مقالات ترجمه شده دانشگاهی ایران

گروه معادله: پرسش ها و پاسخ ها

گروه معادله: پرسش ها و پاسخ ها

گروه معادله: پرسش ها و پاسخ ها – ایران ترجمه – Irantarjomeh

 

مقالات ترجمه شده آماده گروه کامپیوتر
مقالات ترجمه شده آماده کل گروه های دانشگاهی

مقالات رایگان

چگونگی سفارش مقاله

الف – پرداخت وجه بحساب وب سایت ایران ترجمه(شماره حساب)ب- اطلاع جزئیات به ایمیل irantarjomeh@gmail.comشامل: مبلغ پرداختی – شماره فیش / ارجاع و تاریخ پرداخت – مقاله مورد نظر --مقالات آماده سفارش داده شده پس از تایید به ایمیل شما ارسال خواهند شد.

قیمت

قیمت این مقاله: 68000 تومان (ایران ترجمه - Irantarjomeh)

توضیح

بخش زیادی از این مقاله بصورت رایگان ذیلا قابل مطالعه می باشد.

مقالات ترجمه شده کامپیوتر - ایران ترجمه - irantarjomeh

www.irantarjomeh.com

شماره      
۱۶۰
کد مقاله
COM160
مترجم
گروه مترجمین ایران ترجمه – irantarjomeh
نام فارسی
گروه معادله: پرسش ها و پاسخ ها
نام انگلیسی
EQUATION GROUP: QUESTIONS AND ANSWERS
تعداد صفحه به فارسی
۶۱
تعداد صفحه به انگلیسی
۴۴
کلمات کلیدی به فارسی
بدافزار, گروه معادله
کلمات کلیدی به انگلیسی
malware, EQUATION GROUP
مرجع به فارسی
کاسپراسکای
مرجع به انگلیسی
Kaspersky
کشور
روسیه

 

گروه معادله: پرسش ها و پاسخ ها

۱- گروه معادله چیست ؟
گروه معادله (Equation group) که تاریخ آن به سال ۲۰۰۱، و احتمالا حتی به در اوایل سال ۱۹۹۶، بر می گردد را می توان به عنوان یک خطر کاملاً پیچیده، شامل عملیات متعدد CNE (سوء استفاده از کامپیوترهای شبکه)، بشمار آورد. گروه معادله از بسترهای بدافزاری متعدد استفاده می نماید که برخی از آنها از نقطه نظر پیچیدگی و مهارت حتی ویروس خطرناک کاملاً شناخته شده “Regin” را نیز پشت سر می گذارند. گروه معادله احتمالاً یکی از پیچیده ترین بدافزارهای مرتبط با ویروس های مهاجم فضای اینترنت در جهان به شمار می آید و می توان آن را به عنوان پیشرفته ترین خطر مشاهده شده تاکنون محسوب نمود.

گروه معادله: پرسش ها و پاسخ ها

 

۲- گروه «معادله» و علت نام آن
علت نامیدن این بدافزار تحت عنوان گروه معادله آن است که در این فرایند از الگوریتم های رمزنگاری، پنهان سازی همراه با استراتژی های ابهام سازی اطلاعات و روش های کاملا پیچیده استفاده شده است. به طور کلی، گروه معادله اقدام به استفاده از الگوریتم رمز نگاری RC5 نموده است. برخی از اخیرترین مدول های بکار گرفته شده شامل RC6، RC4 و AES می باشند. بعلاوه این بدافزار از توابع رمزنگاری و توابع درهم نیز بخوبی استفاده نموده است.
یک تکنیک های دیگر نیز در این بدافزار بکار گرفته شده است که سبب جلب توجه خاص ما گردیده و یادآور یکی دیگر از بدافزارهای پیچیده تحت عنوان گاوس (Gauss) می باشد. بارگذار گری فیش (GrayFish)  برای هزار بار از SHA-256 در شناسه (ID) آبجکت NTFS فولدر ویندوز قربانی جهت رمزگشایی مرحله بعدی از رجیستری استفاده می نماید. چنین موردی به صورت منحصر بفرد سبب اتصال سیستم آلوده به ماشین هدف خواهد شد و بدان معنا خواهد بود که قابلیت رمزگشایی فیلد حاوی داده مخرب بدون دانستن شناسه آبجکت NTFS وجود ندارد.

