تکنولوژی جدید

فناوری جهانی

 
خدایان دزدی اینترنتی . زئوس ، بدافزاری که بانک ها را هدف قرار میدهد
نویسنده : شهاب شفیعی - ساعت ۱۱:٠٢ ‎ق.ظ روز سه‌شنبه ۱٧ اردیبهشت ۱۳٩٢
 

شاید همیشه با شنیدن کلمات دزد و دزدی یادتان به یک انسان با لباس یکدست مشکی و نقابدار بیفتید که در حال بالا رفتن از دیوار مردم است . ولی در قرن بیست و یکم دیگر کسی ریسک نمیکند و از دیوار خانه مردم بالا نمیرود تا بعد از آن دچار پلیس و زندان شود . این روز ها هر انسانی میتوانید با استفاده از یک لپ تاپ کوچک به شبکه ها نفوذ کند ، بدافزار طراحی کرده و به جان مردم بیاندازد و یا اصلا یک بدافزار طراحی کند که جیب شما را هدف قرار دهد .

شاید با خود فکر کنید کسی که اینگونه بدافزارها را مینویسد انسان فوق العاده باهوشی است . شکی در این موضوع نیست . اینگونه افراد با دانش بالا در برنامه نویسی سیستم های کامپیوتری و شبکه ای گونه ای از بدافزارها را خلق کرده که هر کاری که میخواهند انجام میدهند .  از همه بدتر اینکه گونه ای از بدافزارها خود دارای سرورهایی هستند که دستورات و موارد مورد نیاز را از آنجا دریافت کرده و اقدام به آپدیت خود میکنند . یعنی اگر بدافزاری توسط آزمایشگاه شرکت های امنیتی شناسایی شود ، میتواند با دریافت اطلاعات مورد نیاز ، بخش هایی که باعث شناسایی اش شده اند را حذف کرده و اقدام به اضافه کردن بخش های جدیدتر کند تا مانع از شناسایی سری جدیدتر شود .


البته در این دوره و زمانه دیگر حتی نیازی نیست که حتما یک فوق تخصص سیستم های کامپیوتری و شبکه ای باشید تا بتوانید اقدام به طراحی بدافزار کنید . انواع و اقسام ویروس میکر ، تروجان میکر ، ورم میکر در اینترنت وجود دارند و شما میتوانید با فعال و یا غیر فعال کردن چند گزینه یک بدافزار سفارشی شده برای خودتان بسازید . البته نوع دیگری از بدافزار سازها نیز وجود دارند که از قدرت بسیار زیادتری برخوردار هستند ولی برای داشتن یکی از آنها باید در وبسایت هایی که به وبسایت های زیرزمینی مشهور هستند به جستجو بپردازید و پس از پیدا کردن محصول مورد علاقه خود با پرداخت چند صد تا چند هزار دلار اقدام به خریداری آنها کنید .

آن گونه از بدافزار سازها که در اینترنت به وفور و رایگان یافت میشوند بیشتر برای سرگرمی هستند تا مثلا دوست خود را اذیت کنید یا اینکه به دوست دختر خود ثابت کنید به خاطرش هر کاری میکنید . بدافزارهایی که اینگونه بدافزار سازها تولید میکنند معمولا شناسایی شده اند و فقط همان کاربردی که عرض کردم را دارند .

اما گروه بعدی که در ۹۰ درصد موارد پولی هستند ، بیشتر برای مقاصد سودجویانه بکار گرفته میشوند . این گونه از بدافزارها میتوانند :

۱- اطلاعات حیاتی یک ارگان را به خطر بیاندازند .

۲- اقدام به باجگیری از شما کنند .

۳- با ربودن اطلاعات مهم شما مثل اطلاعات حساب بانکی ، اقدام به خالی کردن حساب شما کنند .

معرفی :

تروجان جدید Zeus ( زئوس ) از خانواده Win32.Zbot موج جدیدی از حملات به سیستم های کامپیوتری را شروع کرده و شما را نیز ممکن است هدف حملات خود قرار دهد . اولین آثار این تروجان در ماه جولای سال ۲۰۰۷ میلادی توسط محققان امنیتی کشف شد .

 

گزارش ها :

طبق اعلام شرکت امنیتی Prevx در این زمان ( سال ۲۰۰۷ ) تروجان Zeus بیش از ۷۴۰۰۰ اکانت را در سایت های مختلف به خطر انداخته بود . تعدادی از این سایت ها عبارتنداز :

۱- وبسایت بانک آمریکا .

۲- وبسایت سازمان فضایی ناسا .

۳- وبسایت کاریابی Monster .

