در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

جاسوسی بمدت 5 سال از 30 کشور

جاسوسی بمدت 5 سال از 30 کشور

همه چیز در مورد بدافزار Sauron


بدافزار Sauron، بدافزاری ست که از june سال ۲۰۱۱ تا سال ۲۰۱۶ به مدت 5 سال توانست فعالیت جاسوسی خود را با کشف ارتباطات رمزشده‌ی نهادهای دولتی، مراکز تحقیقات علمی، مراکز نظامی، سرویس‌دهنده‌های مخابراتی، مراکز تجاری و سازمان‌های مختلف و جمع آوری اطلاعات آنها آغاز کند.کشورهایی که مورد حمله قرار گرفتند به تعداد 30 کشور می رسیدند از قبیل روسیه، ایران، روآندا، چین، سوئد و بلژیک بودند که توسط کسپر شناسایی شدند و احتمال اینکه همچنان سیستم‌هایی آلوده وجود داشته باشند که هم‌چنان شناسایی‌نشده و جاسوس‌افزار همچنان به کار خود ادامه می دهد، وجود دارد.

جاسوسی بمدت 5 سال از 30 کشور

نام این جاسوس افزار از کلیدی که در متغیری به نام Sauron در این فایل است گرفته شده و در لغت به معنی تمساح عظیم‌الجسه است و در ابتدا دارای حجمی حدود ۴ الی ۵ کیلوبایت است که در ادامه با تزریق خود به نرم‌افزارهای قانونی موجود در شبکه هدف و اعلام درخواست به‌روزرسانی بدنه‌های اصلی خود را در قالب یک برنامه معتبر دانلود و به‌روزرسانی می‌کند. هم‌چنین این بدافزار دارای حدود ۵۰ ماژول است که دارای نام ، اندازه‌ی متفاوت و معماری خاص خود بوده که توسط الگوریتم‌های قوی رمزنگاری همانند Rc6 ،RC5 ،RC4 ،AES و Salsa20 رمزشده است.

جاسوسی بمدت 5 سال از 30 کشور

این بدافزار علاوه بر سرقت کلیدهای رمزنگاری، فایل‌های پیکربندی و نشانی‌های آی‌پی کارگزارهای حساس، اسناد و کلیدهای فشرده شده توسط کاربر را نیز به سرقت می‌برد.

نحوه انتشار این بد افزار از طریق اینترنت و در زیرساخت هایی که اینترنت از اینترانت جدا است، از طریق رسانه‌های قابل حمل صورت می‌گیرد. بدافزار به محض ورود به سیستم ادمین به مدت طولانی در سیستم قربانی به حالت خواب رفته و پس از دریافت دستور از کارگزار فرمان و کنترل بیدار شده و عملیات مخرب خود را آغاز می‌نماید و با تغییر اسکریپت‌های سیستم مرکزی، که وظیفه‌ی به‌روزرسانی نرم‌افزارهای قانونی شبکه‌ی زیرساخت را دارند، به صورت یک به‌روزرسانی معتبر در سطح شبکه گسترش می‌یابد.این بدافزار یک پارتیشن جدید رمزشده در حدود چند صد مگابایت با فورمت سفارشی و ناشناخته ایجاد کرده و اطلاعات سرقتی را در آن ذخیره می‌کند. این کار باعث می‌شود تا اطلاعات به سرقت برده شده برای کاربر و حتی سیستم‌عامل غیرقابل دسترسی و مشاهده باشد. در نهایت پس از دسترسی بدافزار به سیستم دارای اینترنت، محتوای اطلاعات به سرقت‌رفته به صورت رمزشده از طریق ارسال پست الکترونیکی و تونل بر روی DNS ارسال می‌گردد و همه این عملیات به جهت شناسایی نشدن ، به آهستگی انجام شده این بدافزار با همسان‌سازی نام فایل‌هایش با فایل‌های نرم‌افزارهایی معتبر همانند ماژول های Kavupdate.exe, kavupd.exe شرکت کسپراسکی، AssaWrapper.exe, symnet32.dll شرکت سایمنتک ، KB2931368.exe شرکت مایکروسافت ، Hptcpprnt.dll شرکت Hewlett-Packard و VMwareToolsUpgr32.exe شرکت VMware رفتار خود را پنهان می‌نماید و با بهره‌گیری از ویژگی Windows LSA ویندوز است. به این صورت که در هر بار ورود کاربر به سیستم‌عامل ویندوز و یا تغییر کلمه عبور آن، کلمه عبور توسط پردازه‌ی Lsass.exe به Windows Filter Driver ارسال شده و در آن‌جا از لحاظ طول و کاراکترهای مجاز اعتبارسنجی می‌شود و در این هنگام است که بدافزار این اطلاعات را به سرقت برده و از آن سو استفاده می‌کند.

و پس از پایان کار، اجزای خود را به‌صورت امن پاک کرده و سپس خودکشی یا Melt می‌کند.

جاسوسی بمدت 5 سال از 30 کشور

اکثر قسمت‌های این بدافزار توسط زبان اسکریپتی lua که دارای انعطاف‌پذیری بالایی است ، نوشته شده و بر روی اغلب سیستم‌های عامل ویندوز ۳۲ و ۶۴ بیتی از ویندوز xp تا ویندوز ۱۰ و windows server 2012 قابل اجراست.این بدافزار با اطلاع از ساختار حملات مانای پیشرفته‌ی دیگر همانند همانند flame، Duqu و Regin و سازوکارهای آنها نوشته شده.

بعبارتی همانند Duqu : تنها در حافظه اجرا می‌شود و فایلی بر روی دیسک سخت سیستم قرار نمی‌دهد، از چندین روش رمزنگاری متفاوت استفاده می‌کند، از خط لوله جهت انجام ارتباطات در شبکه محلی استفاده می‌کند و از طریق کاناله‌های توسعه‌ی نرم‌افزارهای قانونی توزیع می‌گردد و همانند بدافزار flame: از زبان lua استفاده می‌کند، به‌صورت امن فایل‌ها را حذف می‌کند و شبکه‌های air-gap را به‌وسیله‌ی removable device دور می‌زنند و همانند بدافزار Equation و Regin : از رمزنگاری RC5/RC6 استفاده می‌کند، Virtual File system ایجاد می‌کند و داده‌ها را بر روی removable device پنهان می‌کند.

جاسوسی بمدت 5 سال از 30 کشور

طبق بررسی های انجام گرفته طراح این بدافزار یک گروه است و از طرفی علائمی چون بکارگیری لغات بسیار بومی انگلیسی‌زبانان و واژه هایی که تنها در سیستم‌عامل یونیکس استفاده می‌شود نشان بر این دارد که نفر اصلی یک انگلیسی با سابقه کار زیاد با سیستم‌عامل یونیکس است.

تنها راه دریافت و تحلیل این بدافزار با توجه به اینکه به طور کامل درون حافظه قرار می گیرد، dump از حافظه‌ی اصلی سیستم آلوده است.

مرجع: مرکز آپای شریف

نویسنده : علیرضا(ARAF)

منبع: ITPRO

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

#نحوه_عملکرد_بدافزار_sauron #ویژگیهای_جاسوس_افزار__sauron #همه_چیز_در_مورد__sauron #بدافزار_sauron
0 نظر

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....