۱۰ تیر ۱۳۹۷

Brain Food حدود ۲۴۰۰ وب سایت را آلوده کرد!

اخیراً یک بات نت که با نام Brain Food شناخته می شود، وب مستر ها را به دردسر انداخته و در اقدامی قرص های رژیمی و افزایش بهره هوشی را در سایت های قانونی تبلیغ و ارائه می کند.

پژوهشگران شرکت Proofpoint اعلام کرده اند که در چهار ماه گذشته، حدود ۵۰۰۰ وب سایت در معرض حمله این بات نت قرار گرفته اند.

Proofpoint در اطلاعیه ای که در سایت خود منتشر کرد، اعلام داشت که حدود ۲۴۰۰ عدد از این وب سایت ها در هفته گذشته فعال بوده اند و قرص های مشکوکی را ارائه می کردند. همچنین شایعاتی وجود داشت که این قرص ها کاملاً قانونی هستند و در برنامه های تلویزیونی تبلیغ می شوند.

معاون فنی این شرکت در یک مصاحبه با Threatpost به این نکته اشاره داشت که : “هرچند ساختار این بانت نت در مقایسه با دیگر اسپم ها کوچک است اما به نظر می رسد اندازه آن برای فریب دادن اپراتور ها کافی باشد.”

متاسفانه، یک شرکت ثبت دامنه و میزبانی وب با نام GoDaddy که میزبان ۴۰ درصد از این ۵۰۰۰ هزار وب سایت بوده، به این اسکریپت آلوده شده است. این موضوع فقط به این شرکت محدود نمی شود و شرکت های میزبانی دیگری مانند DreamHost ، UnitedLayer و CyrusOne نیز تحت تاثیر این اسکریپت قرار گرفته اند.

همچنین پژوهشگران Proofpoint اعلام کردند که یک وب سایت ممکن است نسخه های مختلفی از این اسکریپت را داشته باشد و طی بررسی هایی مشاهده کردند که این اسکریپت بر روی وب سایت هایی که از سیستم مدیریت محتوای مختلفی مانند وردپرس و جوملا استفاده می کنند نیز نصب می شود.

اسکریپت Brain Food چگونه عمل می کند؟

این اسکریپت از طریق اسپم ایمیل با یک عنوان خالی و یک خوشامد ساده در متن پیام همراه است. در شکل زیر یک نمونه از اسپم ایمیل آن آورده شده است:

متن پیام ایمیل حاوی یک آدرس اینترنتی کوتاه شده است که از کوتاه کننده های اینترنتی goog.gl و bit.ly برای کوتاه کردن آن استفاده شده است. البته از زمانی که گوگل اجازه کوتاه کردن لینک ها را از کاربران ناشناس و تایید هویت نشده دریغ کرد، این اسپم ها نیز مسدود شدند. با این وجود اما پژوهشگران این شرکت اعلام کردند به نظر می رسد اواخر آوریل این اسپم ها راهی برای دور زدن محدودیت های گوگل پیدا کرده اند و همچنان در حال انتشار هستند.

کاربرانی که ایمیل را دریافت می کنند در صورتی که به روی لینک موجود در آن کلیک کنند به وب سایت های آسیب پذیری هدایت می شوند که این قرص های جعلی را ارائه می کند.

در ادامه پژوهشگران اظهار داشتند که اسکریپت برای اینکه از شناسایی تحلیل گران و خزنده‌های موتور های جستجو مختلف در امان باشد از چندین لایه دفاعی استفاده می کند. برای نمونه در این اسکریپت از تکنیک های چند ریختی و مبهم سازی کد به همراه چندین لایه کد گزاری Base64 استفاده شده است.

نکته دیگری که باید اینجا اشاره کنیم این است که متاسفانه هیچ ضد ویروسی نتوانسته نسخه جدید آن را نشانه گذاری کند و در واقع هیچ موتور ضدویروسی قادر به شناسایی آن نیست.

پژوهشگران در ادامه گفتند که در وهله اول، وقتی که وب سایتی به کد Brain Food آلوده می شود، اسکریپت مورد نظر افراد را به آدرس صحیح منتقل میکند اما پس از گذشت پنج ثانیه به صفحه اصلی وب سایت آسیب پذیر منتقل می شوید و پس از این مرحله یا در وب سایت مذکور می مانید و یا به وب سایت UNICEF منتقل می شوید.

مهاجمان با اینکه میخواهند قربانیان به وب سایت موردنظرشان منتقل شوند اما این خواسته را برای موتورهای جستجو، تحلیل گر ها و Sanbox ها ندارند. در واقع به همین دلیل است که آن ها را به صفحه اصلی سایت آسیب پذیر و یا وب سایت UNICEF منتقل می کند چون می داند که تأخیر ایجاد شده بسیاری از سیستم های تحلیل خودکار را فریب می دهد.

نگران کننده ترین قسمت ماجرا !

اما با وجود همه ی این مسائل، هیچ چیز به اندازه درِپشتی که اسکریپت ایجاد می کند خطرناک و نگران کننده نیست. متاسفانه این درپشتی در صورتی که دستورات PHP سیستمی در وب سرویس دهنده فعال باشد، به مهاجمان اجازه می دهد که کد های Shell را از راه دور اجرا کنند.

البته مدیر فنی شرکت Proofpoint اظهار امیدواری کرد که خوشبختانه به علت اینکه معمولاً میزبان های وب اجازه دستورات PHP سیستمی را نمی دهند، درحال حاضر درپشتی نمی‌تواند مورد استفاده قرار گیرد. البته در ادامه او تأکید داشت که تأثیراتی که این درپشتی می تواند بر روی وبسایت ها داشته باشد کاملاً به تنظیمات سطوح امنیتی و تنظیمات سمت سرور بستگی دارد.

 

مراجع

[۱] “MALICIOUS PHP SCRIPT INFECTS 2,400 WEBSITES IN THE PAST WEEK,” https://threatpost.com/malicious-php-script-infects-2400-websites-in-the-past-week/132161/ , May 2018.
[۲] “Brain Food botnet infected 5,000+ websites with malicious PHP scripts in past 4 months,” https://www.techrepublic.com/article/brain-food-botnet-infected-5000-websites-with-malicious-php-scripts-in-past-4-months/ , May 2018