گسترده اي در سطح جهان، در جريان بوده است. بدافزار “اكتبر سرخ” نیز يكي از اين شبكه هاي جاسوسي سايبري پيشرفته است كه سازمان هاي ديپلماتيك و دولتي بزرگ را مورد هدف قرار داده است. محققان آزمايشگاه تحقيقات امنيتي كسپرسكي، چندين ماه را صرف تجزيه و تحليل اين بدافزار کرده اند كه با عنوان “Rocra”(كوتاه شده عبارت اكتبر سرخ) شناخته مي شود و دريافته اند كه این بدافزار سازمان هاي خاصي را به طور عمده در شرق اروپا، كشورهاي عضو اتحاد جماهير شوروي سابق و كشورهاي آسياي ميانه، همچنين در غرب اروپا و شمال آمريكا هدف قرار داده است.

     

    نویسنده: محمدمهدی واعظی‌نژاد
    Mahdivaezi61@yahoo.com 

    بدافزار Rocra تاكنون صدها قرباني در هشت گروه اصلي در سراسر جهان داشته، هر چند كه ممكن است بخش‌هاي ديگري را نيز مورد هدف قرار داده باشد كه هنوز كشف نشده‌اند و يا در گذشته مورد حمله قرار گرفته‌اند. این هشت گروه عمده عبارتند از: ارگان‌هاي دولتي، مراكز ديپلماتيك و سفارت‌خانه‌ها، موسسه‌هاي تحقيقاتي، مراكز تجاري و بازرگاني، نيروگاه‌ها و تاسيسات هسته‌اي، شركت‌هاي نفت و گاز، مراكز هوا و فضا و نيروهاي نظامي قربانيان Rocra، در 39 كشور شناسايي شده‌اند و تلاش‌ها براي شناسايي ساير قربانيان نيز در حال انجام است. (نمودار 1)
      محققان كسپرسكي كه موفق به شناسايي اين بدافزار شده‌اند، اعتقاد دارند كه مهاجمان حداقل به مدت پنج سال با تمركز روي سازمان‌هاي ديپلماتيك و دولتي، مشغول جمع‌آوري اطلاعات از شبكه‌هاي آلوده بوده‌اند كه از اين اطلاعات در حملات بعدي خويش استفاده کرده‌اند. به عنوان مثال، اعتبارهاي سرقت شده كه در يك ليست، وارد مي‌شدند و هنگامي كه مهاجمان نياز به حدس زدن كلمات عبور و اعتبار شبكه در مكان‌هاي ديگر داشته‌اند از آنها استفاده مي‌کرده‌اند. طراحان Rocra براي كنترل شبكه‌اي از ماشين‌هاي آلوده و همچنين كنترل و بازيابي داده‌هاي قربانيان، بيش از 60 دامنه اينترنتي و چندين سرور ميزبان محلي را در كشورهاي مختلف ايجاد كرده‌اند كه بررسي IPها نشان مي‌دهد كه سرورهاي كنترل و دستور آن به طور عمده در كشورهاي روسيه و آلمان واقع شده است. اين بدافزار هنوز هم با ارسال داده‌هايي به سرورهاي كنترل و دستور متعدد خود از طريق پيكربندي كه قبلا در پيچيدگي‌هاي زيرساختي بدافزار شعله مشاهده شده است، در حال فعاليت است و تخمين زده مي‌شود كه تاكنون صدها ترابايت اطلاعات را جابه‌جا كرده باشد. موفقيت حمله Rocra كه حتي سازمان‌هاي تحقيقاتي و موسسه‌هاي نظامي را نيز شامل مي‌شود نشان‌گر ضعف جدي در حفاظت سايبري از زيرساخت‌هاي رايانه‌اي در سراسر دنياست كه در كشور ما نيز تاكنون هفت مركز مهم آلوده به آن شناسايي شده است.

