محققان آزمایشگاه تحقیقات امنیتی کسپرسکی، چندین ماه را صرف تجزیه و تحلیل این بدافزار که با عنوان “Rocra”، کوتاه شده عبارت اکتبر سرخ، شناخته می شود، کرده و دریافته اند که سازمان های خاصی را به طور عمده در شرق اروپا، کشورهای عضو اتحاد جماهیر شوروی سابق و کشورهای آسیای میانه، همچنین در غرب اروپا و شمال آمریکا هدف قرار داده است.
قربانیان Rocra، در ۳۹ کشور جهان شناسایی شده اند و تلاش ها برای شناسایی سایر قربانیان نیز در حال انجام است:
بدافزار Rocra تاکنون صدها قربانی در ۸ گروه اصلی زیر در سراسر جهان داشته است هر چند که ممکن است بخش های دیگری را نیز مورد هدف خویش قرار داده باشد که هنوز کشف نشده اند و یا در گذشته مورد حمله قرار گرفته اند.:
- ارگان های دولتی
- مراکز دیپلماتیک / سفارتخانه ها
- مؤسسه های تحقیقاتی
- مراکز تجاری و بازرگانی
- نیروگاه / تأسیسات هسته ای
- شرکت های نفت و گاز
- مراکز هوا و فضا
- نیروهای نظامی
در شکل زیر، میزان توزیع بدافزار Rocra در هر یک از موارد بالا، نشان داده شده است:
محققان کسپرسکی که موفق به شناسایی این بدافزار شده اند، اعتقاد دارند که مهاجمان حداقل به مدت ۵ سال با تمرکز بر روی سازمان های دیپلماتیک و دولتی کشورهای مختلف، مشغول جمع آوری اطلاعات از شبکه های آلوده بوده اند که از این اطلاعات در حملات بعدی خویش استفاده نموده اند. به عنوان مثال، اعتبارهای سرقت شده که در یک لیست، وارد می شدند و هنگامی که مهاجمان نیاز به حدس زدن کلمات عبور و اعتبار شبکه در مکان های دیگر داشته اند از آن ها استفاده می نمودند.
طراحان Rocra برای کنترل شبکه ای از ماشین های آلوده و همچنین کنترل و بازیابی داده های قربانیان، بیش از ۶۰ دامنه اینترنتی و چندین سرور میزبان محلی را در کشورهای مختلف ایجاد کرده اند که بررسی IPها نشان می دهد که سرورهای کنترل و دستور آن به طور عمده در کشورهای روسیه و آلمان واقع شده اند.
این بدافزار هنوز هم با ارسال داده هایی به سرورهای کنترل و دستور متعدد خود از طریق پیکربندی که قبلاً در پیچیدگی های زیرساختی بدافزار شعله مشاهده شده است، در حال فعالیت است و تخمین زده می شود که تاکنون صدها ترابایت اطلاعات را جابجا کرده باشد.
موفقیت حمله Rocra که حتی سازمان های تحقیقاتی و مؤسسه های نظامی را نیز شامل می شود نشانگر ضعف جدی در حفاظت سایبری از زیرساخت های رایانه ای در سراسر دنیا است که در کشور ما نیز تاکنون ۷ مرکز مهم آلوده به آن شناسایی شده اند.
سایر نام ها
این بدافزار در شرکت های امنیتی، به نام های زیر شناخته می شود:
Red October [Kaspersky] , Backdoor.Rocra [Symantec] , Backdoor.Rocra!gen1 [Symantec] , Backdoor.Rocra!gen2 [Symantec]
سیستم های آسیب پذیر
Windows 2000 , Windows 7 , Windows NT , Windows Vista , Windows XP , Windows 95 , Windows 98
پراکنش جغرافیایی
بدافزار Rocra که شبکه های دولتی و نهادهای دیپلماتیک را هدف قرار داده است، گزارش هایی از توزیع آن در شرق اروپا، کشورهای عضو اتحاد جماهیر شوروی سابق، کشورهای آسیای میانه، شمال آمریکا و کشورهای اروپای غربی مانند سوئیس و لوکزامبورگ وجود دارد.
