+- باشگاه کاربران روماک (https://forum.romaak.ir)
+-- انجمن: انجمن کامپیوتر، سرور و شبکه (https://forum.romaak.ir/forumdisplay.php?fid=3)
+--- انجمن: هک و امنیت (https://forum.romaak.ir/forumdisplay.php?fid=5)
+--- موضوع: هدف قرارگرفتن تنظيمات DNS دستگاههای مک توسط بدافزار MaMi (/showthread.php?tid=4480)
هدف قرارگرفتن تنظيمات DNS دستگاههای مک توسط بدافزار MaMi - نگار - ۹۶/۱۱/۱۴
محقق امنیتی با نام پاتریک وردل، گونهی جدیدی از بدافزار را مورد تجزیه و تحلیل قرار داد که به نظر میرسد برای ربودن تنظیمات DNS در دستگاههای مک طراحی شده است.
این بدافزار که "OSX/MaMi" نامیده میشود، مبتنی بر کلاس "SBMaMiSettings" است و در حال حاضر تنها توسط محصولات ضدبدافزار ESET و Ikarus، تحت نامهای "OSX/DNSChanger.A" و "Trojan.OSX.DNSChanger" شناسایی میشود.
این محقق، نمونهای از بدافزار MaMi را در انجمنهای Malwarebytes بهدست آورد که در آن یک کاربر، گزارشی در مورد آلودهشدن دستگاه مک معلمی ارائه کرده بود. طبق گزارش این کاربر، کارگزارهای DNS در سیستم آسیبدیده به "82.163.143.135" و "82.163.142.137" تغییر یافتند و علیرغم حذف ورودیهای DNS، آدرسها همچنان ثابت باقی ماندند.
واردل قادر به تعیین نحوهی توزیع این بدافزار نبود؛ اما او معتقد است که این تهدید به احتمال زیاد از طریق پست الکترونیک، هشدارهای امنیتی جعلی، نوارهای پاپآپ در وبسایتها یا حملات مهندسی اجتماعی توزیع میشود.
نمونهای که توسط این محقق تحليل شده است، مانند يک سارق DNS عمل میکند. این نمونه همچنين حاوی کد برای گرفتن تصاوير، شبیهسازی حرکات ماوس، بارگیری و بارگذاری فایلها و اجرای دستورات است.
به نظر میرسد که MaMi هیچکدام از این توابع را اجرا نمیکند؛ اما وردل میگوید ممکن است که این توابع به ورودیهایی از جانب مهاجم یا سایر پیششرطها نیاز داشته باشند که ممکن است ماشین مجازی او آن شرایط را نداشته باشد.
هنگامیکه این بدافزار سیستم را آلوده میکند، ابزار امنیتی آن را فرا میخواند و از آن برای نصب گواهینامهی جدید بهدستآمده از یک مکان از راه دور استفاده میکند.
OSX/MaMi بدافزار پیشرفتهای نیست؛ اما سیستمهای آلوده را به شیوههای مخرب و ماندگار تغییر میدهد. با نصب یک گواهینامهی ریشه جدید و ربودن کارگزارهای DNS، مهاجمان میتوانند فعالیتهای مخربی مانند حملهی مرد میانی را برای سرقت اعتبارنامهها یا تزریق تبلیغات انجام دهند.
به نظر میرسد این بدافزار برای دستگاههای ویندوز طراحی نشده است. سادهترین راه برای تعیین اینکه آیا یک سیستم مک به این بدافزار آلوده شده است یا خیر، بررسی تنظیمات DNS است. اگر کارگزار DNS با آدرسهای "82.163.143.135" و "82.163.142.137" تنظیم شده باشد، سیستم آلوده شده است.
پاتریک وردل، دیوار آتیش منبع باز رایگانی با نام "LuLu" برای مک ایجاد کرد که قادر به جلوگیری از ترافیکهای مشکوک و خنثیکردن OSX/MaMi است.