    ساير نام‌ها
    اين بدافزار در شركت‌هاي امنيتي، به نام‌هاي مختلفی به این شرح شناخته مي‌شود:
    Red October [Kaspersky], Backdoor.Rocra [Symantec], Backdoor.Rocra!gen1 [Symantec], Backdoor.Rocra!gen2 [Symantec]

    سيستم‌هاي آسيب‌پذير
    Windows 2000, Windows 7, Windows NT, Windows Vista, Windows XP, Windows 95, Windows 98

    پراكنش جغرافيايي
    گزارش‌هايي از توزيع Rocra در شرق اروپا، كشورهاي عضو اتحاد جماهير شوروي سابق، كشورهاي آسياي ميانه، شمال آمريكا و كشورهاي اروپاي غربي مانند سویيس و لوكزامبورگ وجود دارد.
    گزارش شبكه امنيتي كسپرسكي (KSN) فهرستی از كشورهاي با بيشترين ميزان آلودگي (فقط براي كشورهاي با بيش از پنج قرباني) را در جدول یک نشان مي‌دهد. آمارهاي ارايه شده، فقط توسط نرم‌افزار كسپرسكي كه روي سيستم‌هاي آلوده نصب است، گزارش شده و مسلما تعداد واقعي سيستم‌هاي آلوده، بسيار بالاتر از اين خواهد بود.
    در شكل 1 ، توزيع اين بدافزار، روي نقشه جهان همراه با مراكز آلوده شناسايي شده توسط كسپرسكي نشان داده شده است:
     
    تاريخچه كشف
    اطلاعات ثبت شده براي خريد نام‌هاي دامنه اينترنتي سرورهاي كنترل و دستور بدافزار Rocra و مقايسه PE اجرايي جمع‌آوري شده از آن، نشان مي‌دهد كه اين بدافزار از مه سال 2007 حداقل براي مدت پنج سال بدون شناسايي شدن، در حال فعاليت بوده است.
    نخستين بار، محققان كسپرسكي اين بدافزار را در ماه اكتبر سال 2012 توسط درخواست يكي از همكاران خود كشف كردند كه ترجيح مي‌دهند اين همكار، همچنان ناشناس باقي بماند. آنگاه با تجزيه و تحليل حمله، فيشينگ و ماژول‌هاي بدافزار Rocra، مقياس آن را درك كرده و تشريح بدافزار شناسايي شده را به طور عميق آغاز کردند. بدافزار Rocra در روز 14 ژانويه 2013 نيز توسط شركت امنيتي سيمانتك كشف شده و مورد تجزيه و تحليل فني قرار مي‌گيرد.
    نامگذاري
    بدافزار Rocra، كوتاه شده عبارت اكتبر سرخ (Red October) است كه احتمالا نامش از زيردريايي به همين نام، در رمان “شكار اكتبر سرخ” كه توسط نويسنده‌اي روسي نوشته شده، گرفته شده است.
         