گزارش شبکه امنیتی کسپرسکی (KSN) لیستی از کشورهای با بیشترین میزان آلودگی (فقط برای کشورهای با بیش از ۵ قربانی) را در جدول زیر نشان می دهد. آمارهای ارایه شده، فقط توسط نرم افزار کسپرسکی که بر روی سیستم های آلوده نصب می باشد گزارش شده و مسلماً تعداد واقعی سیستم های آلوده، بسیار بالاتر از این خواهد بود:
|
نام کشور |
میزان آلودگی |
|
روسیه |
۳۵ |
|
قزاقستان |
۲۱ |
|
آذربایجان |
۱۵ |
|
بلژیک |
۱۵ |
|
هند |
۱۴ |
|
افغانستان |
۱۰ |
|
ارمنستان |
۱۰ |
|
ایران |
۷ |
|
ترکمنستان |
۷ |
|
اوکراین |
۶ |
|
ایالات متحده آمریکا |
۶ |
|
ویتنام |
۶ |
|
بلاروس |
۵ |
|
یونان |
۵ |
|
ایتالیا |
۵ |
|
مراکش |
۵ |
|
پاکستان |
۵ |
|
سوئیس |
۵ |
|
اوگاندا |
۵ |
|
امارات متحده عربی |
۵ |
در شکل زیر، توزیع این بدافزار، بر روی نقشه جهان همراه با مراکز آلوده شناسایی شده توسط کسپرسکی نشان داده شده است:
شکل زیر نیز مناطق توزیع شده بدافزار Rocra را که توسط شرکت امنیتی سیمانتک تهیه شده است، نشان می دهد:
تاریخچه کشف
اطلاعات ثبت شده برای خرید نام های دامنه اینترنتی سرورهای کنترل و دستور بدافزار Rocra و مقایسه PE اجرایی جمع آوری شده از آن، نشان می دهد که این بدافزار از مه سال ۲۰۰۷ حداقل برای مدت ۵ سال بدون شناسایی شدن، در حال فعالیت بوده است.
نخستین بار، محققان کسپرسکی این بدافزار را در اکتبر سال ۲۰۱۲ توسط درخواست یکی از همکاران خود کشف کردند که ترجیح می دهند این همکار، همچنان ناشناس باقی بماند. آنگاه با تجزیه و تحلیل حمله، فیشینگ و ماژول های بدافزار Rocra، مقیاس آن را درک کرده و تشریح بدافزار شناسایی شده را به طور عمیق آغاز نمودند.
بدافزار Rocra در تاریخ ۱۴ ژانویه ۲۰۱۳ نیز توسط شرکت امنیتی سیمانتک کشف گردیده و مورد تجزیه و تحلیل فنی قرار می گیرد.
نامگذاری
بدافزار Rocra، کوتاه شده عبارت اکتبر سرخ (Red October) می باشد که احتمالاً نامش از زیردریایی به همین نام، در رمان “شکار اکتبر سرخ” که توسط نویسنده ای روسی نوشته شده، برگرفته شده است.
طراحی و سازماندهی
محققان کسپرسکی، بر اساس داده های ثبت شده از سرورهای کنترل و دستور این بدافزار و همچنین آثار متعدد اجرایی آن، به شدت بر این باور هستند که مهاجمان، ملیت روسی زبان داشته اند. آن ها معتقدند که اگر چه با اطلاعات به دست آمده، نمی توان به مکان خاصی اشاره نمود اما با این حال می توان بر روی دو عامل مهم پافشاری نمود:
- به نظر می رسد که کدهای مخرب توسط هکرهای چینی نوشته شده اند.