4- وبسایت شبکه رادیویی و تلویزیونی ABC .

5- وبسایت شرکت اوراکل ، بزرگترین سازنده برنامه های دیتابیس .

۶- وبسایت شرکت سیسکو سیستمز ، بزرگترین سازنده سخت افزار و نرم افزارهای شبکه ای در دنیا .

۷- وبسایت آمازون .

۸- وبسایت مجله BusinessWeek .

شبکه ای از سیستم های آلوده شده که Botnet ( بات نت ) نامیده میشوند توسط این بدافزار گردآوری شده اند که فقط در ایالات متحده آمریکا سه میلیون و ششصد هزار بات دارد ( بات یعنی همان سیستم های آلوده شده که تحت فرماندهی بدافزار قرار میگیرند . البته برخی اوقات به آنها زامبی نیز میگویند ) که این آمار همچنان در حال افزایش است .

در ۲۸ اکتبر سال ۲۰۰۹ میلادی این تروجان حدود یک و نیم میلیون پیام جعلی ( Phishing ) را به اکانت های موجود در سایت Facebook ارسال کرد .

در تاریخ ۳ نوامبر ۲۰۰۹ نیز یک زوج بریتانیایی به دلیل استفاده از تروجان Zeus ( طبق اعترافات خودشان ) دستگیر شدند .

به طور کلی این تروجان در سال ۲۰۰۹ حدود ۹ میلیون اسپم ارسال کرد .

اما هنوز در سال ۲۰۱۰ نیز این بدافزار به فعالیت خود ادامه میدهد .

در تاریخ ۱۴ جولای ۲۰۱۰ شرکت امنیتی Trusteer گزارش داد که کارت های اعتباری بیش از ۱۵ بانک آمریکایی در معرض خطر حمله این بدافزار قرار دارند . لازم به ذکر است که این شرکت هیچ نامی از این بانک ها نبرد .

پس از گذشت حدودا سه ماه از این گزارش ، FBI ( پلس فدرال آمریکا ) اعلام کرد مدارکی از وجود یک شبکه بزرگ جرائم اینترنتی حکایت میکند . این شبکه با استفاده از تروجان Zeus به سیستم های کامپیوتری کشور آمریکا نفوذ کرده و تابحال مبلغی در حدود ۷۰ میلیون دلار سرقت کرده است .

محدوده فعالیت :

تاکنون بیش از ۱۰۰ نفر از افرادی که از این تروجان استفاده کرده اند دستگیر شدند که ۹۰ نفر از آنها آمریکایی و بقیه انگلیسی و اوکراینی هستند .

تروجان Zeus کامپیوترهای بیش از ۱۹۶ کشور دنیا را به تسخیر خود در آورده است . پنج کشوری که بیشترین آمار آلودگی ها از آنها گزارش شده است ، عبارتنداز :

۱- مصر .

۲- آمریکا .

۳- مکزیک .

۴- عربستان سعودی .

۵- ترکیه .

در مجموع بیش از ۲۴۰۰ کمپانی و سازمان در اثر حملات این تروجان آلوده شده اند .

سیستم عامل هدف :

باز هم مثل همیشه این سیستم عامل ویندوز است که علاوه بر باگ های موجود ، به دلیل استفاده گسترده در کل دنیا ، هدف یک بدافزار دیگر قرار گرفته . این بار ویندوز باید با Zeus دست و پنجه نرم کند . این بدافزار به غیر سیستم عامل ویندوز به هیچ یک از سیستم عامل های دیگر ، کاری ندارد .

البته افرادی که از ویندوز XP سرویس پک ۲ استفاده میکنند باید آگاه باشند که آسیب پذیری بسیار شدیدی در اثر حمله این تروجان خواهند داشت .

لازم به ذکر است که این تروجان در درجه اول سعی در نفوذ به سیستم های کامپیوتری شرکت ها ، بانک ها و زیر ساخت های دولتی را دارد اما کاربران خانگی نیز میتوانند طعمه خوبی برای این تروجان باشند .

اطلاعاتی که Zeus آنها را هدف قرار میدهد :

زئوس اطلاعات مربوط به اکانت های شما در شبکه های اجتماعی ، سرویس های پست الکترونیک و موسسات مالی مثل بانک ها را هدف قرار میدهد .

طبق گزارشی که موسسه امنیتی Netwitness منتشر کرده است ، وبسایت های زیر بیشترین آمار ربوده شدن اطلاعات اکانت کاربرانشان را دارا هستند :

۱- Facebook .

2- Yahoo .

3- Hi5 .

4- Metroflag .

5- Sonico .

6-Netlog  .

