فريق التهديدات الأمنية في قوقل TAG يغلق شبكة Glupteba وهي botnet من مليون جهاز ويندوز مخترق.
الميزة في هذه البوتنت هي استخدام تقنية الblockchain في البتكوين كوسيلة لحفظ عناوين اتصال C2 إضافية مشفرة في حال تم إغلاق العنوان الرئيسي،وهي طريقة مبتكرة.
blog.google
الميزة في هذه البوتنت هي استخدام تقنية الblockchain في البتكوين كوسيلة لحفظ عناوين اتصال C2 إضافية مشفرة في حال تم إغلاق العنوان الرئيسي،وهي طريقة مبتكرة.
blog.google
طريقة حفظ العناوين هي باستخدام عناوين محافظ بتكوين يتحكم بها الهاكرز ويتم عبرها تحويلات غير صحيحة invalid بسبب استخدام عملية OP_RETURN والتي تتيح إضافة بيانات للعملية، وهذه البيانات مشفرة يقوم الفايروس بفك تشفيرها بمفتاح ثابت، للحصول على تلك العناوين.
لفة طويلة لإخفائها دون جدوى
لفة طويلة لإخفائها دون جدوى
الفايروس ينتشر عن طريق قيام الضحايا بتحميل برامج مكركة، تكون ملغمة بالفايروس، حتى لو اشتغلت بالشكل المتوقع. تذكر أن الهاكرز لا يقومون بكسر حماية البرامج لوجه الله بل لاقتناص الضحايا.
من وسائل انتقال الفايروس القيام بدعايات نصب واحتيال تأخذ الضحايا لمواقع يتم اختراقهم من خلالها Malvertising, وعن طريق استخدام وثائق Google Docs حيث قامت قوقل بحذف 63 مليون (!!) ملف مستخدم لنشر الفايروس.
هذه بعض مؤشرات الاختراق IoC وأظن شخصيا ان دراسة عمل الفيروس هذا ستكون ممتعة خصوصاً بسبب خاصية استخدام عناوين البت كوين فيه.
جاري تحميل الاقتراحات...