- ماژول های بدافزاری Rocra توسط افرادی روس زبان ایجاد گشته اند.
چندین ماژول Rocra دارای غلط ها و اشتباه های املایی جالبی هستند که بر شدت این نظریه، می افزایند:
- network_scanner: “SUCCESSED”, “Error_massage”, “natrive_os”, “natrive_lan”
- imapispool: “UNLNOWN_PC_NAME”, “WinMain: error CreateThred stop”
- mapi_client: “Default Messanger”, “BUFEER IS FULL”
- msoffice_plugin: “my_encode my_dencode”
- winmobile: “Zakladka injected”, “Cannot inject zakladka, Error: %u”
- PswSuperMailRu: “——-PROGA START—–”, “——-PROGA END—–”
واژه”PROGA” که در کد بالا استفاده شده، ممکن است به ترجمه ای از زبان روسی عامیانه “ПРОГА” که در معنای واقعی کلمه، به معنی یک برنامه یا برنامه ای در میان مهندسان نرم افزار روسی است، اشاره داشته باشد.
به طور خاص، “Zakladka” در روسیه می تواند به معنای “bookmark” یا (به احتمال زیاد) در اصطلاح عامیانه به معنی “قابلیت های اعلام نشده”، مثلاً در نرم افزار یا سخت افزار باشد. با این حال، همچنین امکان دارد که یک میکروفون جاسازی شده در یک آجر از ساختمان سفارت باشد.
همچنین کلاس c++ این بدافزار که دارای پارامترهای قابل پیکربندی سرورهای کنترل و دستور آن است، “MPTraitor” نامیده شده و بخش پیکربندی مربوط به منابع هم به نام “conn_a” می باشد. برخی از این نمونه ها عبارتند از:
- conn_a.D_CONN
- conn_a.J_CONN
- conn_a.D_CONN
- conn_a.J_CONN
با این حال، اگر چه مهاجمان و بدافزار قابل اجرای توسعه یافته توسط آن ها در حال حاضر ناشناخته اند اما آن ها هرگز ارتباطی با دیگر حملات سایبری هدفمند که در گذشته انجام شده اند، نداشته و هیچ مدرکی که نشان دهنده ارتباط این موضوع با حمله ای حمایت شده توسط یک دولت خاص باشد نیز وجود ندارد.
عملکرد
مهاجمان برای تحقق اهداف خویش، یک چارچوب (Framework) چند منظوره ایجاد کرده اند که قادر به استفاده از گستره های وسیع از ویژگی هایی است که اطلاعات را جمع آوری می نمایند. این چارچوب که بسیار پیچیده می باشد از ابتدا توسط همین مهاجمان، طراحی شده و در هیچ یک از عملیات های سایبری دیگر استفاده نشده است.
علاوه بر اهداف سنتی حمله، شامل ایستگاه های کاری رایانه ای، این بدافزار قادر به سرقت اطلاعات از دستگاه های تلفن همراه، از جمله گوشی های هوشمند (آی فون، نوکیا و ویندوز موبایل)، روگرفت از پیکربندی تجهیزات شبکه (سیسکو)، ربودن فایل ها از دیسک درایوهای قابل جابجایی (حتی شامل فایل هایی که در حال حاضر از روی سیستم پاک شده اند توسط یک فرآیند بازیابی سفارشی فایل)، سرقت نامه های الکترونیک ذخیره شده در نرم افزار Outlook سیستم های آلوده یا سرورهای POP3/IMAP از راه دور به همراه فایل های ضمیمه آن ها، ثبت تمامی کلیدهای فشرده شده بر روی صفحه کلید، گرفتن تصویرهای فوری و ارسال آن ها، تهیه تاریخچه وب گردی از مرورگرهای وب همچون کروم، فایرفاکس، اینترنت اکسپلورر و اپرا، همچنین انحراف مسیر فایل ها از سرورهای FTP شبکه محلی می باشد.
