موضوع: تجزیه تحلیل بات نت Jaku و نحوه عملکرد آن

بات نت یا در اصطلاح ارتش زامبی ها شبکه ای از کامپیوتر های آلوده به یک بدافزار است که با کنترل کامپیوتر های آلوده می تواند از آنها برای حملات سایبری استفاده کند. برای آشنایی با عملکرد بات نت ها می توانید این مقاله را مشاهده کنید.در این مقاله قصد داریم به بررسی یکی از پیشرفته ترین بات نت ها به نام Jaku بپردازیم.






در سال ۲۰۱۶ تیم بررسی تخصصی Forcepoint از وجود بات نتی خبر دادند که هزاران قربانی را در قالب گروه های کلی کنترل می کنند.این کشف با نام Jaku شناخته شد و بینش جدیدی را در رابطه با خصوصیات و نحوه کار بات نت ها ارایه کرد. همچنین این کشف نشان داد که چرا قربانیان بات نت ها مورد هدف چین حملاتی قرار میگیرند و چگونه استفاده از نرم افزارها و ویدئو های جعلی آنها را در مقابل حملات آسیب پذیر می کند.Jaku چیست؟

بات نت ها روش های حمله بسیار انعطاف پذیر و فراگیری هستند. در مورد Jaku این انعطاف پذیری به حدی است که توانسته هزاران قربانی را کنترل کند تا عضوی از شبکه بات نت شوند. اما معمولا در مورد Jaku بصورت موازی یک عملیات هدفدار بر روی تعداد کمی از افراد منحصر به فرد اجرا می شود. این افراد شامل اعضای سازمان های بین المللی غیر دولتی،شرکت های مهندسی،دانشگاه هها،دانشمندان و کارمندان دولت است.افراد پشت این بات نت، ابتدا شبکه های بات نت کوچک تری آماده کردند. سپس این شبکه ها تا اندازه مناسب برای شکل گیری یک ساختار ارتجاعی و واکنش پذیر رشد می کنند. این مطلب بدین معنی است که وقتی یک شبکه بات نت از کار می افتد مطمئن باشید ۶ یا ۷ شبکه دیگر نیز وجود دارد. بدین شکل شبکه بات نت از ادامه فعالیت و اثر پذیری خود مطمئن می شود.ارزیابی های اولیه خبر از ۱۹۰۰۰ قربانی در یک لحظه در این شبکه بات نت می دهند.فرایند کشف

برای محافظت از کاربران و مشتریان اطلاع از نحوه کشف و مقابله با این نوع بات نت بسیار ضروری است. پروسه کشف Jaku اولین بار توسط Kaspersky در گزارش معروف Dark Hotel اعلام شده است. با بررسی نام دامنه ها،آی پی ها و اطلاعات برخی از وب سرور ها ،فایلی با نام near.jpg کشف شد که کاملا مشکوک به نظر می رسید.بررسی فایل مشکوک

در هنگام بررسی ها فایلها،یک فایل near.jpg با حجم ۴۵۱ مگابایت توجه متخصصین را به خود جلب کرد. این فایل تصویری در حقیقت یک وب سرور کوچک بود. بر این اساس اولین قدم برای شناسایی فایل های مخرب پیدا کردن فایل های تصویری با حجم های نا متعارف بود.در بررسی های بعدی سرور ها مشخص شد این بار فایل مخرب یک فایل تصویری نبوده بلکه یک فایل مربوط به دیتابیس SQLite است. در داخل این دیتابیس جدوال مختلفی با نام Child و History وجود داشتند که با استفاده از آن امکان شناسایی و ره گیری مشخصات قربانیان، آدرس های IP و حتی مشخصات فردی آنها نیز وجود داشت. این اطلاعات شخصی توسط بدافزار سرقت شده و به مرکز کنترل بات نت ارسال شده بود.با استفاده از این اطلاعات ما دریافتیم که از تعداد زیادی زبان های خارجی مانند ژاپنی و کره ای استفاده می شود. با استفاده از نرم افزار های ترجمه آنلاین مشخص شد که محتوای بسیاری از این داده ها شامل تصاویر غیر اخلاقی،بسیاری از داده هایی که کپی رایت را نقص می کنند،و نرم افزار های کرک شده بود. در برخی موارد تصاویری از صفحات ویزا و پاسپورت مشاهده شد که حاوی اطلاعات شخصی افراد بوده است. در ادامه بررسی ها مشخص شد که در واقع چندین مرکز فرمان و کنترل وجود دارد.بررسی های دقیق تر