    طراحي و سازماندهي
    محققان كسپرسكي، بر اساس داده‌هاي ثبت شده از سرورهاي كنترل و دستور اين بدافزار و همچنين آثار متعدد اجرايي آن، بر اين باور هستند كه مهاجمان، مليت روس داشته‌اند. آنها معتقدند كه اگرچه با اطلاعات به دست آمده، نمي‌توان به مكان خاصي اشاره کرد. با اين حال مي‌توان روي دو عامل مهم پافشاري کرد:
       به نظر مي‌رسد كه كدهاي مخرب توسط هكرهاي چيني نوشته شده است.
      ماژول‌هاي بدافزاري Rocra توسط افرادي روس زبان ايجاد شده است.
    چندين ماژول Rocra داراي غلط‌ها و اشتباه‌هاي املايي جالبي است که  بر قوت اين نظريه، مي‌افزايد. برای نمونه در بخشی از کد بدافزار از واژه “PROGA” استفاده شده که ممكن است ترجمه‌اي از واژه روسي عاميانه “ПРОГА” باشد كه برنامه‌اي در ميان مهندسان نرم‌افزار روسي است. عبارت دیگر استفاده شده در این کد به طور خاص، “Zakladka” است که در روسيه مي‌تواند به معناي “bookmark” يا (به احتمال زياد) در اصطلاح عاميانه به معني “قابليت‌هاي اعلام نشده”، مثلا در نرم‌افزار يا سخت‌افزار باشد. با اين حال، همچنين امكان دارد كه يك ميكروفون جاسازي شده در يك آجر از ساختمان سفارت باشد.
    همچنين كلاس c++ اين بدافزار كه داراي پارامترهاي قابل پيكربندي سرورهاي كنترل و دستور آن است، “MPTraitor” ناميده شده و بخش پيكربندي مربوط به منابع هم به نام “conn_a” است. برخي از اين نمونه‌ها عبارتند از:
       conn_a.D_CONN
      conn_a.J_CONN
      conn_a.D_CONN
      conn_a.J_CONN
    با اين حال، اگرچه مهاجمان و بدافزار قابل اجراي توسعه يافته توسط آنها در حال حاضر ناشناخته‌اند، اما آنها هرگز ارتباطي با ديگر حملات سايبري هدفمند كه در گذشته انجام شده، ندارند و مدركي كه نشان دهنده ارتباط اين موضوع با حمله‌اي حمايت شده توسط يك دولت خاص باشد نيز وجود ندارد.

    عملكرد
    مهاجمان براي تحقق اهداف خويش، يك چارچوب (Framework) چند منظوره ايجاد كرده‌اند كه قادر به استفاده از گستره‌هاي وسيع از ويژگي‌هايي است كه اطلاعات را جمع‌آوري مي‌کند. اين چارچوب كه بسيار پيچيده است، از ابتدا توسط همين مهاجمان، طراحي شده و در هيچ يك از عمليات‌هاي سايبري ديگر استفاده نشده است. علاوه بر اهداف سنتي حمله که شامل ايستگاه‌هاي كاري رايانه‌اي می‌شود، اين بدافزار قادر به سرقت اطلاعات از دستگاه‌هاي تلفن همراه، از جمله