گروه معادله: پرسش ها و پاسخ ها

 

۳- ابزارهای مهاجم و بدافزار استفاده شده توسط گروه معادله
تاکنون ما نسبت به مشخص سازی چندین بستر بدافزاری که به صورت انحصاری به وسیله گروه معادله استفاده شده اند اقدام نمودیم.
این بدافزارها عبارتند از:
  • EQUATIONDRUG ـ یک بستر حمله کاملاً پیچیده استفاده شده به وسیله این گروه برای حمله به قربانیان خود. این بستر از یک ماژول افزونه با قابلیت آپلوید و آنلود دینامیکی بوسیله مهاجمین پشتیبانی می نماید.
  • DOUBLEFANTASY ـ یک تروجان (اسب تروا) سبک ـ اعتبارسنج (validator-style) طراحی شده به منظور شناسایی آنکه هدف مربوطه به عنوان یک هدف مطلوب برای مهاجمین مد نظر است. در صورتی که هدف تأیید شود، به یک بستر پیچیده تر نظیر EQUATIONDRUG یا GRAYFISH ارتقا داده خواهد شد.
  • EQUESTRE ـ مشابه با EQUATIONDRUG
  • TRIPLEFANTASY ـ بکدُر یا درب پشتی تمام عیار با ویژگی کامل که در برخی از مواقع همراه با GRAYFISH استفاده می شود. این مورد مشابه با DOUBLEFANTASY ارتقا یافته است و احتمالاً به عنوان یک ویژگی اخیرتر «افزونه سبک- اعتبارسنج» بحساب می آید.
  • GRAYFISH ـ پیچیده ترین بستر حمله از گروه معادله. این ویژگی به طور کامل مقیم ریجستری شده و برای اجرا در زمان راه اندازی سیستم عامل (OS) متکی به یک بوت کیت می باشد.
  • FANNY ـ یک کرم کامپیوتری ساخته شده در سال ۲۰۰۸ به منظور کسب اطلاعات از اهداف خاص در خاورمیانه و آسیا. برخی از قربانیان این کرم به نظر در ابتدا به نسخه DoubleFantasy ارتقا یافته و متعاقباً آلودگی با کاربرد EQUATIONDRUG تعمیم یافته است. بدافزار Fanny از دو ویژگی تهدیدکننده تحت عنوان «روز صفر» (zero-day) که متعاقباً در ویروس استاکس نت نیز کشف شد استفاده می نماید.
  • EQUATIONLASER ـ یک بدافزار اولیه از گروه معادله که کاربرد آن به حدود سالیان ۲۰۰۱ الی ۲۰۰۴ برمی گردد. چنین موردی سازگار با ویندوزهای ۹۵ و ۹۸ است و از نظر تحلیلی چیزی بین دو بدافزار شناخته شده DOUBLEFANTASY و EQUATIONDRUG می باشد.
  

گروه معادله: پرسش ها و پاسخ ها

 

۴- DOUBLEFANTASY چیست؟
گروه معادله از یک بدافزار تحت عنوان DoubleFantasy (نام لابراتوار داخلی کاسپراسکای) برای ارزیابی قربانیان خود استفاده می نماید. این بدافزار چندین هدف را دنبال می نماید:
  • تأیید این موضوع که آیا قربانیان هدف های مد نظر می باشند یا خیر. در صورت مثبت بودن قربانی مورد هدف به بسترهای EquationDrug یا GrayFish ارتقا داده خواهد شد.
  • حفظ یک درب پشتی یا بکدُر به کامپیوتر قربانی هدف
DoubleFantasy در بلوک پیکربندی خود از نوعی شماره نگارش داخلی استفاده نموده و به علاوه داده های دیگری نظیر میزبان های مشروع جهت ارزیابی اتصال  داخلی (همانند  microsoft.com،  yahoo.com) و C&Cs را در نظر می گیرد.
۵- EQUATIONDRUG چیست؟
بدافزار EQUATIONDRUG یکی از پیچیده ترین پلتفرم های جاسوسی متعلق به این گروه می باشد. این پلتفرم بین سالیان ۲۰۰۳ و ۲۰۱۳ ایجاد شده و متعاقباً به وسیله GrayFish جایگزین شد. این بدافزار به نظر به عنوان یک نگارش ارتقا یافته از پلتفرم EQUATIONLASER مد نظر می باشد.
یک قربانی به سرعت به EQUATIONDRUG آلوده نخواهد شد. در ابتدا، مهاجمین هدف خود را آلوده به DOUBLEFANTASY می نمایند که به عنوان یک بدافزار افزونه سبک اعتبارسنج است. در صورتی که متعاقباً قربانی به عنوان یک هدف مورد نظر و مطلوب برای مهاجمین شناخته شود، برنامه نصب EQUATIONDRUG فعال می گردد.
۶- GRAYFISH چیست؟
GRAYFISH به عنوان مدرن ترین و پیچیده ترین بدافزار گروه معادله به شمار می آید. این بدافزار جهت فراهم آوردن یک مکانیزم پایدار کارآمد (غالباً به صورت ناپیدا) بکار گرفته شده و قابلیت مخفی سازی اطلاعات ذخیره شده و اجرای دستورات مخرب در داخل سیستم عامل ویندوز را خواهد داشت.
بر مبنای کلیه ویژگی های مشخص شده GrayFish بین سالیان ۲۰۰۸ و ۲۰۱۳ ارائه گردیده و سازگار با نگارش های مدرن سیستم های عامل مایکروسافت همانند ویندوز NT 4.0، ویندوز ۲۰۰۰، ویندوز XP ، ویندوز ویستا، ویندوز ۷ و ۸ ، هر دو نگارش ۳۲ و ۶۴ بیتی، می باشد.
۷- Fanny چیست؟
Fanny یک کرم کامپیوتری ایجاد شده به وسیله گروه معادله در سال   ۲۰۰۸ به شمار  می آید که ناحیه توزیعی آن خاورمیانه و آسیا است. این از بدافزار روز صفر بهره می جوید که متعاقباً در طی فرایند اکتشاف ویروس استاکس نت کشف شد. به منظور گسترش خود، این ویروس از ویژگی Stuxnet LNK و فلش USB استفاده می نماید. برای کپسوله سازی مؤلفه های مرتبط، Fanny از یک ویژگی آسیب پذیر پچ شده به وسیله بولتن مایکروسافت MS09-025 بهره می جوید که از سال ۲۰۰۹ در یکی از نگارش های اولیه ویروس استاکس نت بکار گرفته شده است.