با بررسی های دقیق تر مشخص شد که این بات نت یک بات نت عادی نیست. در قدم های بعدی مشخص شد که در یکی از سرور ها یک فایل PNG با حجم زیاد وجود دارد و محتوای آن نیز رمز گذاری شده است به شکلی که به نظر می رسد یک فایل عکس است. این فایل حاوی بدافزاری بوده که توسط آنتی ویروس Bitdefender بررسی شده بود. این بدافزار از کد رمز گذاری RC4 ویرایش شده دستی استفاده کرده بود و به همین دلیل متخصصین توانستند آن را از حالت رمز شده خارج کنند.در ادامه بررسی ها مشخص شد از تکنیک های جستجوی فایل نیز بهره می برد و از الگوریتم DOD استفاده می کند.این الگوریتم از تکنیک Secure File Shredder که تحت زبان C نوشته شده است استفاده می کند. همچنین مهاجمان از یک کتابخانه متن باز با نام UDT برای پوشش DNS استفاده می کنند. این کد برای ایجاد ارتباط با مراکز کنترل و فرمان و حفظ ارتباطات بین دیگر شبکه ها استفاده می شود.






قربانیان چه کسانی هستند؟


در بررسی انجام شده از بات نت Jaku نکته جالبی از پراکندگی جغرافیایی قربانیان مشاهده شد. این مطلب نشان دهنده این بود که مهاجمین هم از لحاظ جغرافیایی و هم از لحاظ زبانی اهداف خود را انتخاب کرده بودند. به طوری که می توان گقت این نوع حمله متمرکز برنوع زبان قربانیان بوده است.براین اساس مشاهده شده که تعداد قربانیان شرکتی بسیار کم بوده و مهاجمین بیشتر وقت خود را بر روی کاربران غیر شرکتی گذاشته اند. کمتر از ۱ درصد سیستم های قربانیان عضو دامین Microsoft بوده اند و مقدار بسیاری از آنها افرادی بودند که از نرم افزار های بدون لایسنس و کرک شده و ویدئو های غیر مجاز استفاده می کردند. در مقابل بیش از نیمی از کامپیوتر های قربانیان از نسخه های کپی و جعلی مایکروسافت ویندوز استفاده می کردند.تلاش های اختصاصی

یافتن ، رد گیری و از بین بردن حمله و روش های مقابله با آن وظیفه سنگینی است که هیچ سازمانی به تنهایی نمی تواند از عهده آن بر بیاید. این کار نیاز به فعالیت های هوشمندانه و تخصصی سازمان های خصوصی و دولتی دارد. خصوصا سازمان هایی که بصورت تخصصی بر روی راه های مقابله با بات نت ها کار می کنند.کشف Jaku به ما آموخت که هزاران کامپیوتر آلوده وجود دارند و منتظرند تا حملات DDOS بر روی اهداف خاصی اجرا کنند و یا ارسال اسپم در سطح گسترده ای داشته باشند. در اندازه های کوچکتر برخی از این قربانیان در شرکت ها هستند و بررسی ها اثبات کرده اند که تنها یک یا دو لینک کافیست تا کل سیستم دفاعی یک سازمان فرو بریزد.افرادی که آلوده به بات نت Jaku شده اند بدین دلیل بوده که در استفاده از تجهیرات خود دقت نداشته و یا از نسخه های کرک شده سیستم عامل ویندوز و نرم افزار های کرک شده و حتی ویدئو های غیر مجاز استفاده کرده اند و حتی ممکن است بر روی سیستم خود هیچ آنتی ویروس یا فایروالی راه اندازی نکرده باشند.سطح تلاش هایی که افراد کنترل کننده این نوع بات نت ها دارند ، با استفاده از سه شکل متفاوت از مراکز کنترل و فرمان، به وضوح مشخص می کند که آنها ارزش زیادی برای کارشان قائل هستند. در حال حاضر تلاش های زیادی برای آشنایی با نحوه کار بات نت ها توسط سازمان های خصوصی و حتی سازمان های بین المللی در حال انجام است تا از خطرات بزرگتری که این شبکه های باتن تی می توانند ایجاد کنند جلوگیری شود.

تجزیه تحلیل بات نت Jaku و نحوه عملکرد آن | بلاگ ایران هاست