گوشي‌هاي هوشمند (آيفون، نوكيا و ويندوز موبايل)، روگرفت از پيكربندي تجهيزات شبكه (سيسكو)، ربودن فايل‌ها از ديسك درايوهاي قابل جابه‌جايي (حتي شامل فايل‌هايي كه در حال حاضر از روي سيستم پاك شده‌اند توسط يك فرآيند بازيابي سفارشي فايل)، سرقت نامه‌هاي الكترونيكی ذخيره شده در نرم‌افزار Outlook سيستم‌هاي آلوده يا سرورهاي POP3/IMAP از راه دور به همراه فايل‌هاي ضميمه آنها، ثبت تمامي كليدهاي فشرده شده روي صفحه كليد، گرفتن تصويرهاي فوري و ارسال آنها، تهيه تاريخچه وب گردي از مرورگرهاي وب همچون كروم، فايرفاكس، اينترنت اكسپلورر و اپرا، همچنين انحراف مسير فايل‌ها از سرورهاي FTP شبكه محلي است. Rocra علاوه بر سرقت اطلاعات از نرم‌افزارهاي متني، ورد و اكسل، مي‌تواند اطلاعات رمزنگاري شده از قبيل pgp و فايل‌هاي رمزگذاري شده gpg را نيز سرقت کند. همچنين پسوندهاي “acid*” كه توسط اين بدافزار سرقت مي شود به نرم‌افزار طبقه‌بندي اسناد محرمانه “Acid Cryptofiler” كه توسط نهادهاي مختلفي از جمله اتحاديه اروپا و ناتو استفاده مي‌شود، تعلق دارد. اطلاعات به سرقت رفته از سيستم‌هاي آلوده، شامل اسنادي با پسوندهاي زير است:
    txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa.
    اطلاعات به سرقت رفته از قربانيان، اطلاعات سطح بالا و طبقه‌بندي شده اي بوده و شامل داده‌هاي جغرافيايي سياسي است كه مي‌تواند توسط دولت‌هاي ملي مورد استفاده قرار گيرد. اگر چه هنوز چگونگي استفاده از اين اطلاعات همچون يك معما، ناشناخته مانده و فرآيند جمع‌آوري اطلاعات در طول پنج سال گذشته، دامنه كاملا گسترده‌اي را دربرداشته است، اما اين امكان وجود دارد كه اطلاعات گردآوري شده، به صورت مخفيانه و زيرزميني، در بازار سياه به بالاترين پيشنهاد فروخته مي‌شده يا بعضي از آنها، به صورت مستقيم، مورد استفاده قرار مي‌گرفته است.زيرساخت سرورهاي كنترل و دستور بدافزار Rocra، درواقع زنجيره‌اي از سرورهايي است كه به عنوان پروكسي براي پنهان نمودن محل واقعي سرورها عمل مي‌كنند. اين سيستم بسيار پيچيده، در برابر تصاحب سرورهاي كنترل و دستور، مقاوم بوده و به مهاجمان براي بهبود دسترسي به دستگاه‌هاي آلوده با استفاده از كانال‌هاي ارتباطي جايگزين، اجازه مي‌دهد. در شكل 2، يك نماي كلي از زيرساخت سرورهاي كنترل و دستور Rocra كه در تحقيقات كسپرسكي به دست آمده، نشان داده مي‌شود.