گروه معادله: پرسش ها و پاسخ ها

 

۸- بدافزارهای استفاده شده به وسیله گروه معادله
ما کاربرد نرم افزارهای مخرب ذیل بوسیله گروه معادله در بدافزار آنها را مشخص ساختیم:
  • بدافزار EOP کرنل ویندوز استفاده شده در استاکس نت ۲۰۰۹ (ocx) تثبیت شده با MS09-025. (CVE نامشخص).
  • بدافزار TTF تثبیت شده با MS12-034 (احتمالاً CVE-2012-0159).
  • بدافزار TTF تثبیت شده با MS13-081 (احتمالاً CVE-2013-3894).
  • آسیب پذیری LNK با توجه به کاربرد به وسیله استاکس نت (CVE-2010-2568).
  • CVE-2013-3918 (مرورگر اینترنت اکسپلورر).
  • CVE-2012-1723 (Java)
  • CVE-2012-4681 (Java)
حداقل چهار بدافزار از این مولفه ها به عنوان کرم روزهای صفر به وسیله گروه معادله بکار گرفته شده است. علاوه بر موارد ذکر شده، ما کاربرد مؤلفه های ناشناخته، احتمالاً بر مبنای ویروس روز صفر، در مرورگرهایی نظیر فایرفاکس ۱۷، یا مرورگر TOR را مشخص ساخته ایم.
یک مورد قابل توجه کاربرد CVE-2013-3918 می باشد که به طور ابتدا به ساکن به وسیله APTgroup  با توجه به حمله Aurora سال ۲۰۰۹ مشخص شده است. گروه معادله اقدام به گردآوری مؤلفه های مورد نیاز واقع در سیستم های عامل نموده و آنها را بر مبنای اهداف خود مورد سوء استفاده قرار داده تا قابلیت هدف قراردهی کاربران دولتی در افغانستان را داشته باشند.
۹- گروه معادله و چگونگی آلودگی قربانیان
گروه معادله متکی به تکنیک های متعددی جهت آلوده سازی قربانیان خود می باشد. این تکنیک ها عبارتند از:
  • کرم هایی با قابلیت خود تکراری همانند ـ FANNY
  • رسانه فیزیکی، همانند سی دی رام ها
  • فلش مموری ها (USB) با بدافزارهای مربوطه
  • بدافزارهای وبی
حملاتی که از رسانه های فیزیکی (همانند سی دی رام) استفاده می نمایند علی الخصوص قابل توجه هستند چرا که آنها معرف بکارگیری یک تکنیک شناخته شده تحت عنوان “تکنیک ممانعت” (interdiction) می باشند، که در آن مهاجمین اقدام به جلوگیری از تراکنش های مختلف نموده و در مقابل آنها را با نگارش های مشابه ویروسی یا اسب تراو جایگزین می نمایند.
یکی از این موارد هدف قرار دادن شرکت کنندگان در یک کنفرانس علمی در هوستون بود. پس از بازگشت به خانه، برخی از شرکت کنندگان نسخه ای از مقاله های کنفرانسی را به وسیله ایمیل خود دریافت داشتند که همراه با آنها یک فایل نمایش اسلایدی، متشکل از پارامترهای مختلف ارائه شده در آن کنفرانس، ضمیمه بود. سی دی رام های مخرب [compromised ?] از یک فایل راه اندازه تحت عنوان “autorun.inf” جهت اجرای یک برنامه نصاب استفاده نموده که مبنای آن دو ویژگی استفاده شده در بدافزار گروه معادله بوده است. متعاقباً بدافزار مربوطه سعی در اجرای برنامه DOUBLEFANTASY متعلق به آن گروه نموده و آن را بر روی ماشین قربانیان نصب کرد. روش دقیق عملیات این سی دی ها ناشناخته است. البته ما عقیده نداریم که سازمان دهندگان این کنفرانس چنین اقدامی انجام نداده اند. در عین حال، بدافزار ابرنایاب DOUBLEFANTASY، همراه با برنامه نصب کننده آن با توجه به استفاده از کرم روز صفر به خودی خود نمی تواند بر روی یک سی دی قرار گیرد.