MaMi تنها بدافزار تغییردهندهی DNS نیست که تاکنون شناسایی شده است. معروفترین بدافزار تغییردهندهی DNS بدافزار "DNSChanger" است که در سال 2011 شناسایی شد. این بدافزار بر روی هر دو دستگاه ویندوز و OSX تأثیر گذاشت و میلیونها دستگاه را در سراسر جهان آلوده کرد.
این بدافزار که "OSX/MaMi" نامیده میشود، مبتنی بر کلاس "SBMaMiSettings" است و در حال حاضر تنها توسط محصولات ضدبدافزار ESET و Ikarus، تحت نامهای "OSX/DNSChanger.A" و "Trojan.OSX.DNSChanger" شناسایی میشود.
این محقق، نمونهای از بدافزار MaMi را در انجمنهای Malwarebytes بهدست آورد که در آن یک کاربر، گزارشی در مورد آلودهشدن دستگاه مک معلمی ارائه کرده بود. طبق گزارش این کاربر، کارگزارهای DNS در سیستم آسیبدیده به "82.163.143.135" و "82.163.142.137" تغییر یافتند و علیرغم حذف ورودیهای DNS، آدرسها همچنان ثابت باقی ماندند.
واردل قادر به تعیین نحوهی توزیع این بدافزار نبود؛ اما او معتقد است که این تهدید به احتمال زیاد از طریق پست الکترونیک، هشدارهای امنیتی جعلی، نوارهای پاپآپ در وبسایتها یا حملات مهندسی اجتماعی توزیع میشود.
نمونهای که توسط این محقق تحليل شده است، مانند يک سارق DNS عمل میکند. این نمونه همچنين حاوی کد برای گرفتن تصاوير، شبیهسازی حرکات ماوس، بارگیری و بارگذاری فایلها و اجرای دستورات است.
به نظر میرسد که MaMi هیچکدام از این توابع را اجرا نمیکند؛ اما وردل میگوید ممکن است که این توابع به ورودیهایی از جانب مهاجم یا سایر پیششرطها نیاز داشته باشند که ممکن است ماشین مجازی او آن شرایط را نداشته باشد.
هنگامیکه این بدافزار سیستم را آلوده میکند، ابزار امنیتی آن را فرا میخواند و از آن برای نصب گواهینامهی جدید بهدستآمده از یک مکان از راه دور استفاده میکند.
OSX/MaMi بدافزار پیشرفتهای نیست؛ اما سیستمهای آلوده را به شیوههای مخرب و ماندگار تغییر میدهد. با نصب یک گواهینامهی ریشه جدید و ربودن کارگزارهای DNS، مهاجمان میتوانند فعالیتهای مخربی مانند حملهی مرد میانی را برای سرقت اعتبارنامهها یا تزریق تبلیغات انجام دهند.
به نظر میرسد این بدافزار برای دستگاههای ویندوز طراحی نشده است. سادهترین راه برای تعیین اینکه آیا یک سیستم مک به این بدافزار آلوده شده است یا خیر، بررسی تنظیمات DNS است. اگر کارگزار DNS با آدرسهای "82.163.143.135" و "82.163.142.137" تنظیم شده باشد، سیستم آلوده شده است.
پاتریک وردل، دیوار آتیش منبع باز رایگانی با نام "LuLu" برای مک ایجاد کرد که قادر به جلوگیری از ترافیکهای مشکوک و خنثیکردن OSX/MaMi است.
MaMi تنها بدافزار تغییردهندهی DNS نیست که تاکنون شناسایی شده است. معروفترین بدافزار تغییردهندهی DNS بدافزار "DNSChanger" است که در سال 2011 شناسایی شد. این بدافزار بر روی هر دو دستگاه ویندوز و OSX تأثیر گذاشت و میلیونها دستگاه را در سراسر جهان آلوده کرد.