    تغييرات در سيستم
    فايل (هاي) زير ممكن است در سيستم آلوده ديده شود:
    •%ProgramFiles%\WINDOWS NT\msc.bat
    •%ProgramFiles%\WINDOWS NT\[RANDOM CHARACTERS FILE NAME].lt
    •%ProgramFiles%\WINDOWS NT\Svchost.exe

    انتشار
    اين بدافزار مي تواند خود را در سراسر يك شبكه محلي با استفاده از اعتبارهاي مدير شبكه كه قبلا آنها را به دست آورده است، تكثير کند. آسيب‌پذيري‌هاي ذكر شده نيز نقش مهمي در انتشار بدافزار Rocra بر عهده دارند.

    نصب
    بدافزار Rocra با سوءاستفاده از آسيب‌پذيري‌هاي از پيش شناخته شده زير عمل مي‌کند:
      Microsoft Excel 'FEATHEADER' Record Remote Code Execution Vulnerability (CVE-2009-3129) – MS Excel
      Microsoft Office RTF File Stack Buffer Overflow Vulnerability (CVE-2010-3333) – MS Word
      Microsoft Windows Common Controls ActiveX Control Remote Code Execution Vulnerability (CVE-2012-0158) – MS Word
      Oracle Java SE Rhino Script Engine Remote Code Execution Vulnerability (CVE-2011-3544) – Oracle db
    اين آسيب‌پذيري‌ها به نام‌هاي زير نيز شناخته مي‌شود:
       Bloodhound.Exploit.306
       Bloodhound.Exploit.366
       Bloodhound.Exploit.457
       Trojan.Maljava
       Trojan.Maljava!gen27
    حملات اوليه اي كه در سال‌هاي 2010 و 2011 انجام گرفته، از كد مخرب MS Excel استفاده کرده است و حملات صورت پذيرفته در تابستان سال 2012 از آسيب‌پذيري‌هاي موجود در MS Word بهره‌مند شده است.
     اين كدهاي مخرب اسناد، در حملات فيشينگي كه در طول حملات سايبري مختلف عليه فعالان تبتي، اهداف نظامي و بخش‌هاي انرژي در آسيا مورد استفاده قرار گرفته‌اند توسط ساير مهاجمان ايجاد شده‌اند. تنها چيزي كه در اين ميان تغيير كرده است كدهاي اجرايي جاسازي شده در سندهاست كه مهاجمان آن را با كد خود جايگزين کرده‌اند.
    شركت امنيتي F-Secure نيز در وبلاگ امنيتي‌اش اعلام كرده است كه مهاجمان از كدهاي مخرب قديمي شناخته شده نرم‌افزارهاي Word، Excel و Java استفاده كرده‌اند و نشانه‌اي از آسيب‌پذيري‌هاي بسيار محرمانه (0-day) بهره‌برداري شده توسط آنها وجود ندارد.
    بدافزار Rocra با حمله مهندسي اجتماعي و ترغيب به كليك روي لينك‌هاي جعلي كه معمولا تبليغ ثبت نام در خريد يك ماشين لوكس است، فعاليت خود را آغاز مي‌کند. شكل 3، نمونه يك تصوير جعلي است كه در حملات فيشينگ، توسط اين بدافزار استفاده مي‌شود:
     همچنين اين بدافزار همان طور كه در شكل هفت نشان داده شده است، با ارسال يك نامه الكترونيكی كه دربردارنده فايل ضميمه مخرب است و تشويق به دانلود و بازكردن اين فايل ضميمه، اقدام به آلوده کردن سيستم‌ها مي‌كند:
