هکرهای روسی برای مخفی کردن سرور کنترل، از اکانت اینستاگرام Britney Spears استفاده کردند

 | تاریخ ارسال: 1396/3/22 | 

بله، عنوان خبر را درست خواندید. طبق گزارش Ars Technica، هکرهای روسی Turla یک راه منحصرد و یکتا برای ایجاد ارتباط ایمن بین دستورات و سرور کنترل یافته اند. این کار به وسیله ی ارسال دستورات برروی پست های مربوط به صفحه ی Britney انجام می شود. دستورات مربوط به هدایت بد افزار و لینک اتصال به سرور کنترل عنواینی هستند که عموما بدافزارها با آنان ارتباط برقرار می کنند تا دستورات مورد نیاز را دریافت نمایند و داده هایی از قربانی را بدزدند. در ظاهر ایجاد یک C&C سرور کار ساده ای به نظر می رسد اما در اصل این کار یک مشکل بزرگ و اساسی برای سازندگان بدافزارها می باشد.

برای بدافزارها باید مشخص باشد که با چه سروری ارتباط برقرار نمایند. استفاده از آدرس سرور در کد بد افزارها عمل خوبی محسوب نمی شود. از طرفی هم با بررسی ها امنیتی به راحتی می توان به کد بد افزار دست پیدا کرد و آدرس سرور را استخراج نمود و ارتباط با سرور را مسدود کرد. این دقیقا  مشابه کاریست که برای توقف باج افزار WannaCry مورد استفاده قرار گرفت.

برای اطمینان از این که بدافزار بداند با چه سروری در ارتباط است و شخص دیگری از خود بدافزار به این موضوع پی نبرد، گروه Turla یک راه ساده و ارزشمند را برای مشخص کردن مکان سرور کنترل پیاده سازی نمود. آن ها آدرس سرور کنترل را در یک کامنت در پست های موجود در اینستا گرام قرار دادند. بدافزار این کامنت ها را بررسی و آنان را هش (Hash)  می نماید تا یک مقدار قابل قبول پیدا نماید. سپس به راحتی و با استفاده از عبارات منظم در ریاضیات برروی کامنت های به راحتی لینک C&C به دست خواهد آمد.

از آن جایی که لینک سرور به طور مستقیم در کد برنامه و یا در کامنت ها موجود نیست. تشخیص این امر بسیار دشوار خواهد بود. کامنت واقعی در این سوال به صورت زیر بود "#2Hot make loved to her, uupss #Hot #X" و شامل کاراکترهای یونیکد غیر قابل چاپ برای کمک به ساخت لینک سرور کنترل می کند.




CAPTCHA
دفعات مشاهده: 6315 بار   |   دفعات چاپ: 779 بار   |   دفعات ارسال به دیگران: 0 بار   |   0 نظر