Rocra علاوه بر سرقت اطلاعات از نرم افزارهای متنی، ورد و اکسل می تواند اطلاعات رمزنگاری شده از قبیل pgp و فایل های رمزگذاری شده gpg را نیز سرقت نماید. همچنین پسوندهای “acid*” که توسط این بدافزار سرقت می شوند به نرم افزار طبقه بندی اسناد محرمانه “Acid Cryptofiler” که توسط نهادهای مختلفی از جمله اتحادیه اروپا و ناتو استفاده می گردد، تعلق دارد. اطلاعات به سرقت رفته از سیستم های آلوده، شامل اسنادی با پسوندهای زیر می باشد:
txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa.
اطلاعات به سرقت رفته از قربانیان، اطلاعات سطح بالا و طبقه بندی شده ای بوده و شامل داده های جغرافیایی سیاسی است که می تواند توسط دولت های ملی مورد استفاده قرار گیرد. اگر چه هنوز چگونگی استفاده از این اطلاعات همچون یک معما، ناشناخته مانده و فرآیند جمع آوری اطلاعات در طول ۵ سال گذشته، دامنه کاملاً گسترده ای را دربرداشته است اما این امکان وجود دارد که اطلاعات گردآوری شده، به صورت مخفیانه و زیرزمینی، در بازار سیاه به بالاترین پیشنهاد فروخته می شده یا بعضی از آن ها، به صورت مستقیم، مورد استفاده قرار می گرفته اند.
لیست زیر، دربردارنده آدرس سرورهای کنترل و دستور بدافزار Rocra است که اطلاعات سرقت شده توسط این بدافزار به یکی از آن ها ارسال می شود:
- csrss-check-new.com
- csrss-update-new.com
- csrss-upgrade-new.com
- dll-host-check.com
- dll-host-udate.com
- dll-host.com
- dllupdate.info
- drivers-check.com
- drivers-get.com
- drivers-update-online.com
- genuine-check.com
- genuineservicecheck.com
- genuineupdate.com
- microsoft-msdn.com
- microsoftcheck.com
- microsoftosupdate.com
- mobile-update.com
- ms-software-check.com
- ms-software-genuine.com
- ms-software-update.com
- msgenuine.net
- msinfoonline.org
- msonlinecheck.com
- msonlineget.com
- msonlineupdate.com
- new-driver-upgrade.com
- nt-windows-check.com
- nt-windows-online.com
- nt-windows-update.com
- os-microsoft-check.com
- os-microsoft-update.com
- osgenuine.com
- services-check.com
- svchost-check.com
- svchost-online.com
- svchost-update.com
- update-genuine.com
- win-check-update.com
- win-driver-upgrade.com
- windows-genuine.com
- windowscheckupdate.com
- windowsonlineupdate.com
- wingenuine.com
- wins-driver-update.com
- wins-update.com
- xponlineupdate.com
زیرساخت سرورهای کنترل و دستور بدافزار Rocra، در واقع زنجیره ای از سرورهایی است که به عنوان پروکسی برای پنهان نمودن محل واقعی سرورها عمل می کنند. این سیستم بسیار پیچیده، در برابر تصاحب سرورهای کنترل و دستور، مقاوم بوده و به مهاجمان برای بهبود دسترسی به دستگاه های آلوده با استفاده از کانال های ارتباطی جایگزین، اجازه می دهد. در شکل زیر، یک نمای کلی از زیرساخت سرورهای کنترل و دستور Rocra که در تحقیقات کسپرسکی به دست آمده است نشان داده می شود:
تغییرات در سیستم
فایل (های) زیر ممکن است در سیستم آلوده دیده شود:
- %ProgramFiles%WINDOWS NTmsc.bat
- %ProgramFiles%WINDOWS NT[RANDOM CHARACTERS FILE NAME].lt
- %ProgramFiles%WINDOWS NTSvchost.exe
انتشار
این بدافزار می تواند خود را در سراسر یک شبکه محلی با استفاده از اعتبارهای مدیر شبکه که قبلاً آن ها را به دست آورده است، تکثیر نماید. آسیب پذیری های ذکر شده نیز نقش مهمی در انتشار بدافزار Rocra بر عهده دارند.