زئوس قابل خریدن است :

شما میتوانید به راحتی Zeus را خریداری کنید . البته این باید مبلغ هنگفتی را برای آن هزینه کنید . این مبلغ از حداقل ۷۰۰ دلار شروع شده و به رقم ۴۰۰۰ دلار ( برای نسخه های جدیدتر ) نیز میرسد . کافیست به وبسایت هایی که معروف به وبسایت های زیر زمینی هستند مراجعه کنید و با پرداخت مبلغ درخواست شده ، یک عدد از این بدافزار را تهیه کنید . حتی زئوس این قابلیت را داراست که از یک بانک محلی ، یک وبسایت مالی و یا فروشگاه سرقت را انجام دهد و در واقع این صاحب Zeus است که تصمیم نهایی را خواهد گرفت .

کنترل کامل :

هنگامی که Zeus روی سیستم هدف فعال شد ، مانند یک Backdoor عمل میکند و کنترل کاملی را به صورت از راه دور ( Remote ) به فرد مهاجم میدهد و این یعنی هر دستوری که شما به سیستم هدف ارسال کنید ، پذیرفته خواهد شد .

در لیست اولویت کارهایی که Zeus انجام میدهد ، سرقت اطلاعات کاربری شما مثل اکانت های FTP ، ایمیل ، حساب بانکی و رمزهای عبور شما وجود دارد . در همین حین شما میتوانید به گوشه و کنار سیستمی که فتح کرده اید سرک بکشید .

نسخه :

آخرین نسخه موجود از Zeus ( در زمان نگاشته شدن این مقاله ) نسخه ۱٫۳٫۱٫۱ میباشد .

پیدا کردن و پاکسازی :

حتی اگر یک آنتی ویروس خوب نیز روی سیستم شما نصب باشد ، پیدا کردن Zeus بسیار مشکل است . شاید این اولین و بهترین دلیل باشد که چرا این خانواده از بدافزارها بزرگترین بات نت سراسر اینترنت را تشکیل میدهند . همانطور که در بالا نیز عرض کردم ، کشور آمریکا به تنهایی سه میلیون و ششصد هزار سیستم آلوده به این تروجان را دارد . البته این مورد توجیه خوبی برای آپدیت نکردن آنتی ویروستان نیست و شما باید همیشه آنتی ویروس خود را بروز نگه دارید .

همیشه میگویند پیشگیری بهتر از درمان است . این مورد را کارشناسان دنیای امنیت نیز تایید میکنند . همچنین برای Zeus نیز این مورد تجویز شده است . اگر در شبکه های اجتماعی یا پست الکترونیک برای شما لینک جذابی ارسال شد ، آن را باز نکنید . اگر دیدید که این پیام ( در شبکه اجتماعی ) و یا ایمیل از طرف دوستتان هست ، حتما قبل از باز کردن لینک ، از دوست خود بپرسید که آیا او این لینک را برایتان فرستاده است یا خیر ؟ زیرا ممکن است Zeus به اکانت دوست شما نفوذ کرده و از طریق لیست دوستان و آشنایان لینک های مخرب خود را برای شما ارسال کرده باشد . پس هر لینکی را که دیدید سریعا آن را باز نکنید و کمی قبل از کلیک کردن تامل کنید .

در ۲۷ آگوست ۲۰۱۰ شرکت امنیتی کسپرسکی در وبسایت خود ، مقاله ای را به منظور آموزش روش های مقابله با این تروجان منتشر کرد که در ادامه قسمت های مهم و قابل ذکر این مقاله را میخوانیم :

این تروجان از تکنیک مخفی سازی به روش روتکیت ها ( Rootkit ) بهره میبرد تا در نهایت بتوانید فایل های اجرایی و پردازش خود را از دید کاربر مخفی نگه دارد . بدافزارهای خانواده این تروجان ( Win32.Zbot ) معمولا از طریق مشاهده کردن صفحات اینترنتی آلوده به داخل کامپیوتر شما نفوذ میکنند . البته شما میتوانید با استفاده از یک آنتی ویروس آپدیت شده ( به صورت منظم ) از تغییراتی که این بدافزار در سیستم شما ایجاد میکند ، آگاه شوید . برنامه های امنیتی شرکت کسپرسکی میتوانند مانع از آلودگی سیستم شما به این تروجان شوند و یا اگر سیستم شما به تازگی توسط این تروجان آلوده شده است ، تمامی اثرات مربوط به این آلودگی را به صورت کامل از بین ببرد ( البته به نظر میرسد که این جمله بیشتر تبیلغاتی باشد و باید در عمل دید که آیا کسپرسکی میتواند کاری انجام دهد یا خیر ؟ ) .

