تریک‌بات

تریک‌بات یک تروجان برای سیستم‌ عامل‌های مایکروسافت ویندوز و سیستم عامل های دیگر بود.^[۱] در ابتدا، عملکرد اصلی آن سرقت اطلاعات بانکی و سایر مدارک شناسایی بود، اما به مرور قابلیت‌های آن برای ایجاد یک اکوسیستم بدافزاری ماژولار گسترش یافت.^[۲]

قابلیت ها[ویرایش]

تریک‌بات اولین بار در اکتبر ۲۰۱۶ گزارش شد. این بدافزار از روش‌های مختلفی مثل برنامه های اجرایی، فایل‌های دسته‌ای، فیشینگ ایمیلی، گوگل داکس و ادعاهای جعلی آزار جنسی برای انتشار استفاده می‌کند.^[۳]

وب سایت Bleeping Computer روند پیشرفت تریک‌بات را از اولین نسخه آن بعنوان یک تروجان بانکی تا گسترش کاربردهای مختلف، از جمله حملات به پی‌پل و سیستم‌های مدیریت ارتباط با مشتری CRM در ژوئن ۲۰۱۷ ، شامل افزودن مولفه کرم خودپراکن در ژوئیه ۲۰۱۷ و پشتیبانی از سرویس‌های مختلف ردیابی کرده است. وب‌سایت coinbase.com، از DKIM برای دور زدن فیلترهای ایمیل استفاده می‌کند. همچنین، در ژوئیه ۲۰۱۹، تاریخچه مشکلات ویندوز و کوکی‌ها را سرقت کرده و نرم‌افزارهای امنیتی مانند Microsoft Defender را هدف قرار می دهد تا از شناسایی و حذف آن جلوگیری کند . در آگوست ۲۰۱۹، کدهای پین Verizon Wireless، T-Mobile و Sprint را با تزریق کد هنگام دسترسی به یک وب‌سایت دزدید. در نوامبر ۲۰۱۹، کلیدهای OpenSSH و OpenVPN (را سرقت کرد و در ژانویه ۲۰۲۰، بدافزار را از طریق شبکه منتشر کرد. همچنین در همان ماه، توانست UAC ویندوز 10 را دور بزند و اطلاعات کاربری Active Directory را را به سرقت ببرد. از مارس ۲۰۲۰، با استفاده از ایمیل‌های جعلی و اخبار مربوط به COVID-19 ، سوءاستفاده کرد و در جولای ۲۰۲۰، احراز هویت دو مرحله‌ای موبایل اندروید را دور زد و بررسی کرد که آیا در یک ماشین مجازی اجرا می‌شود. همچنین، در ژوئیه ۲۰۲۰، سیستم‌های لینوکس را نیز آلوده کرد.^[۴]

تریک‌بات به بدافزارهای دیگر اجازه‌ی دسترسی به سیستم‌های آلوده را به‌عنوان یک سرویس می‌دهد. بدافزارهایی مانند ریوک و باج‌افزار Conti نمونه‌هایی از این دست هستند. همچنین، تروجان اموتت به نصب تریک‌بات کمک می‌کرد ، در واقع به نصب تریک‌بات معروف است.^[۴]

در سال ۲۰۲۱، محققان آی‌بی‌ام گزارش دادند که تریک‌بات با ویژگی‌هایی نظیر یک الگوریتم نامگذاری mutex خلاقانه و مکانیزم‌های پایداری به‌روز‌رسانی شده بهبود یافته است.^[۵]

عفونت ها[ویرایش]

در ۲۷ سپتامبر ۲۰۲۰، بیمارستان ها و سیستم های مراقبت های بهداشتی ایالات متحده تحت حمله‌ی سایبری از سوی باج‌افزار ریوک که توسط اموتت و سپس تریک‌بات تسهیل شده بود، قرار گرفتند. گزارش‌هایی از تهدیدات جدی سایبری برای بیمارستان‌ها و ارائه‌دهندگان خدمات بهداشتی در ایالات متحده منتشر شد، در حالی که تریک‌بات و نقش آن در این حملات مورد توجه قرار گرفت.بر این باورند که تروجان ایموتت این عفونت بات‌نت را با ارسال پیوست‌های مخرب ایمیلی در سال ۲۰۲۰ آغاز کرده است. پس از مدتی، تریک‌بات را نصب می‌کرد که سپس دسترسی به ریوک را فراهم می کند.^[۶]