نصب
بدافزار Rocra با سوء استفاده از آسیب پذیری های از پیش شناخته شده زیر عمل می نماید:
- Microsoft Excel ‘FEATHEADER’ Record Remote Code Execution Vulnerability (CVE-2009-3129) – MS Excel
- Microsoft Office RTF File Stack Buffer Overflow Vulnerability (CVE-2010-3333) – MS Word
- Microsoft Windows Common Controls ActiveX Control Remote Code Execution Vulnerability (CVE-2012-0158) – MS Word
- Oracle Java SE Rhino Script Engine Remote Code Execution Vulnerability (CVE-2011-3544) – Oracle db
این آسیب پذیری ها به نام های زیر نیز شناخته می شوند:
- Bloodhound.Exploit.306
- Bloodhound.Exploit.366
- Bloodhound.Exploit.457
- Trojan.Maljava
- Trojan.Maljava!gen27
حملات اولیه ای که در سال های ۲۰۱۰ و ۲۰۱۱ انجام گرفته اند از کد مخرب MS Excel استفاده نموده اند و حملات صورت پذیرفته در تابستان سال ۲۰۱۲ از آسیب پذیری های موجود در MS Word بهره مند گشته اند.
این کدهای مخرب اسناد، در حملات فیشینگی که در طول حملات سایبری مختلف علیه فعالان تبتی، اهداف نظامی و بخش های انرژی در آسیا مورد استفاده قرار گرفته اند توسط سایر مهاجمان ایجاد شده اند. تنها چیزی که در این میان تغییر کرده است کدهای اجرایی جاسازی شده در سندها می باشد که مهاجمان آن را با کد خود جایگزین نموده اند.
شرکت امنیتی F-Secure نیز در بلاگ امنیتی اش اعلام کرده است که مهاجمان از کدهای مخرب قدیمی شناخته شده نرم افزارهای Word، Excel و Java استفاده کرده اند و نشانه ای از آسیب پذیری های بسیار محرمانه (۰-day) بهره برداری شده توسط آن ها وجود ندارد.
بدافزار Rocra با حمله مهندسی اجتماعی و ترغیب به کلیک بر روی لینک های جعلی که معمولاً تبلیغ ثبت نام در خرید یک ماشین لوکس است، فعالیت خود را آغاز می نماید. شکل زیر، نمونه یک تصویر جعلی است که در حملات فیشینگ، توسط این بدافزار استفاده می شود:
همچنین این بدافزار همان طور که در شکل زیر نشان داده شده است با ارسال یک نامه الکترونیک که دربردارنده فایل ضمیمه مخرب است و تشویق به دانلود و بازکردن این فایل ضمیمه، اقدام به آلوده نمودن سیستم ها می کند:
سپس مهاجمان یک ماژول را برای اسکن شبکه محلی و جستجوی سیستم های آسیب پذیر در آن شبکه مستقر نموده، میزبان آسیب پذیر برای MS08-067 را یافته (کد مخرب آسیب پذیری توسط کرم کانفیکر) یا با اعتبارهای مدیر از پایگاه داده رمز عبور خود، توانایی دسترسی بر روی سیستم های آسیب پذیر را پیدا می کنند. هنگامی که یکی از این اسناد باز می شود، فعالیت رسمی بدافزار آغاز شده و می تواند بدافزارهای بیشتری را تحت یک روش که به قطره چکان تروجان معروف است از سرورهای کنترل و دستور خود دریافت نماید. این بدافزارهای ثانویه، شامل برنامه های جمع آوری داده ها و ارسال اطلاعات به مهاجمان می باشند.
