بازگشت مجدد مخرب‌ترین بات‌نت جهان

بازگشت مجدد مخرب‌ترین بات‌نت جهان

اگر شما هم به تازگی تعداد زیادی اسپم دریافت کرده‌اید که شما را با نامتان خطاب کرده یا متن آنها مشابه متن ایمیل‌های واقعی که در گذشته ارسال یا دریافت کرده‌اید است؛ به احتمال زیاد باید Emotet را مقصر بدانید. این برنامه یکی از مخرب‌ترین و هزینه‌برترین بات‌نت‌های جهان است که پس از یک وقفه چهارماهه فعالیت خود را از سر گرفته است.

Emotet چیست؟

Emotet نخست به‌عنوان ابزاری برای انتشار تروجان‌های کلاهبرداری بانکی شروع به‌کار کرد اما در طی سالها به یک پلتفرم قابل اجاره تبدیل شده است. این ابزار همچنین تروجان TrickBot و باج‌افزار Ryuk را به شکل گسترده‌ای رواج داده است. هر دوی این برنامه‌های خرابکارانه به اعماق شبکه‌های آلوده نفوذ می‌کنند تا آسیب‌های وارده را به حداکثر برسانند.

برخی از افراد از ایمیل برای انجام مکالمات در حال جریان خود استفاده می‌کنند که این موضوع باعث شده است انتشار بات‌نت Emotet از طریق ایمیل موثر باشد. این بات‌نت با سواستفاده از مکالمات قبلی کاربر و موضوع و محتوای ایمیل‌های معتبر وی، پیام‌های جعلی می‌سازد. همین مسئله تشخیص وشناسایی این ایمیل‌ها را برای کاربران یا سیستم‌های ضداسپم بسیار سخت می‌کند.

روش دیگری که توسط Emotet مورد استفاده قرار می‌گیرد ارسال هرزنامه‌هایی است که نام شخص موردنظر در قسمت موضوع ایمیل نمایش داده شود.

همچنین یکی از شگردهای بات‌نت Emotet برای حمله به دستگاههای موجود در یک شبکه، استفاده از گذرواژهایی است که به‌راحتی قابل حدس زدن باشند.

انتشار فایل‌ها از طریق اسپم‌های آلوده توسط Emotet

برای آشنایی با نحوه حمله به قربانی از طریق اسپم‌های آلوده توسط Emotet، مثال زیر را در نظر بگیرید.

قربانی ابتدا یک ایمیل جعلی دریافت می‌کند. این ایمیل معمولا از جانب فردی است که در گذشته با وی مکاتباتی داشته و Emotet روی همان موضوع یا متن ایمیل‌های قبلی، رونوشتی به قربانی ارسال می‌کند.

Emotet این اطلاعات از طریق فهرست مخاطبان و صندوق‌های ایمیل‌ کامپیوترهای آلوده دریافت می‌کند و یک ایمیل پیگیری به یک یا چندنفر از دریافت کنندگان ایمیل قبلی ارسال می‌کند و در انتها یک پیوست مخرب به ایمیل اضافه می‌کند.

در تصویر زیر مکالمات بین دونفر از مشاوران با شهردار یکی از شهرهای آمریکا ثبت شده است، که قربانی Emotet شده‌اند:

سناریوی پشت این ایمیل به ترتیب زیر است:

  1. در ابتدا لیزا برای اطلاع‌رسانی در مورد مکانی که قرار است مراسم در آنجا اجرا شود و شهردار نیز حضور دارد، ایمیلی برای ارین ارسال کرده است.
  2. ارین در پاسخ به لیزا، درباره برخی از جزئیات این درخواست از وی سوالاتی پرسید.
  3. لیزا به Emotet آلوده شد. Emotet نیز از این طریق محتویات صندوق ورودی ایمیل لیزا از جمله پیامی که ارین فرستاده بود را به سرقت برد.
  4. Emotetدر پاسخ به ایمیل ارین یک ایمیل جعلی ارسال کرد و خود را به عنوان لیزا معرفی کرد. در این ایمیل یک فایل ورد آلوده به انتهای پیام پیوست شده بود. تصویر بالا همین پیام آلوده است.

البته استفاده از ایمیل‌هایی که قبلا ارسال شده‌اند برای تولید ایمیل‌های جعلی، روش جدیدی نیست؛ چراکه Emotet قبلا هم از این شیوه استفاده می‌کرد. اما با بازگشت مجدد آن، بات‌نت خیلی بیشتر به این ترفند تکیه کرده است.

حدود 25 درصد از پیام‌های اسپمی که توسط Emotet در طی سپتامبر 2019 ارسال شده‌اند مبتنی بر ایمیل‌های ارسال شده قبلی هستند. این رقم در مقایسه با نرخ 8 درصدی پیام‌های اسپمی که با همین روش در 5 ماه پیش از آن توسط Emotet ارسال شده‌اند، نشان از گسترش این دست حملات است.

