شبکه‌های بات

‫شبکه بات شبکه‌ای از میزبان‌های آلوده است که تحت کنترل بک مرکز فرمان دهی واحد (سرور کنترل و فرمان) بوده و با دریافت فرامین از این مرکز اقدامات متناسبی را انجام می‌دهد. سرور کنترل و فرمان (C&C)، کامپیوتری است که فعالیت‌های کامپیوترهای آلوده به بات، روتکیت، worm و یا هر بدافزاری که جهت به‌روز رسانی و گرفتن فرامین به کامپیوتر دیگری وابسته هستند را هماهنگ می‌کند. سرور C&C ممکن است به کامپیوترهای آلوده بگوید که چه نوع اطلاعاتی را به سرقت ببرند، بدافزار موجود را به‌روز رسانی نماید و یا بدافزار جدیدی بر روی کامپیوترهای آلوده نصب نمایند.

اهداف شبکه های بات

اهداف شبکه‌های بات شامل موارد زیر می‌باشند:

• حملات منع سرویس توزیع شده (DDOS) جهت متوقف ساختن ارائه خدمات الکترونیک سازمان‌ها
• اشتراک گذاری منابع سیستم‌های قربانی جهت استفاده حمله کننده
• میزبانی داده‌ها و اطلاعات غیرقانونی بر روی قربانیان و سرورهای کنترل و فرماندهی
• مصرف منابع سیستم‌های قربانی

جزییات بات stealrat

Stealrat نوع جدیدی از شبکه بات انتشار spam می‌باشد که از یک روش جدید برای انتشار spam استفاده می‌نماید و عملکرد این بات به شرح زیر است:

• جمع آوری اطلاعات spam از قبیل نام فرستنده و نام گیرنده و فرمت ایمیل اسپم spam server و ارسال آن‌ها به سایت قربانی توسط سیستم آلوده به بات stealrat
• ارسال ایمیل‌های spam به کاربران توسط سایت قربانی
• ترغیت کاربران به کلیک بر روی لینک های ایمیل spam جهت هدایت به وب سایت قربانی دوم

انتشار بدافزار توسط ایمیل spam انجام نمی‌گیرد بنابراین ارتباط میان ایمیل spam و بدافزار قابل مشاهده نیست.

این ایمیل‌ها شامل لینک‌هایی است که کاربران را به وب سایت قربانی دوم هدایت می‌کند. در وب سایت دوم نیز لینک‌هایی وجود دارد که شامل صفحه وب آنلاین داروخانه و یا صفحاتی است که کاربر را به کلیک بر روی آنها ترغیت می‌نماید.

نکته جالب توجه این است که stealRat تلاش می‌کند از طریق تغییر نام دامنه به google.com، پنهان سازی ترافیک شبکه و همچنین عدم ارتباط مستقیم با C&C رد پایی از خود بر جای نگذارد و تشخیص و شناسایی آن به آسانی انجام نگیرد.

 راه کارهای شناسایی:

نقطه مشترک وب سایت‌های آلوده استفاده از CMS‌های آماده‌ای مانند وردپرس، جوملا و دروپال می‌باشد.

در ادامه برخی راه‌های بررسی و تشخیص بات نت stealrat در وب سایت‌های مشکوک به آلودگی آموزش داده خواهد شد.

اولین قدم چک کردن اسکریپ‌های اسپمر است که عموما با نام sm13e.php یا sm14e.php یافت می‌شود، اما توجه کنید که این اسکریپت‌ها ممکن است بر اساس نام فایل تغییر کند، لذا بهتر است هر فایل PHP نا آشنایی چک شود. نام فایل‌هایی که تاکنون شناسایی شده‌اند به شرح ذیل می‌باشد:

1. copy.php
2. up.php
3. Del.php
4. path.php
5. bak.php
6. utf.php
7. bannerEB3Y.php
8. returnMoCo.php
9. sitemapuuA.php
10. themesqx10.php

برای جلوگیری از آسیب و حذف فایل‌های مخرب استفاده از اسکریپت CXS شدیدا توصیه می‌گردد.

قدم دوم، جستجو برای رشته‌های زیر در فایل‌های زیر می‌باشد، چون یکی از دلایل آلودگی وب سایت، وجود یک یا هر دو رشته‌ی زیر در کدها است.

• die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321)
• die(PHP_OS.chr(49).chr(49).chr(43).md5(0987654321)

این رشته‌ها قسمتی از کد «die» فایل PHP است (مثلا وقتی که پارامتر خاصی ندارد). به‌نظر می‌رسد فایل sm14e.php آخرین نسخه از رشته موجود در مقایسه با sm13e.php نسخه قبل این رشته از چندین آدرس ایمیل برای ارسال اسپم پشتیبانی می‌کند. به‌جز این تفاوت هر دو نسخه کنونی و قبل دارای فایل PHP یکسان با پارامترهای ورودی ذیل می‌باشد:

1. آدرس رایانامه‌ (برای ارسال هزرنامه به آن)
2. نُه (۹) نویسه که به‌طور تصادفی تولید شده‌اند
3. کارگزار رایانامه (به‌طور مثال گوگل‌میل)
4. قالب رایانامه‌

پاسخ‌ها بسته به درخواست‌های ارسال شده و روتین اسپم می‌تواند متغیر باشد.

روش جستجوی رشته‌ها در سرورهای لینوکس و ویندوز:

در سیستم‌های لینوکس می‌توان رشته‌های ذکر شده را به کمک دستور زیر جستجو نمود:

به جای عبارت «/path/to/www/folder/» باید مسیر مربوطه برای جستجو وارد شود.

و در سیستم‌های ویندوز می‌توان رشته‌های را به کمک دستور زیر جستجو نمود.

سومین قدم، استفاده از نرم‌افزار SpyHunter جهت اسکن و پاکسازی می‌باشد.

در صورت تمایل و عدم آشنایی کافی می‌توانید بررسی و پاکسازی این بات را به بخش امنیت شاتل هاست واگذار نمایید، برای این منظور کافی است یک تیکت ارسال نمایید.