با وجود تلاش‌ها برای خاموش کردن تریک‌بات، FBI و دو آژانس فدرال آمریکایی دیگر در ۲۹ اکتبر ۲۰۲۰ هشدار دادند که "اطلاعات معتبر دال بر تهدید سایبری رو به گسترش و نزدیک راجع به بیمارستان‌ها و ارائه‌دهندگان خدمات بهداشتی در ایالات متحده" وجود دارد، در حالی که موارد کویید ۱۹ در حال افزایش بود. پس از حملات ماه گذشته، پنج بیمارستان در آن هفته مورد حمله قرار گرفتند و صدها بیمارستان دیگر به عنوان هدف‌های بالقوه شناسایی شدند. روش حمله، باج‌افزار ریوک بود که از طریق تریک‌بات منتشر شده بود.^[۷]

دستگیری ها[ویرایش]

در آگوست 2020، وزارت دادگستری بایالات متحده حکم دستگیری برای افرادی که بات‌نت تریک‌بات را مدیریت می‌کردند صادر کرد. ^[۸] در ژانویه ۲۰۲۱، یکی از مدیران بخش توزیع ویروس تریک‌بات در اوکراین تریک‌بات در اوکراین دستگیر شد . و پس از آن توسعه‌دهندگان دیگر نیز تحت پیگرد قرار گرفتند.^[۸] در فوریه ۲۰۲۱، مکس (با نام مستعار: آلا ویت؛ آلا کلیمووا) توسعه دهنده پلتفرم تریک‌بات و مؤلفه‌های باج‌افزار، دستگیر شد. ^[۸]^[۹]^[۱۰] آلا ویت نام مستعار کلیمووا بوده و در سال ۱۹۶۵ در اتحاد جماهیر شوروی، روستوف-آن-دون به دنیا آمده و در سال ۱۹۸۳ به ریگا، لتونی منتقل شده است.^[۱۱]

تلافی[ویرایش]

از پایان سپتامبر ۲۰۲۰، بات‌نت تریک‌بات مورد حمله‌های متقابل قرار گرفت که به احتمال توسط فرماندهی سایبری وزارت دفاع ایالات متحده و چندین شرکت امنیتی انجام شد. یک فایل پیکربندی به سیستم‌های آلوده به تریک‌بات تحویل داده شد که آدرس سرور فرمان و کنترل را به ۱۲۷.۰.۰.۱ ( میزبان محلی ، آدرسی که نمی‌تواند به اینترنت دسترسی پیدا کند). تغییر داد. تلاش‌ها در واقع چندین ماه پیش آغاز شده و شامل چندین اقدام مخرب بود. این پروژه به دنبال اثرات بلندمدت بوده و داده‌ها را از بات‌نت جمع‌آوری و به‌دقت تحلیل می‌کند. تعدادی از سرورهای C2 نیز از طریق رویه‌های قانونی به منظور قطع ارتباطشان با بات‌ها در سطح ارائه‌دهندگان میزبانی تعطیل شدند. این اقدام پس از آن آغاز شد که دادگاه ناحیه‌ای ایالات متحده برای ناحیه شرقی ویرجینیا درخواست مایکروسافت برای صدور دستور دادگاه به منظور متوقف کردن فعالیت تریک‌بات را تأیید کرد.

این اقدام پس از تایید درخواست مایکروسافت بریا صدور دستور دادگاه با هدف متوقف کردن تریک‌بات از سوی دادگاه ناحیه‌ای ایالات متحده برای منطقه شرقی ویرجینیا انجام شد. تلاش فنی مورد نیاز عالی است. به عنوان بخشی از این حمله، سیستم‌های خودکار ESET بیش از ۱۲۵,۰۰۰ نمونه تریک‌بات را با بیش از ۴۰,۰۰۰ فایل پیکربندی برای حداقل ۲۸ پلاگین فردی که توسط بدافزار برای سرقت رمزهای عبور، تغییر ترافیک یا خودپراکن استفاده می‌شود، بررسی کردند.

ااین حملات تریک‌بات را به طور قابل توجهی مختل می‌کنند، اما این بدافزار دارای مکانیزم‌هایی برای بازیابی خود است و با دشواری، کامپیوترهای حذف شده از بات‌نت را دوباره به دست می‌آورد. گزارش شده که اختلالات کوتاه مدت ایجاد دشه، اما بات‌نت به سرعت به دلیل باقی ماندن زیرساخت آن بازگردانی شد.^[۲]^[۱۲]^[۱۳]

دولت ایالات متحده باج افزار را یک تهدید عمده برای انتخابات ۲۰۲۰ ایالات متحده می‌دانست، زیرا حملات می‌توانستند اطلاعات رأی‌دهندگان و نتایج انتخابات را سرقت یا رمزگذاری کرده و بر سیستم‌های انتخاباتی تأثیر بگذارند.^[۱۲]

