انتقال چندین Payload توسط بدافزار چندمرحله‌ای Rietspoof
نرم‌افزار مخرب Rietspoof یک خانواده بدافزاری جدید است که از سیستم انتقال چندمرحله‌ای استفاده می‌کند و به گونه‌ای طراحی‌ شده تا چندین payload را در سیستم‌هایی که آلوده می‌کند، بارگذاری کند.
به گزارش دیپروتد، به نقل از وب‌سایت BleepingComputer، اولین مشاهده این بدافزار، در تابستان ۲۰۱۸ بوده است. این بدافزار از چندین مرحله برای نفوذ به اهداف خود استفاده می‌کند. هر یک از این مراحل قابلیت‌های بخصوصی دارند، یکی از آن‌ها نوعی بات است که قابلیت دانلود/آپلود فایل‌ها، آغاز فرآیندهای پردازشی و یا اجرای تابع خود‌تخریب را دارد و دیگری مانند یک دانلودکننده معمولی عمل می‌کند. همچنین، در حالی که بدافزار بصورت ماهانه در ابتدا بروزرسانی می‌شد، از ژانویه ۲۰۱۹، سرعت توسعه آن افزایش یافته و بصورت روزانه تکامل یافته است.
داده‌ها نشان می‌دهند که مرحله اول حمله توسط سرویس‌گیرنده‌های پیام‌رسان‌ها، مانند Skype یا Messenger، منتقل می‌شود. از طریق پیام، یک اسکریپت Visual Basic مبهم‌سازی شده با ابزار مرحله دوم یعنی یک فایل CAB رمزگذاری شده منتقل می‌شود. فایل CAB به یک فایل اجرایی گسترش می‌یابد که در ادامه این فایل اجرایی در مرحله ۴ یک دانلودکننده نصب می‌کند.
با این حال، قبل از رسیدن به مرحله سوم و چهارم،Rietspoof  با اضافه کردن WindowsUpdate.lnk  به پوشه راه‌اندازی ویندوز که پس از هر بار راه‌اندازی مجدد، یک باینری Portable Executable یا فایل اجرایی قابل حمل گسترده را اجرا می‌کند، از حضور دائمی خود در سیستم اطمینان حاصل ‌می‌کند .
در مرحله سوم Rietspoof، بات‌هایی بارگذاری می‌شوند که توسط سازندگان بدافزار برای شروع پردازش‌ها در دستگاه‌های آسیب‌دیده، دانلود و آپلود فایل‌ها و ارسال فرمان خود تخریب استفاده می‌شود. در حالی که خود payload بات‌ها از قابلیت‌های غیرعادی برخوردار نیست، سرور فرمان و کنترلی (C&C) که به آن وصل می‌شود دارای ویژگی‌های غیرمعمول است. به عنوان مثال، سرور C&C قابلیت تعیین محدوده جغرافیایی (Geofencing) پایه بر اساس آدرس IP را دارد.
مرحله چهارم و آخرین مرحله به عنوان یک دانلودکننده بدافزار عمل‌ خواهد کرد و تلاش خواهد کرد یک کانال معتبر از طریق پروتکل NTLM روی TCP با سرور C&C خود، ایجاد کند. پس از آنكه دانلودکننده موفق به برقراري ارتباط با سرور C&C مي‌شود، سعي مي‌كند آخرين payload يا يك مرحله ديگر بدافزار را دریافت‌کند.
هنوز هدف اصلی، قربانیان و زنجیره آلودگی دقیق Rietspoof، شناسایی نشده است، اما عاملان تهدید پشت این بدافزار، در حال افزایش سرعت توسعه و گسترش آن و افزودن ویژگی‌های جدید و بروزرسانی و بهبود هر یک از ویژگی‌های موجود هستند.

منبع :
نام:*
ایمیل:


جستجو در سایت
استارت آپ ها

ایده ها برای استارت آپ موجب رونق کسب و کارهای اینترنتی

آینده / استارت آپ

استارت‌آپ‌ها ادبیات بازار سرمایه را بلدند؟

استارت آپ

صدور تاییدیه دانش بنیانی شتابدهنده صدر فردا

اخبار / استارت آپ

اپلیکیشن شارژاپ

گوناگون / استارت آپ / رپرتاژ آگهی / بازتاب

جذاب‌ترین ایده‌های B2B در سال 2020

استارت آپ

۱۰ استارتاپ که بدون سرمایه به سوددهی رسیدند

استارت آپ

ایده ها و پیشنهاد برای استارت آپ در سال جدید

راهکارها و ترفند ها / استارت آپ

استارت‌آپ ایرانی؛ مرجع اول زنان افغان

استارت آپ

شروع یک کسب و کار نوپا پلتفرمی

استارت آپ

برنامه شبکه اجتماعی تیندر

گوناگون / معرفی وب سایت / استارت آپ

10 استارت آپ برتر تاکسیرانی جهان

استارت آپ

پخت پیتزاهای هیجان انگیز با هوش مصنوعی

آینده / استارت آپ

ایده‌ های استارتاپی فراموش شده‌

دورنما / بازار / استارت آپ

اپل، استارتاپ فناوری خودران Drive.ai را تصاحب کرد

استارت آپ

بررسی مهمترین چالش‌های تیم‌های استارتاپی

استارت آپ

نگرانی کاربران از هزینه تعمیر و تامین قطعات

گفت و گو / بازار / استارت آپ

مصاحبه با مدیرعامل و بنیان‌گذار استارتاپ Moz

گفت و گو / استارت آپ

آشنایی با استارت آپ های حوزه مدیریت آب

استارت آپ

راه اندازی ۷۰ استارت آپ توسط نخبگان ایرانی

استارت آپ

معرفی هشت استارت‌آپ‌ موفق ایرانی در حوزه فینتک

استارت آپ

اولین مرورگر شرعی دنیا

استارت آپ

از صفر تا پیست

استارت آپ

معرفی برترین استارتاپ‌های CES 2019

اخبار / استارت آپ

تبلیغات
درباره ما

مجله اینترنتی دیپروتد نشریه مجازی بر بستر اینترنت به مسائل آموزشی و مقالات پیرامون کسب وکار های نوپا یا استارت آپ ها و سبک زندگی است فعالیت و محتوای مطالب ارائه شده در سایت همه بیشتر در حوزه مدیریت، کارآفرینی ، روانشناسی ،اقتصادی و فناوری اطلاعات است نام اصلی دیپروتد "ریشه های عمیق " با مجوز رسمی از هیات نظارت برمطبوعات مشغول به فعالیت است

ما را در شبکه های اجتماعی دنبال کنید