یکی از دستوراتی که در قطره چکان تروجان وجود دارد می تواند کد صفحه سیستم آلوده را به ۱۲۵۱ قبل از زمان نصب و راه اندازی، تغییر دهد که این امر، نیازمند آدرس فایل ها و دایرکتوری هایی است که کاراکترهای سیریلیک (Cyrillic) را در نام های خودشان دارند.
پس از این آلودگی اولیه، بدافزار توسط خودش در سراسر شبکه، انتشار یافته و مهاجمان در طی چند روز، فقط اطلاعاتی را در مورد آن شبکه جمع آوری می کنند. در طول این مدت، اقدام به شناسایی سیستم های کلیدی کرده و سپس ماژول هایی را در شبکه مستقر می نماید که می تواند سایر رایانه ها را با خود همگام و همسو نماید. یکی از این ماژول ها نیز برای جمع آوری اطلاعات به میزبان های راه دور آلوده در همان شبکه مورد استفاده قرار می گیرد.
در تحقیقات انجام گرفته توسط کسپرسکی، بیش از ۱۰۰۰ ماژول متعلق به ۳۰ دسته بندی از ماژول های مختلف، کشف شده اند که بین سال های ۲۰۰۷ تا جدیدترین آن ها که در ۸ ژانویه ۲۰۱۳ ایجاد گشته اند. در جدول زیر، لیستی از این ماژول های شناخته شده و دسته بندی آن ها آورده شده است:
Rocra دارای ماژول های سفارشی خاصی است که برای هر قربانی، با یک ID منحصر به فرد ایجاد شده اند و برخلاف سایر بدافزارهای سایبری، می توان آن را دارای ظرافت خاصی دانست که برای قربانیان مخصوص، شخصی سازی شده است. چندین ماژول تلفن همراه نیز برای این بدافزار طراحی شده اند که اقدام به سرقت اطلاعات از انواع مختلف دستگاه های تلفن همراه همچون آی فون، نوکیا و ویندوز موبایل می کنند. این ماژول ها در سیستم، نصب شده و برای اتصال دستگاه های تلفن همراه به سیستم قربانی، منتظر می مانند. هنگامی که یک اتصال تلفن همراه، شناسایی گردید ماژول شروع به جمع آوری داده ها از آن تلفن همراه می کند.
به طور کلی، چارچوب اصلی Rocra برای اجرای “وظایف” توسط سرورهای کنترل و دستور آن طراحی شده است. بسیاری از این وظایف که به عنوان کتابخانه های PE DLL از سرور دریافت می شوند در حافظه سیستم قربانی اجرا شده و سپس بلافاصله دور انداخته می شوند.
با این وجود، چند کار باید به صورت مداوم در سیستم انجام شود، مثلاً انتظار برای اتصال دستگاه های تلفن همراه. این وظایف به عنوان فایل های PE EXE ایجاد شده اند که در سیستم آلوده نصب می گردند. نمونه هایی از وظایف “مداوم” شامل موارد زیر می باشد:
- · هنگامی که یک درایو usb به سیستم آلوده متصل می شود عمل جستجو توسط بدافزار آغاز گشته و فایل ها توسط ماسک/فرمت، از آن درایو usb استخراج می شوند که می تواند شامل فایل های پاک شده نیز باشد. فایل های پاک شده با استفاده از یک تجزیه کننده فایل سیستم ساخته شده، بازیابی می شوند.
- · منتظر می ماند تا یک دستگاه تلفن آی فون یا یک گوشی نوکیا به سیستم آلوده وصل شود. پس از اتصال، اطلاعاتی را در مورد تلفن، دفترچه تلفن آن، لیست تماس، تاریخچه تماس ها، تقویم، پیام های SMS و تاریخچه وب گردی بازیابی می کند.