سرقت بیش از 203هزار گذرواژه ایمیل

برای ارسال ساده‌تر اسپم، ‌Emotet تعداد زیادی نام‌کاربری و گذرواژه ارسال پیام را از سرورهای ایمیل مختلف به‌سرقت برده است. سپس این گذرواژه‌ها به دستگاه‌های آلوده‌ایی تبدیل شده‌اند که سرورهای کنترل Emotet از آنها به عنوان ارسال‌کننده اسپم استفاده کرده‌اند. محققان تعداد این گذرواژه‌ها که در طی یک دوره ده‌ماهه جمع‌آوری شده بود را در حدود 203هزار گذرواژه منحصربفرد عنوان کرده‌اند.

متوسط طول‌عمر هویت‌نامه‌های یک مجموعه به‌سرقت رفته‌ در حدود 6.91 روز بوده است. به عبارت دقیق‌تر؛ حدود 75درصد از هویت‌نامه‌های سرقتی و استفاده شده توسط Emotet در کمتر از یک روز از بین رفته‌اند و در مجموع 92درصد هویت‌نامه‌های سرقتی در عرض یک هفته ناپدید شدند. حدود 8 درصد باقیمانده از هویت‌نامه‌های سرقت شده مدت زمان بیشتری معتبر باقی ماندند.

فایل پیوست آلوده چگونه عمل می‌کند؟

پس از باز شدن ایمیل و دریافت فایل پیوست، پیامی در فایل word نمایش داده می‌شود با این مضمون که کاربر برای دسترسی و خواندن محتوی فایل پیوست شده به ایمیل باید شرایط نرم‌افزار مایکروسافت word را بپذیرد. برای این‌کار کاربر باید روی دکمه فعال‌سازی محتوا کلیک کند که با این کار امکان اجرای کدهای ماکرو در نرم‌افزارword فعال می‌گردد . ماکروها برنامه‌های قابل اجرایی هستند در داخل محیط نرم‌افزارهای آفیس نوشته و اجرا می‌شوند.

پس از فعال‌ شدن ماکروها در نرم‌افزار آفیس، ماکروهای Emotet که در فایل Word قرار داده شده‌اند، شروع به دانلود فایل‌های اجرایی Emotet از یکی از 5 سرور خود می‌کند.

سپس با اجرای برنامه‌های دانلود شده، Emotet سایر کامپیوترهای موجود در شبکه قربانی را شناسایی کرده و در صورتی که شرایط  سیستم قربانی مناسب باشد، اقدام به نصب تروجان TrickBot می‌کند.

روش‌های مقابله با بات‌نت Emotet

ترکیب استفاده از ایمیل‌های سرقتی، گذرواژه‌های قابل حدس، بدافزارهای حرفه‌ای و ترفندهای مهندسی اجتماعی، بات‌نت Emotet را به یکی از خطرناک‌ترین بات‌نت‌های جهان تبدیل کرده است، بخصوص برای افرادی که از ویندوز استفاده می‌کنند.

کاربران باید با بکارگیری Windows Defender, Malwarebytes ‌یا یک برنامه آنتی‌ویروس قابل اطمینان با تهدیدات مقابله کنند. نکته دیگر اینکه نباید به تمامی پیوست‌ها یا لینک‌هایی که از طریق ایمیل دریافت می‌شود اعتماد کرد، حتی اگر ایمیل ارسالی از جانب شخصی باشد که به‌نظر می‌رسد او را می‌شناسید.

کاربران همچنین باید از گذرواژه‌های قوی برای دستگاه‌های متصل به شبکه استفاده کنند تا از انتشار Emotet آلوده در شبکه محلی جلوگیری شود.

در انتها هم کاربران می‌توانند از طریق نرم‌افزار Malwarebytes که برای مقابله با بدافزارها و نرم‌افزارهای مخرب مورداستفاده قرار می‌گیرد متوجه شوند که آیا مورد هدف بات‌نت Emotet قرار گرفته‌اند یا خیر.

درباره آریس

آریس خدمات خود را در زمینه‌های مشاوره، طراحی و راه‌اندازی مراکز داده، تولید محصولات نرم‌افزاری مبتنی بر تکنولوژی‌های متن‌باز و مشاوره نرم‌افزار به مشتریان خود عرضه می‌دارد. امروزه شرکت آریس ارایه دهنده محصولات و خدمات مختلفی است و مشتریان آن را سازمان‌ها و شرکت‌های بزرگ و کوچک تشکیل می‌دهند. 

ارتباط با آریس

 تهران، یوسف آباد، بالاتر از میدان سلماس، خیابان۱۰/۱، پلاک ۵۰، واحد ۳

کد پستی ۱۴۱۳۷۶۳۱۶۵

  ۸۸۰۲۴۶۸۰ (۰۲۱)

  info@arissystem.com