شما عضو این انجمن نبوده یا وارد نشده اید. لطفا برای مشاهده کامل انجمن و استفاده از آن وارد شوید یا ثبت نام کنید .

امتیاز موضوع:
  • 63 رأی - میانگین امتیازات: 2.79
  • 1
  • 2
  • 3
  • 4
  • 5

[-]
کلمات کلیدی
قرارگرفتن بدافزار دستگاه‌های مک dns تنظيمات توسط هدف mami

هدف قرارگرفتن تنظيمات DNS دستگاه‌های مک توسط بدافزار MaMi
#1
محقق امنیتی با نام پاتریک وردل، گونه‌ی جدیدی از بدافزار را مورد تجزیه ‌و تحلیل قرار داد که به نظر می‌رسد برای ربودن تنظیمات DNS در دستگاه‌های مک طراحی شده است.

این بدافزار که "OSX/MaMi" نامیده می‌شود، مبتنی بر کلاس "SBMaMiSettings" است و در حال حاضر تنها توسط محصولات ضدبدافزار ESET و Ikarus، تحت نام‌های "OSX/DNSChanger.A" و "Trojan.OSX.DNSChanger" شناسایی می‌شود.
این محقق، نمونه‌ای از بدافزار MaMi را در انجمن‌های Malwarebytes به‌دست آورد که در آن یک کاربر، گزارشی در مورد آلوده‌شدن دستگاه مک معلمی ارائه کرده بود. طبق گزارش این کاربر، کارگزارهای DNS در سیستم آسیب‌دیده به "82.163.143.135" و "82.163.142.137" تغییر یافتند و علیرغم حذف ورودی‌های DNS، آدرس‌ها همچنان ثابت باقی ماندند.

واردل قادر به تعیین نحوه‌ی توزیع این بدافزار نبود؛ اما او معتقد است که این تهدید به ‌احتمال‌ زیاد از طریق پست الکترونیک، هشدارهای امنیتی جعلی،  نوارهای پاپ‌آپ در وب‌سایت‌ها یا حملات مهندسی اجتماعی توزیع می‌شود.
نمونه‌ای که توسط این محقق تحليل شده است، مانند يک سارق DNS عمل می‌کند. این نمونه همچنين حاوی کد برای گرفتن تصاوير، شبیه‌سازی حرکات ماوس، بارگیری و بارگذاری فایل‌ها و اجرای دستورات است.
به نظر می‌رسد که MaMi هیچ‌کدام از این توابع را اجرا نمی‌کند؛ اما وردل می‌گوید ممکن است که این توابع به ورودی‌هایی از جانب مهاجم یا سایر پیش‌شرط‌ها نیاز داشته باشند که ممکن است ماشین مجازی او آن شرایط را نداشته باشد.
هنگامی‌که این بدافزار سیستم را آلوده می‌کند، ابزار امنیتی آن را فرا می‌خواند و از آن برای نصب گواهینامه‌ی جدید به‌دست‌آمده از یک مکان از راه دور استفاده می‌کند.
OSX/MaMi بدافزار پیشرفته‌ای نیست؛ اما سیستم‌های آلوده را به شیوه‌های مخرب و ماندگار تغییر می‌دهد. با نصب یک گواهینامه‌ی ریشه جدید و ربودن کارگزارهای DNS، مهاجمان می‌توانند فعالیت‌های مخربی مانند حمله‌ی مرد میانی را برای سرقت اعتبارنامه‌ها یا تزریق تبلیغات انجام دهند.

به نظر می‌رسد این بدافزار برای دستگاه‌های ویندوز طراحی نشده است. ساده‌ترین راه برای تعیین اینکه آیا یک سیستم مک به این بدافزار آلوده شده است یا خیر، بررسی تنظیمات DNS است. اگر کارگزار DNS با آدرس‌های "82.163.143.135" و "82.163.142.137" تنظیم شده باشد، سیستم آلوده شده است.
پاتریک وردل، دیوار آتیش منبع ‌باز رایگانی با نام "LuLu" برای مک ایجاد کرد که قادر به جلوگیری از ترافیک‌های مشکوک و خنثی‌کردن OSX/MaMi است.

MaMi تنها بدافزار تغییردهنده‌ی DNS نیست که تاکنون شناسایی شده است. معروف‌ترین بدافزار تغییردهنده‌ی DNS بدافزار "DNSChanger" است که در سال 2011 شناسایی شد. این بدافزار بر روی هر دو دستگاه ویندوز و OSX تأثیر گذاشت و میلیون‌ها دستگاه را در سراسر جهان آلوده کرد.
پاسخ
 سپاس شده توسط سحر ، mitra ، nader12 ، mesterweb ، tak


موضوع‌های مشابه…
موضوع نویسنده پاسخ بازدید آخرین ارسال
  انتشار بدافزار Prowli ، مراقب ارز دیجیتالی Monero باشید farnaz 1 2,572 ۰۱/۴/۱۱، ۰۵:۲۰ عصر
آخرین ارسال: Canizales41
  بدافزار پیشرفته جاسوسی InvisiMole برای عبور از فایروال ویندوز و هک اطل hoboot 0 2,061 ۹۷/۳/۲۲، ۰۳:۴۷ صبح
آخرین ارسال: hoboot
  انتشار دو بدافزار مخرب جدید از گروه APT کشور کره شمالی hoboot 0 2,171 ۹۷/۳/۲۲، ۰۳:۳۶ صبح
آخرین ارسال: hoboot
  هشدار فوری درباره بدافزار VPNFilter saberi 0 1,353 ۹۷/۳/۷، ۰۵:۳۸ عصر
آخرین ارسال: saberi
  بدافزار ZooPark در کمین کاربران اندروید saberi 0 1,474 ۹۷/۲/۲۶، ۰۵:۳۲ صبح
آخرین ارسال: saberi
  بدافزار ZooPark از کاربران خاورمیانه تلگرام و واتس اپ از جمله ایرانی soraya 0 1,760 ۹۷/۲/۱۷، ۰۷:۴۶ عصر
آخرین ارسال: soraya
  بدافزار جدیدی که تماس ها را مخفیانه ضبط می کند hoboot 1 1,869 ۹۷/۲/۲، ۱۲:۲۴ عصر
آخرین ارسال: KGasht
  گسترش بدافزار بانکی اندروید از طریق ربودن DNS مودم hoboot 0 1,901 ۹۷/۱/۳۱، ۰۶:۵۶ صبح
آخرین ارسال: hoboot
  رشد سریع بدافزار استخراج مجازی به نام Dofil mesterweb 0 1,666 ۹۷/۱/۲۵، ۰۲:۱۰ صبح
آخرین ارسال: mesterweb
  استفاده از بدافزار LockPoS در دستگاه کارتخوان برای مخفی ماندن صفحه با hoboot 0 1,578 ۹۶/۱۰/۳۰، ۰۴:۲۷ عصر
آخرین ارسال: hoboot

پرش به انجمن:


کاربرانِ درحال بازدید از این موضوع: 1 مهمان