در تاریخ ۲۰ اکتبر ۲۰۲۰، یک پیام امنیتی در وب سایت Bleeping Computer گزارش داد که عملیات تریک‌بات "در آستانه تعطیلی کامل قرار دارد پس از تلاش‌هایی از یک اتحاد از ارائه‌دهندگان خدمات امنیت سایبری و میزبانی که به سرورهای فرمان و کنترل بات‌نت هدفمند شده بودند”، پس از اقدام‌های نسبتاً غیرموثر قبلی در آن ماه. یک ائتلاف به رهبری واحد جرایم دیجیتالی مایکروسافت تأثیر جدی داشت، اگرچه تریک‌بات همچنان به آلوده کردن کامپیوترهای بیشتری ادامه می‌داد. در ۱۸ اکتبر، مایکروسافت اعلام کرد که ۹۴ درصد از زیرساخت های عملیاتی حیاتی تریک‌بات - ۱۲۰ از ۱۲۸ سرور - حذف شده است. برخی از سرورهای تریک‌بات در برزیل، کلمبیا، اندونزی و قرقیزستان فعال باقی ماندند.اقدام مستمر، چه فنی و چه قانونی، برای جلوگیری از بازگشت تریک‌بات به دلیل معماری منحصر به فرد آن مورد نیاز است. اگرچه هیچ مدرکی مبنی بر هدف قرار دادن تریک‌بات انتخابات ایالات متحده در ۳ نوامبر ۲۰۲۰ وجود نداشت، تلاش‌های شدید تا آن تاریخ ادامه یافت.^[۱۴] مراجع

↑ «www.ncsc.gov.uk». دریافت‌شده در ۲۰۲۰-۱۰-۱۳.صفحه پودمان:Citation/CS1/fa/styles.css محتوایی ندارد.
↑ ^۲٫۰ ^۲٫۱ Intelligence، Microsoft Threat (۲۰۲۰-۱۰-۱۲). «Trickbot disrupted». Microsoft Security Blog (به English). دریافت‌شده در ۲۰۲۴-۱۱-۲۹.صفحه پودمان:Citation/CS1/fa/styles.css محتوایی ندارد.
↑ «TrickBot Malware Uses Fake Sexual Harassment Complaints as Bait». BleepingComputer (به English). دریافت‌شده در ۲۰۲۴-۱۱-۲۹.صفحه پودمان:Citation/CS1/fa/styles.css محتوایی ندارد.
↑ ^۴٫۰ ^۴٫۱ «Latest TrickBot news». BleepingComputer (به English). دریافت‌شده در ۲۰۲۴-۱۱-۲۹.صفحه پودمان:Citation/CS1/fa/styles.css محتوایی ندارد.
↑ «Is It Impossible To Take Down TrickBot Permanently?». The Hack Report (به English). ۲۰۲۱-۰۲-۰۲. دریافت‌شده در ۲۰۲۴-۱۱-۲۹.صفحه پودمان:Citation/CS1/fa/styles.css محتوایی ندارد.
↑ «UHS hospitals hit by reported country-wide Ryuk ransomware attack». BleepingComputer (به English). دریافت‌شده در ۲۰۲۴-۱۱-۲۹.صفحه پودمان:Citation/CS1/fa/styles.css محتوایی ندارد.
↑ خطای لوآ در پودمان:Citation/CS1/fa/Identifiers در خط 47: attempt to index field 'wikibase' (a nil value).
↑ ^۸٫۰ ^۸٫۱ ^۸٫۲ «Trickbot Gang Arrest – Story of Alla Witte | Hold Security». web.archive.org. ۲۰۲۱-۰۶-۰۸. دریافت‌شده در ۲۰۲۴-۱۱-۲۹.صفحه پودمان:Citation/CS1/fa/styles.css محتوایی ندارد.
↑ «TrickBot Coder Faces Decades in Prison | Threatpost». web.archive.org. ۲۰۲۱-۰۶-۰۸. دریافت‌شده در ۲۰۲۴-۱۱-۲۹.صفحه پودمان:Citation/CS1/fa/styles.css محتوایی ندارد.
↑ «Latvian National Charged for Alleged Role in Transnational Cybercrime Organization | OPA | Department of Justice». web.archive.org. ۲۰۲۱-۰۶-۰۸. دریافت‌شده در ۲۰۲۴-۱۱-۲۹.صفحه پودمان:Citation/CS1/fa/styles.css محتوایی ندارد.
↑ "Ransomware". SC Media (به English). 2023-11-22. Retrieved 2024-11-29.صفحه پودمان:Citation/CS1/en/styles.css محتوایی ندارد.
↑ ^۱۲٫۰ ^۱۲٫۱ «TrickBot botnet targeted in takedown operations, little impact seen». BleepingComputer (به English). دریافت‌شده در ۲۰۲۴-۱۱-۲۹.صفحه پودمان:Citation/CS1/fa/styles.css محتوایی ندارد.
↑ «Washington Post». دریافت‌شده در ۲۰۲۰-۱۰-۱۳.صفحه پودمان:Citation/CS1/fa/styles.css محتوایی ندارد.
↑ «TrickBot malware under siege from all sides, and it's working». BleepingComputer (به English). دریافت‌شده در ۲۰۲۴-۱۱-۲۹.صفحه پودمان:Citation/CS1/fa/styles.css محتوایی ندارد.