- · منتظر می ماند تا یک دستگاه تلفن همراه دارای ویندوز موبایل به سیستم آلوده وصل شود. پس از اتصال، تلفن را با یک نسخه تلفن همراه که از اجزای اصلی Rocra است، آلوده می نماید.
- · منتظر می ماند تا یک فایل خاص مایکروسافت آفیس یا سند PDF باز شود تا یک بسته محدود شده را در آن سند اجرا نماید. همچنین یک راه مخفیانه ارتباطی را اجرا می کند که می تواند برای بازگردادن کنترل سیستم آلوده، مورد استفاده قرار گیرد.
- تمام کلیدهای فشرده شده بر روی صفحه کلید را ثبت نموده و تصاویر فوری از آن ها ایجاد می نماید.
- ماژول های اضافی رمزگذاری شده را با توجه به برنامه از پیش تعیین شده، اجرا می نماید.
- · پیام ها و ضمیمه های نامه های الکترونیک را از نرم افزار مایکروسافت Outlook و از سرویس دهنده پست الکترونیکی مورد دسترس، با استفاده از اعتباری که قبلاً به دست آورده است، بازیابی می کند.
نمونه هایی از وظایفی که “یک بار” اجرا می شوند نیز عبارتند از:
- جمع آوری اطلاعات کلی محیط های نرم افزاری و سخت افزاری؛
- · جمع آوری فایل سیستم و اطلاعات به اشتراک گذاشته شده در شبکه، ایجاد لیست های دایرکتوری، جستجو و بازیابی فایل ها توسط ماسک ارایه شده توسط سرور کنترل و دستور بدافزار؛
- · جمع آوری اطلاعات در مورد نرم افزارهای نصب شده که مهمترین آن ها شامل پایگاه داده اوراکل، برنامه RAdmin، نرم افزار سرویس گیرنده پست الکترونیکی از جمله نسخه کلاینتی Mail.Ru، درایوها و نرم افزارهای ویندوز موبایل، نوکیا، سونی اریکسون، اچ تی سی، تلفن های اندرویدی و درایوهای usb می باشد.
- استخراج تاریخچه وب گردی از مرورگرهای کروم، فایر فاکس، اینترنت اکسپلورر و اپرا؛
- استخراج کلمات عبور ذخیره شده وب سایت ها، سرورهای FTP، پست الکترونیکی و حساب های کاربری سرویس دهنده های پست الکترونیکی؛
- استخراج هش های حساب های کاربری ویندوز، به احتمال زیاد برای کرک نمودن آفلاین آن ها؛
- استخراج اطلاعات حساب کاربری نرم افزار Outlook؛
- تعیین آدرس IP خروجی سیستم آلوده (به منظور ارتباط با اینترنت)؛
- · دریافت فایل از سرورهای FTP که از طریق سیستم آلوده، در دسترس هستند (شامل آن هایی که به شبکه محلی خود متصل هستند) با استفاده از اعتباری که قبلاً به دست آورده است.
- نوشتن و/یا اجرای کدهای دلخواه در داخل وظیفه (task)؛
- اسکن شبکه، روگرفت از اطلاعات پیکربندی دستگاه های سیسکو، در صورت موجود بودن؛
- اسکن شبکه در یک محدوده از پیش تعریف شده و تکثیر خود به ماشین های آسیب پذیر، توسط آسیب پذیری MS08-067؛
- تکثیر از طریق شبکه با استفاده از اعتبارهای مدیر شبکه که آن ها را قبلاً به دست آورده است.
لیست زیر، دربردارنده فهرستی از MD5های اسناد شناخته شده است که توسط بدافزار Rocra مورد استفاده قرار می گیرند:
۱۱۴ed0e5298149fc69f6e41566e3717a
1f86299628bed519718478739b0e4b0c
نظرات شما عزیزان:
دسته بندی : <-CategoryName->
خبرنامه وب سایت:
آمار
وب سایت: