اس کی دریافت کے بعد سے دو سالوں میں ایسٹاروت ، ستمبر 2018 میں پہلی بار جنگل میں دیکھا گیا ، اس کے ترقی پانے والوں کی صلاحیت کو ظاہر کرتے ہوئے ، خصوصیات تیار کرنا اور شامل کرنا جاری رکھے ہوئے ہے۔ معلومات چوری ٹروجن اب دیکھا گیا ہے کہ اس نے ایک اہم تازہ کاری ، گھمنڈ ، اور بھی کچھ ایسی خصوصیات حاصل کی ہیں جو اس کی شناخت اور تجزیہ سے بچنے میں مدد کے لئے تیار کی گئی ہیں۔ مالویئر کی تقسیم کی تازہ ترین مہم صرف اس وقت تک صرف برازیل تک ہی محدود ہے ، لیکن پچھلی مہموں نے یورپ کے صارفین کو نشانہ بنایا تھا۔ تاہم ، ماضی میں سرگرمی کی اکثریت جنوبی امریکہ کی قوم تک ہی محدود رہی ہے۔
IBM کی ایکس فورس کے ذریعہ دریافت کیا گیا مالویئر کو بیان کیا گیا ،
'یہ ٹروجن 2017 کے آس پاس سے ہے اور جعلی انوائس ای میلز کا استعمال کرتا ہے جو بظاہر cam.br ڈومینز کے ذریعہ کسی جائز فروش کی طرف سے آتے ہیں۔ PDC نے اندازہ لگایا ہے کہ ان کے تقریبا 8000 صارفین کی مشینوں نے صرف ایک ہفتے میں اس نوعیت کے حملے دیکھے ہیں۔ کلاؤڈ فلایر پر مبنی یو آر ایل کا استعمال کرتے ہوئے ، یہ مہم جنوبی امریکہ میں ممکنہ صارفین کو نشانہ بناتی دکھائی دیتی ہے۔ اگر کسی ممکنہ شکار کا جنوبی امریکہ میں مقیم IP ایڈریس نہیں ہے تو ، میلویئر سسٹم کو متاثر کرنے کی کوشش نہیں کرتا ہے۔ ابتدائی پے لوڈ ایک بدنیتی پر مبنی .LNK فائل ہے جو انفیکشن کے اگلے مرحلے کی طرف اشارہ کرتی ہے۔ انفیکشن کا عمل ونڈوز مینجمنٹ انسٹرومینٹیشن کنسول (WMIC) اور اس کے کمانڈ لائن انٹرفیس کو غیر انٹرایکٹو موڈ میں بدنیتی پر مبنی پے لوڈ کو ڈاؤن لوڈ اور انسٹال کرنے کے لئے استعمال کرتا ہے تاکہ صارف کو معلوم نہ ہو کہ کیا ہو رہا ہے۔ 'سیدھی نظر میں چھپانے' کے ل the ، میلویئر اپنے کوڈ میں موجود 154 ڈومینز کی فہرست سے منتخب کردہ ڈومین کا استعمال کرتا ہے اور باقی URL جو پے لوڈ کی طرف اشارہ کرتا ہے شامل کیا جاتا ہے۔ اس فہرست میں شامل تمام ڈومینز کلاؤڈ فلایر پر میزبانی کی گئیں۔ اس طرح کے ایک جائز فروش کا استعمال کرتے ہوئے ، کمپنیوں کے لئے بدتمیزی کی بات چیت کو بلیک لسٹ کرنا زیادہ مشکل ہے۔
زیادہ تر حصے کے لئے ، میلویئر اسی راستے پر جاری ہے ، یعنی معلومات چوری کرنے پر مرکوز ہے ، چونکہ اس کی دریافت کے بعد کی خصوصیت میں اضافے پر اس بات پر توجہ دی جارہی ہے کہ میلویئر کا پتہ لگانے اور تجزیہ کرنا مشکل بنایا جائے۔ تازہ ترین مہم تجزیہ کیا بذریعہ سسکو ٹالوس اس ترقیاتی راہ کو چند ناولوں میں جاری رکھے ہوئے ہے ، لیکن ضروری نہیں کہ وہ نئے طریقوں سے کام لے۔ خلاصہ یہ کہ تازہ ترین مہم میں شامل کیا گیا ہے CoVID-19 لالچ ہے میلویئر کی تقسیم میں مزید مدد کے ل، ، ایک موجودہ حربے سے فائدہ اٹھانے کے ل numerous متعدد دیگر میلویئر ڈویلپرز کے ذریعہ اپنایا ہوا حربہ۔ سیکیورٹی کے ل particular خاص دلچسپی یہ ہے کہ محققین نئی اینٹی انیلیسس اور اینٹی سینڈ باکسنگ کی خصوصیات تھے جن کو خفیہ کوڈ کی بھولبلییا میں پوشیدہ کیا گیا تھا نیز میلویئر کے ذریعہ انکوڈڈ اور خفیہ کردہ کمانڈ اور کنٹرول مواصلات کے لئے یوٹیوب چینل کی تفصیل کا جدید استعمال تھا۔
میلویئر کو کس طرح تقسیم کیا جاتا ہے ، اس کے باوجود یہ زمین سے دور رہتے ہوئے ، اسپام ای میل مہموں پر انحصار کرتا ہے حربے ، اور دوسرے بے فائل عملدرآمد کے مختلف طریقے۔ زمین سے دور رہنا عام طور پر حملہ آور کو کوڈ کے ٹکڑوں کو پھانسی دینے کے لئے جائز آپریٹنگ سسٹم ٹولز کا استحصال کرنا شامل ہے ، جو ڈسک پر نہیں لکھا جاتا ہے بلکہ میموری میں رہتا ہے ، اس کا مطلب یہ ہے کہ اس حکمت عملی میں فائل لیس میلویئر پر عمل درآمد بھی ہوتا ہے ، جس کا مطلب ہے کہ صارف کو ضرورت نہیں ہے۔ مؤثر لنک یا منسلکہ پر کلک کرکے فارم میں میلویئر کو فعال طور پر ڈاؤن لوڈ کرنے کیلئے۔
جب کہ تقسیم کے طریقوں میں کوئی تبدیلی نہیں دیکھی گئی ، جیسا کہ اوپر بتایا گیا ہے کہ اینٹی انیلیسیسس اور اینٹی سینڈ باکسنگ کی خصوصیات بالکل نئی ہیں۔ یہ نئے اضافے یہ جاننے کے ل. چیک کریں گے کہ آیا میلویئر میلویئر تجزیہ کے ل researchers محققین کے ذریعہ استعمال کردہ سینڈ باکس والے ماحول کی بجائے پی سی پر پایا ہے۔ یہ بنیادی طور پر محققین کو مالویئر کو روکنے کے لئے حفاظتی مصنوعات کے قواعد وضع کرنے سے روکنے کے لئے کیا گیا ہے۔ اگر تجزیہ نہیں کیا گیا تو میلویئر میں سافٹ ویئر کی حیثیت سے نہ کہ مالویئر کی حیثیت سے اس کا پتہ لگانے کا امکان موجود ہے۔ جس کے نتیجے میں یہ مطلب ہے کہ میلویئر طویل عرصے تک معلومات چوری کرنے کا اپنا کام سرانجام دے سکتا ہے ، اور ڈارک ویب پر معلومات فروخت کرنے کی زیادہ آمدنی پیدا کر سکتا ہے۔ جیسا کہ محققین نے رپورٹ میں نشاندہی کی ،
'آسٹوراتھ فطرت سے ناگوار ہے اور اس کے مصنفین نے اس کی کامیابی کو یقینی بنانے کے لئے ہر اقدام کیا ہے… انہوں نے اینٹی اینیلیسیس اور اینٹی سینڈ باکس چیکوں کی ایک پیچیدہ بھولبلییا کو نافذ کیا ہے تاکہ میلویئر کا پتہ لگانے یا تجزیہ ہونے سے بچایا جاسکے۔ موثر اور مؤثر لالچوں کے ساتھ ، کسی طرح کی بدنیتی پر مبنی ارادے کے بے نقاب ہونے سے پہلے ہی ، بے ہودہ ہو جانے کے بعد شروع کرنا۔ پھر آخر کار یہ دونوں محققین اور سینڈ باکس ٹکنالوجیوں کے اوزار اور تراکیب کے ل che چیکوں کی سخت گونٹلیٹ کے ذریعے آگے بڑھتا ہے۔ یہ میلویئر ، ڈیزائن کے مطابق ، تجزیہ کرنے کے لئے تکلیف دہ ہے ، '
پوشیدہ کمانڈ اور کنٹرول سرور
اگلی اضافی خصوصیت جو خصوصی دلچسپی کی حامل تھی وہ YouTube کے بیانات میں کمانڈ اینڈ کنٹرول (سی اینڈ سی) سرورز کو چھپانے کے لئے چالاک حکمت عملی استعمال کرنے والے ڈویلپرز ہیں۔ اس سے آپریٹرز مواصلاتی چینلز کو کھلا رکھنے کی اجازت دیتے ہیں کیونکہ سیکیورٹی کمپنیاں متاثرہ مشین اور سرور کے مابین مواصلات کو روکنا چاہیں گی ، اس طرح سے اعداد و شمار کے اخراج کو روکیں گے۔ آستاروت کے معاملے میں ، سی اینڈ سی سرور سے وابستہ یو آر ایل کسی خاص یوٹیوب چینل سے وابستہ تفصیل میں پوشیدہ ہے۔ ایک بار جب میلویئر کسی پی سی کو متاثر کرتا ہے تو وہ یوٹیوب چینل سے رابطہ قائم کرنے کی کوشش کرے گا جس میں ان میں سے کوئی ایک وضاحت موجود ہے اور اسے بازیافت کرنا ہوگا۔ تفصیل بیس 64 میں انکوڈ شدہ ٹیکسٹ کے ساتھ ہی اس کے کمانڈ اور کنٹرول سرور کے یو آر ایل کے ساتھ خفیہ ہے جس میں چھپا ہوا ہے۔ متن کو ضابطہ کشائی کرنے کے بعد ، ایسٹاروت نئی ہدایات حاصل کرنے اور مستقبل میں اسٹوریج کے لئے چوری شدہ معلومات بھیجنے کے لئے ان یو آر ایل سے مربوط ہوتا ہے۔
یہ حربہ نیا نہیں ہے اور ماضی میں بھی استعمال ہوتا رہا ہے ، تاہم ، یہ عام طور پر دیکھا نہیں جاتا ہے۔ شاید جنگلی میں ہتھکنڈے کی پہلی مثال میں سے کسی میں ایک میلویئر تناؤ شامل تھا جینکیب 2015 میں جس نے مواصلات کو جاری رکھنے اور جاری رکھنے کے لئے یوٹیوب پر انکوڈ شدہ پیغامات کا استعمال کیا اور آسانی سے پتہ نہیں چل سکا۔ اس مثال میں ، انکوڈ شدہ پیغام تبصرے کے سیکشن میں رکھا گیا تھا۔ میلویئر تبصرے کی تعداد تلاش کرے گا جس میں 'ہماری (. *) ویں نفسیاتی سالگرہ' کا پیغام موجود تھا اور پھر یو آر ایل حاصل کرنے کے لئے ریاضی کے کچھ آپریٹرز کا اطلاق کریں گے۔
اس حربے کی ایک اور حالیہ مثال 2019 کی ہے ، جس کی تقسیم تقسیم ہوتی دکھائی دے رہی ہے اسٹینٹینکو ایک botnet جس نے سراغ لگایا مہم میں ایک کرپٹو کان کنی ماڈیول شامل کیا۔ محققین کے مطابق ،
'CoinMiner.Stantinko اپنے کان کنی کے تالاب سے براہ راست بات چیت نہیں کرتا ہے ، لیکن ان پراکسیوں کے توسط سے جن کے IP پتے YouTube ویڈیوز کے تفصیل متن سے حاصل کیے جاتے ہیں… اس طرح کی ویڈیو کی تفصیل ہیکساڈیسیمل فارمیٹ میں کان کنی پراکسی IP پتوں پر مشتمل تار پر مشتمل ہے۔ مثال کے طور پر ، شکل 1 میں دیکھا گیا یوٹیوب ویڈیو میں '03101f1712dec626' کی وضاحت ہے ، جو ہیکساڈیسیمل فارمیٹ میں دو IP پتوں کے مساوی ہے - 03101f17 3.16.31 کے مطابق ہے [.] 23 اعشاریہ ڈاٹڈ کواڈ فارمیٹ میں ، اور 12dec626 18.222.198 ہے [.] 38۔ لکھنے کے وقت تک ، فارمیٹ کو قدرے ایڈجسٹ کیا گیا ہے۔ آئی پی ایڈریس فی الحال '!!!!' میں منسلک ہیں ، جو تجزیہ کرنے کے عمل کو آسان بناتا ہے اور پارسر کو غیر فعال بنانے والے یوٹیوب ویڈیو ایچ ٹی ایم ایل ڈھانچے میں ممکنہ تبدیلیوں کو روکتا ہے۔ '
متاثرہ مشینوں اور سی اینڈ سی سرور کے مابین مواصلات کو یقینی بنانے میں مدد کے ل Ast آسٹاروت کی ایک اور چال ہے۔ پتے میں یو آر ایل کو چھپانا ، کوڈ میں شامل تین فالتو اقدامات میں سے ایک ہے۔ اس کا عملی مضمر یہ ہے کہ اگر یوٹیوب چھپے ہوئے یو آر ایل کے ساتھ چینلز کو نیچے لے جاتا ہے تو مالویئر استعمال کرسکتے ہیں اور بھی دو طریقے ہیں ، یعنی فال بیک بیک سی اینڈ سی چینل۔ محققین نے یہ نتیجہ اخذ کیا کہ تازہ ترین مہم میں اپنائے گئے اقدامات مالویئر آپریٹر کے کلیدی مقاصد کو تقویت دیتے ہیں ، یعنی زیادہ سے زیادہ معلومات چوری کرنے کے لئے اس کا پتہ نہ چل سکے جو بیچ ڈالنے یا کئی دیگر طریقوں سے بھی منافع کما سکتا ہے۔ مزید یہ کہ ، میلویئر مستقل ترقی میں ہے جو ڈویلپر کی میلویئر کو مسلسل بہتر بنائے رکھنے کی خواہش کو ظاہر کرتا ہے تاکہ وہ مطلوبہ کام کو موثر طریقے سے انجام دیتے رہیں۔
اس وقت کے دوران آپریٹرز محض جغرافیائی طور پر برازیل تک محدود رہنے کی مہم میں محتاط رہے ہیں۔ اس سے آپریشنوں کو چست اور چپکے سے رکھنے میں بھی مدد ملتی ہے جس سے مالویئر کا تجزیہ کرنے کی کوشش کرنے والی سیکیورٹی فرموں کی تعداد کم سے کم رہ جاتی ہے۔ تاہم ، اگر فیصلہ کیا جاتا ہے تو ، میلویئر کو بڑی بڑی مہموں میں تقسیم کیا جاسکتا ہے جو دنیا بھر کے صارفین کو نشانہ بناتے ہیں۔ اگر ایسا ہی ہے تو استاروothٹ کے ذریعہ لاحق خطرے کو کم کرنے کے لئے محافظوں کو تیار رہنے کی ضرورت ہے۔ محققین نے مزید کہا کہ مستقبل کی انتباہ کے طور پر ،
'یہ معاشی طور پر حوصلہ افزا خطرات نفاست میں اضافہ کرتے رہتے ہیں ، کیونکہ مخالفین بڑی رقم اور منافع پیدا کرنے کے ل more مزید راستے تلاش کر رہے ہیں۔ اسٹاراتھ اس کی ایک اور مثال ہے اور چوری / انسداد تجزیہ مستقبل میں میلویئر خاندانوں کی کامیابی کے لئے اہم ثابت ہوگا۔ تنظیموں کو اس کے اثرات کو کم کرنے اور کم سے کم کرنے کے ل place ٹکنالوجی اور کنٹرول کی متعدد پرتیں رکھنے کی ضرورت ہے ، یا کم سے کم تیزی سے پتہ لگانے اور اس کی تدارک کرنے میں سہولت فراہم کریں۔ اس میں اختتامی نقطہ ، ڈومین ، ویب اور نیٹ ورک کو ڈھکنے والی سیکیورٹی ٹیکنالوجیز شامل ہوں گی۔ اس قسم کی ٹکنالوجیوں کو بچھانے سے تنظیمیں اس امکان کو بڑھا دیتی ہیں کہ آسٹاروت جیسے مضر ، پیچیدہ میلویئر کا پتہ چل سکتا ہے اور اس کا پتہ چل سکے گا۔