This article "تریک‌بات" is from Wikipedia. The list of its authors can be seen in its historical and/or the page Edithistory:تریک‌بات. Articles copied from Draft Namespace on Wikipedia could be seen on the Draft Namespace of Wikipedia and not main one.

Facebook Page

Follow us on Twitter !

Read or create/edit this page in another language[ویرایش]

تریک‌بات in English

[1] «www.ncsc.gov.uk». دریافت‌شده در ۲۰۲۰-۱۰-۱۳.صفحه پودمان:Citation/CS1/fa/styles.css محتوایی ندارد.

[:0-2] ۲٫۰ ^۲٫۱ Intelligence، Microsoft Threat (۲۰۲۰-۱۰-۱۲). «Trickbot disrupted». Microsoft Security Blog (به English). دریافت‌شده در ۲۰۲۴-۱۱-۲۹.صفحه پودمان:Citation/CS1/fa/styles.css محتوایی ندارد.

[3] «TrickBot Malware Uses Fake Sexual Harassment Complaints as Bait». BleepingComputer (به English). دریافت‌شده در ۲۰۲۴-۱۱-۲۹.صفحه پودمان:Citation/CS1/fa/styles.css محتوایی ندارد.

[:1-4] ۴٫۰ ^۴٫۱ «Latest TrickBot news». BleepingComputer (به English). دریافت‌شده در ۲۰۲۴-۱۱-۲۹.صفحه پودمان:Citation/CS1/fa/styles.css محتوایی ندارد.

[5] «Is It Impossible To Take Down TrickBot Permanently?». The Hack Report (به English). ۲۰۲۱-۰۲-۰۲. دریافت‌شده در ۲۰۲۴-۱۱-۲۹.صفحه پودمان:Citation/CS1/fa/styles.css محتوایی ندارد.

[6] «UHS hospitals hit by reported country-wide Ryuk ransomware attack». BleepingComputer (به English). دریافت‌شده در ۲۰۲۴-۱۱-۲۹.صفحه پودمان:Citation/CS1/fa/styles.css محتوایی ندارد.

[7] خطای لوآ در پودمان:Citation/CS1/fa/Identifiers در خط 47: attempt to index field 'wikibase' (a nil value).

[:2-8] ۸٫۰ ^۸٫۱ ^۸٫۲ «Trickbot Gang Arrest – Story of Alla Witte | Hold Security». web.archive.org. ۲۰۲۱-۰۶-۰۸. دریافت‌شده در ۲۰۲۴-۱۱-۲۹.صفحه پودمان:Citation/CS1/fa/styles.css محتوایی ندارد.

[9] «TrickBot Coder Faces Decades in Prison | Threatpost». web.archive.org. ۲۰۲۱-۰۶-۰۸. دریافت‌شده در ۲۰۲۴-۱۱-۲۹.صفحه پودمان:Citation/CS1/fa/styles.css محتوایی ندارد.

[10] «Latvian National Charged for Alleged Role in Transnational Cybercrime Organization | OPA | Department of Justice». web.archive.org. ۲۰۲۱-۰۶-۰۸. دریافت‌شده در ۲۰۲۴-۱۱-۲۹.صفحه پودمان:Citation/CS1/fa/styles.css محتوایی ندارد.

[11] "Ransomware". SC Media (به English). 2023-11-22. Retrieved 2024-11-29.صفحه پودمان:Citation/CS1/en/styles.css محتوایی ندارد.

[:3-12] ۱۲٫۰ ^۱۲٫۱ «TrickBot botnet targeted in takedown operations, little impact seen». BleepingComputer (به English). دریافت‌شده در ۲۰۲۴-۱۱-۲۹.صفحه پودمان:Citation/CS1/fa/styles.css محتوایی ندارد.

[13] «Washington Post». دریافت‌شده در ۲۰۲۰-۱۰-۱۳.صفحه پودمان:Citation/CS1/fa/styles.css محتوایی ندارد.

[14] «TrickBot malware under siege from all sides, and it's working». BleepingComputer (به English). دریافت‌شده در ۲۰۲۴-۱۱-۲۹.صفحه پودمان:Citation/CS1/fa/styles.css محتوایی ندارد.

[۱]

[۲]

[۳]

[۴]

[۵]

[۶]

[۷]

[۸]

[۹]

[۱۰]

[۱۱]

[۱۲]

[۱۳]

[۱۴]