اگر شما نمیتوانید از هیچ آنتی ویروسی روی کامپیوتر خود استفاده کنید ، بنابراین باید از برنامه Zbotkiller استفاده کنید . لازم به ذکر است که قبل از انجام هرگونه عملیات بانکی ، کامپیوتر خود را با استفاده از این برنامه Scan کنید تا مانع از وارد آمدن هرگونه زیان مالی به خود شوید .

در ادامه مهمترین علائم مربوط به این تروجان را به شما نشان خواهیم داد :

ممکن است که یک یا چندین مورد از فایل های زیر در پوشه های system32 و AppData وجود داشته باشند :

۱- ntos.exe

2- twex.exe

3- tewxt.exe

4- oembios.exe

5- sdra64.exe

6- lowsec\\local.ds

7- lowsec\\user.ds

بیشتر تروجان ها رجیستری را یکی از امن ترین مکان ها برای خود میدانند . شاید یکی از دلایل این باشد که رجیستری بسیار گسترده بوده و پر از مسیرهای پیچ در پیچ و شاخه ای است و همچنین پر از کلیدهایی با نام های اختصاری میباشد که بررسی رجیستری را بسیار مشکل میکند . البته برنامه هایی برای بررسی رجیستری وجود دارند که به برنامه های مانیتورینگ رجیستری معروف هستند ولی باید اصول کار کردن با این برنامه ها را بلد بود و گرنه جز سردرگمی چیزی برای شما نخواهند داشت .

Zeus با استفاده از دو شاخه زیر در رجیستری و ساخت تعدادی کلید اقدام به لینک کردن ( آدرس دهی به فایل مخرب ) فایل های مخرب میکند تا در هنگام وقوع یک رویداد خاص ( مثلا راه اندازی مجدد ویندوز ) فایل های مخرب دوباره فعالیت خود را شروع کنند :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit o

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

استفاده از Zbotkiller :

همانطور که در بالا گفته شد ، شما میتوانید از Zbotkiller به منظور پاک سازی سیستم خود و یا حداقل از کار انداختن تروجان استفاده کنید .

برنامه Zbotkiller امکانات زیر را برای شما فراهم میکند :

۱- اسکن سریع سیستم به منظور پیدا کردن آلودگی .

۲- پیدا کردن و پاک سازی تغییراتی که مربوط به خانواده Win32.Zbot باشد .

۳- از کار انداختن تمامی عملیاتی که این تروجان به منظور مخفی سازی خود انجام میدهد .

۴- در نهایت حذف فایل های مخرب و پاکسازی رجیستری از وجود آلودگی های مربوط به این خانواده .

اگر برنامه Kaspersky Administration Kit در شبکه شما در حال اجرا باشد ، میتوانید Zbotkiller را به صورت محلی و یا از راه دور ، راه اندازی کنید .

کافیست برنامه Zbotkiller را از وبسایت گویا آی تی دریافت کرده و آن را اجرا کنید .

FBI همچنان پیگیر ماجرا :

در اکتبر ۲۰۱۰ FBI اعلام کرد که هکرهای شرق اروپا با استفاده از این تروجان سیستم های کامپیوتری زیادی را در کل دنیا آلوده کرده اند . آنها این تروجان را از طریق سرورهای قدرتمند ارسال هرزنامه منتشر کرده و هدف خود را اطلاعات شخصی و تجاری قرار داده اند . FBI نیز توصیه کرد لینک های مشکوک را به هیچ وجه باز نکنید .

FBI همچنین اعلام کرد که هکرها پس از بدست آوردن اطلاعات شخصی و تجاری شما ، بدون هیچ گونه مشکلی به حساب بانکی شما رفته و موجودی حساب شما را تخلیه میکنند . توجه داشته باشید که هکرها احمق نیستند و خودشان به صورت مستقیم اقدام به برداشت از حساب دیگران نمیکنند . در واقع آنها اربابان بات نت خود هستند . با استفاده از همان بات نت ، بات ها را مجبور میکنند که از حساب شخص دیگری برداشت کرده و به حساب اربابان خود در شرق اروپا واریز کنند . البته در اینجا بات بیچاره روحش هم از این موضوع خبر ندارد و اگر هم مشکلی پیش بیاید ، پلیس ، بات را مقصر میداند . البته اگر باز هم هکر اصلی را شناسایی کنند ، دستشتان از وی کوتاه است . چرا که آنها در شرق اروپا هستند و FBI در آمریکا و پلیس بین الملل نیز تا هکر را پیدا کند مدت زمان زیادی طول خواهد کشید .