     سپس مهاجمان يك ماژول را براي اسكن شبكه محلي و جست‌وجوي سيستم‌هاي آسيب‌پذير در آن شبكه مستقر کرده، ميزبان آسيب‌پذير براي MS08-067 را يافته (كد مخرب آسيب‌پذيري توسط كرم كانفيكر) يا با اعتبارهاي مدير از پايگاه داده رمز عبور خود، توانايي دسترسي روي سيستم‌هاي آسيب‌پذير را پيدا مي‌كنند. هنگامي كه يكي از اين اسناد باز مي‌شود، فعاليت رسمي بدافزار آغاز می‌شود و مي‌تواند بدافزارهاي بيشتري را تحت يك روش كه به “قطره چكان تروجان” معروف است، از سرورهاي كنترل و دستور خود دريافت کند. اين بدافزارهاي ثانويه، شامل برنامه‌هاي جمع‌آوري داده‌ها و ارسال اطلاعات به مهاجمان است. يكي از دستوراتي كه در قطره چكان تروجان وجود دارد، مي تواند كد صفحه سيستم آلوده را به 1251 قبل از زمان نصب و راه‌اندازي، تغيير دهد كه اين امر، نيازمند آدرس فايل‌ها و دايركتوري‌هايي است كه كاراكترهاي سيريليك (Cyrillic) را در نام‌هاي خودشان دارند. پس از اين آلودگي اوليه، بدافزار توسط خودش در سراسر شبكه، انتشار يافته و مهاجمان در چند روز، فقط اطلاعاتي را در مورد آن شبكه جمع‌آوري مي‌كنند. در طول اين مدت، اقدام به شناسايي سيستم‌هاي كليدي كرده و سپس ماژول‌هايي را در شبكه مستقر مي‌کند كه مي‌تواند ساير رايانه‌ها را با خود همگام و همسو کند. يكي از اين ماژول‌ها نيز براي جمع‌آوري اطلاعات به ميزبان‌هاي راه دور آلوده در همان شبكه مورد استفاده قرار مي‌گيرد. در تحقيقات انجام گرفته توسط كسپرسكي، بيش از یکهزار ماژول متعلق به 30 دسته‌بندي از ماژول‌هاي مختلف، كشف شده كه بين سال‌هاي 2007 تا جديدترين آنها كه در هشت ژانويه 2013 ايجاد شده‌اند. در جدول 2، ليستي از اين ماژول‌هاي شناخته شده و دسته‌بندي آنها آورده شده است:
     Rocra داراي ماژول‌هاي سفارشي خاصي است كه براي هر قرباني، با يك ID منحصربه‌فرد ايجاد شده و برخلاف ساير بدافزارهاي سايبري، مي‌توان آن را داراي ظرافت خاصي دانست كه براي قربانيان مخصوص، شخصي‌سازي شده است. چندين ماژول تلفن همراه نيز براي اين بدافزار طراحي شده كه اقدام به سرقت اطلاعات از انواع مختلف دستگاه‌هاي تلفن همراه همچون آيفون، نوكيا و ويندوز موبايل مي‌كند. اين ماژول‌ها در سيستم، نصب می‌شود و براي اتصال دستگاه‌هاي تلفن همراه به سيستم قرباني، منتظر مي‌ماند و هنگامي كه يك اتصال تلفن همراه، شناسايي شد، ماژول شروع به جمع‌آوري داده‌ها از آن تلفن همراه مي‌كند.به طور كلي، چارچوب اصلي Rocra براي اجراي “وظايف” توسط سرورهاي كنترل و دستور آن طراحي شده است. بسياري از اين وظايف كه به عنوان كتابخانه‌هاي PE DLL از سرور دريافت مي‌شود، در حافظه سيستم قرباني اجرا شده و سپس بلافاصله دور انداخته مي‌شود. با اين وجود، چند كار بايد به صورت مداوم در سيستم انجام شود؛ مثلا انتظار براي اتصال دستگاه‌هاي تلفن همراه. اين وظايف به عنوان فايل‌هاي PE EXE ايجاد شده‌اند كه در سيستم آلوده نصب مي‌شود. نمونه‌هايي از وظايف “مداوم” شامل مواردی به این شرح است:
      هنگامي كه يك درايو USB به سيستم آلوده متصل مي‌شود، عمل جست‌وجو توسط بدافزار آغاز می‌شود و فايل‌ها توسط ماسك/فرمت، از آن درايو USB استخراج مي‌شود كه مي‌تواند شامل فايل‌هاي پاك شده نيز باشد. فايل‌هاي پاك شده با استفاده از يك تجزيه كننده فايل سيستم ساخته شده، بازيابي مي‌شود.
       منتظر مي‌ماند تا يك دستگاه تلفن آيفون يا يك گوشي نوكيا به سيستم آلوده وصل شود. پس از اتصال، اطلاعاتي در مورد تلفن، دفترچه تلفن آن، ليست تماس، تاريخچه تماس‌ها، تقويم، پيام‌هاي SMS و تاريخچه وب‌گردي بازيابي مي‌كند.
      منتظر مي‌ماند تا يك دستگاه تلفن همراه داراي ويندوز موبايل به سيستم آلوده وصل شود. پس از اتصال، تلفن را با يك نسخه تلفن همراه كه از اجزاي اصلي Rocra است، آلوده مي‌کند.
      منتظر مي‌ماند تا يك فايل خاص مايكروسافت آفيس يا سند PDF باز شود تا يك بسته محدود شده را در آن سند اجرا کند. همچنين يك راه مخفيانه ارتباطي را اجرا مي‌كند كه مي‌تواند براي بازگردادن كنترل سيستم آلوده، مورد استفاده قرار گيرد.
       تمامی كليدهاي فشرده شده روي صفحه كليد را ثبت و تصاوير فوري از آنها ايجاد مي‌کند.
      ماژول‌هاي اضافي رمزگذاري شده را با توجه به برنامه از پيش تعيين شده، اجرا مي‌کند.
       پيام‌ها و ضميمه‌هاي نامه‌هاي الكترونيكی را از نرم‌افزار مايكروسافت Outlook و از سرويس دهنده پست الكترونيكي مورد دسترس، با استفاده از اعتباري كه قبلا به دست آورده است، بازيابي مي‌كند.
    نمونه‌هايي از وظايفي كه “يك بار” اجرا مي‌شوند نيز عبارتند از:
       جمع‌آوري اطلاعات كلي محيط‌هاي نرم‌افزاري و سخت‌افزاري.
       جمع‌آوري فايل سيستم و اطلاعات به اشتراك گذاشته شده در شبكه، ايجاد ليست‌هاي دايركتوري، جست‌وجو و بازيابي فايل‌ها توسط ماسك ارايه شده توسط سرور كنترل و دستور بدافزار.
       جمع‌آوري اطلاعات در مورد نرم‌افزارهاي نصب شده كه مهم‌ترين آنها شامل پايگاه داده اوراكل، برنامه RAdmin، نرم‌افزار سرويس گيرنده پست الكترونيكي از جمله نسخه كلاينتي Mail.Ru، درايوها و نرم‌افزارهاي ويندوز موبايل، نوكيا، سوني اريكسون، اچ‌تي‌سي، تلفن‌هاي آندرويیدي و درايوهاي USB است.
       استخراج تاريخچه وب‌گردي از مرورگرهاي كروم، فاير فاكس، اينترنت اكسپلورر و اپرا.
       استخراج كلمات عبور ذخيره شده وب‌سايت‌ها، سرورهاي FTP، پست الكترونيكي و حساب‌هاي كاربري سرويس دهنده‌هاي پست الكترونيكي.
      استخراج هش‌هاي حساب‌هاي كاربري ويندوز، به احتمال زياد براي كرك نمودن آفلاين آنها.
      استخراج اطلاعات حساب كاربري نرم‌افزار Outlook؛
       تعيين آدرس IP خروجي سيستم آلوده (به منظور ارتباط با اينترنت).
      دريافت فايل از سرورهاي FTP كه از طريق سيستم آلوده، در دسترس هستند (شامل آنهايي كه به شبكه محلي خود متصل هستند) با استفاده از اعتباري كه قبلا به دست آورده است.
       نوشتن و/يا اجراي كدهاي دلخواه در داخل وظيفه (task).
       اسكن شبكه، روگرفت از اطلاعات پيكربندي دستگاه‌هاي سيسكو، در صورت موجود بودن.
       اسكن شبكه در يك محدوده از پيش تعريف شده و تكثير خود به ماشين‌هاي آسيب‌پذير، توسط آسيب‌پذيري MS08-067.
      تكثير از طريق شبكه با استفاده از اعتبارهاي مدير شبكه كه آنها را قبلا به دست آورده است.

    جلوگیری
    اگرچه هم‌اكنون تمامي آنتي‌ويروس‌ها قادر به شناسايي و پاك كردن Rocra هستند، اما انجام فعاليت‌هايی توسط مديران و كاربران سيستم مي‌تواند باعث جلوگيري و يا كاهش خطر اين بدافزار شود. از جمله:
      غير فعال كردن ويژگي AutoRun يا AutoPlay سيستم براي جلوگيري از اجراي خودكار فايل‌هاي قابل اجرا در درايوهاي قابل جابه‌جايي.
      غیر فعال کردن درايوهاي قابل جابه‌جایی از طریق Setup سیستم. در صورت نیاز، فقط حالت read-only را فعال كرده و حتما يك رمز عبور هم براي setup در نظر گرفت.
       اصلاح نقاط آسيب‌پذير سيستم عامل و نرم‌افزارهاي نصب شده، به خصوص برنامه‌هايي كه اين بدافزار از آسيب‌پذيري‌هاي موجود در آنها بهره مي برد.
      به‌روزرسانی نرم‌افزار ضد ويروس در فاصله‌هاي زماني كوتاه مدت و فعال کردن گزينه به‌روزرساني خودكار براي دريافت خودكار آخرين به‌روزرساني‌ها؛
      دسترسي به آدرس‌هايي كه سرورهاي كنترل و دستور اين بدافزار هستند بايد با استفاده از فايروال و مسيرياب، مسدود شده و با اضافه كردن به فايل local hosts به آدرس 127.0.0.1 تغيير مسير داده شوند.
       استفاده از رمز عبور پيچيده كه تركيبي از عدد، حروف بزرگ و كوچك و نمادها است براي كلمه عبور كاربران، به نحوي كه اين رمزها توسط حملات ديكشنري به راحتي قابل شناسايي و كشف نبوده و در عين حال، براي كاربران هم به ياد ماندني باشد.
      همه ارتباطات ورودی از اينترنت به سرويس‌هاي سازمان كه نبايد در دسترس عموم باشد را با استفاده از فایروال، غير فعال كرده و تنها به سرويس‌هايي اجازه دهيد كه به مردم خدمات ارايه می‌دهند.
       هرگز نبايد با يوزر administrator يا root به سيستم login كرد. كاربران و برنامه‌ها هم بايد پايين ترين سطح دسترسي لازم را داشته باشند.
       غيرفعال كردن اشتراك‌گذاري منابع و فايل‌ها در شبكه اگر به اشتراك‌گذاري آنها نيازي نيست. در صورت نياز، از ليست‌هاي كنترل دسترسي استفاده كرده و مشخص نماييد كه چه افراد يا كامپيوترهايي اجازه دسترسي به آنها را دارند.
      غيرفعال كردن و حذف سرويس‌هاي غيرضروري فعال در سيستم. اگر هم كد مخربي عليه يكي از سرويس‌ها پيدا شد، تا زماني كه وصله امنيتي آن سرويس در سيستم نصب نشده است، آن سرويس را غيرفعال كرده و يا دسترسي به آن را محدود کنيد.
      سرويس‌هايي همچون HTTP، FTP،  Mail و DNS مهم‌ترين سرويس‌هاي يك شبكه متصل به اينترنت هستند. بنابراين، هميشه وصله‌هاي امنيتي اين سرويس‌ها را مهم درنظر گرفته و به روز نگهداريد. همچنين توسط فايروال، دسترسي به آنها را كنترل کنيد.
       پیکربندی سرويس دهنده پست الكترونيك در راستای حذف نامه‌هاي الكترونيكي كه حاوي فايل ضميمه است. از این فایل‌ها برای گسترش تهديدهايي همچون  .vbs، .bat،.exe ، .pif و .scr استفاده مي‌شود.
      كامپيوترهاي آلوده را به سرعت براي جلوگيري از گسترش بيشتر آلودگي در شبكه ايزوله كنيد و تا زماني كه از برطرف شدن آلودگي مطمئن نشده‌ايد، آنها را وارد شبكه نكنيد.
      استفاده نکردن از بلوتوث در شبکه. در صورت نياز، ديد دستگاه را در حالت پنهان تنظيم کنید تا توسط دستگاه‌هاي ديگر پيدا نشده و حتما از رمز عبور نيز براي برقراري ارتباط بین دستگاه‌ها استفاده كنيد.

    پیشگیری
    پیشگیری از حوادث و کنترل امنیت سیستم نیاز به یک رویکرد چند لایه دارد که از آن با عنوان "دفاع در عمق" یاد می‌شود. این لایه، شامل سیاست‌ها و رویه‌ها، آگاهی و آموزش، تقسیم‌بندی شبکه، کنترل دسترسی‌ها، اقدام‌هاي امنیتی فیزیکی، سیستم‌های نظارتی همچون فایروال و ضد ویروس، سیستم‌های تشخیص و جلوگيري از نفوذ، رمز کاربری و غيره است.
    بهترین روش برای پیشگیری هم معمولا تجزیه و تحلیل خطر، شناسایی نقاط آسیب‌پذیر سیستم‌ها و شبکه، کنترل سیستم ارزیابی امنیتی و همچنین توسعه برنامه‌های اولویت‌بندی برای از بین بردن یا به حداقل رساندن ریسک خطر است.

    منابع:
      www.symantec.com/security_response
       www.securelist.com
       كتاب امنيت اطلاعات، محمدمهدي واعظي‌نژاد، 1391


    نظر شما



    نمایش غیر عمومی
    تصویر امنیتی :