گروه معادله: پرسش ها و پاسخ ها

 

۱۰- گروه معادله و پیچیده ترین مولفه ها
با وجود آنکه پیاده سازی سیستم های بدافزاری کاملاً پیچیده است، و حتی در خصوص گروه معادله می توان اینگونه اذعان نمود که چنین بدافزاری حتی مرزهای پیچیدگی را پشت سر گذاشته است، لازم به ذکر است که یکی از ویژگی های موجود در فناوری مهاجمانه گروه معادله فراتر از دیگر مولفه های قبلی است. چنین قابلیتی را می توان به عنوان قابلیت آلوده سازی میان افزار درایو سخت خواند.
ما قابلیت بازیابی دو ماژول برنامه نویسی مجدد میان افزار مربوط به دیسک های سخت (HDD) از پلتفرم های EQUATIONDRUG و GRAYFISH را در نظر می گیریم. ماژول برنامه نویسی مجدد میان افزار EQUATIONDRUG HDD از نگارش ۱/۰/۳ استفاده نموده در حالی که ماژول برنامه نویسی مجدد GRAYFISH از نگارش ۰/۲/۴ برخوردار است. آنها به ترتیب در خلال سال ۲۰۱۰ و ۲۰۱۳ کامپایل شده اند، البته در صورتی که بتوان به مهرهای زمانی PE اعتماد نمود.
افزونه مورد نظر با قابلیت برنامه نویسی مجدد میان افزار HDD گروه معادله دارای شناسه داخلی ۸۰AA می باشد که به عنوان یک عدد منحصر به فرد در جدول شناسه افزونه این گروه به شمار می آید. چنین موردی به دیگر افزونه ها اجازه شناسایی و کاربرد آن به هنگام نیاز را خواهد داد. هر دو نگارش ۳۲ و ۶۴ بیتی این افزونه ها یافت شده اند.
چنین افزونه ای از دو عملکرد اصلی پشتیبانی می نماید: برنامه نویسی مجدد میان افزار هارد دیسک (HDD) آن هم با استفاده از واحد عملیات حاصله از گروه معادله، و فراهم آوردن یک API در مجموعه ای از سکتورهای مخفی (یا ذخیره سازی داده ها) درایو سخت. چنین موردی دربردارنده یک مؤلفه کاملا مهم می باشد: مقاومت شدید که در برابر فرمت دیسک و نصب مجدد سیستم عامل.
  • داشتن یک فضای ذخیره سازی پایدار و مخفی در داخل درایو سخت.
  • افزونه نگارش ۳ قابلیت برنامه نویسی مجدد شش درایو “شامل درایوهای دسته بندی شده ذیل” را خواهد داشت:
۱۱- گروه معادله و کاراکترهای قرار گرفته در پس آن
با توجه به آنکه بازیگران فعالی نظیرگروه معادله در این زمینه نقش ایفا می کنند، قطعا میزان خطا نیز اندک است. با این وجود، احتمال بروز خطا وجود دارد. برخی از مؤلفه های کلیدی نادیده گرفته شده در این ماژول ها که ما بر مبنای آنها اقدام به آنالیز این بدافزار نمودیم به شرح ذیل می باشند:
  • SKYHOOKCHOW
  • prkMtxـ انحصار متقابل و منحصر بفرد استفاده شده به وسیله کتابخانه بدافزاری گروه معادله (“PrivLib”)
  • SF” همانند موارد “SFInstall”, “SFConfig
  • UR”, “URInstall” ـ اجرای فرایند خاص ـ UR پس از نصب …
  • بدافزار – انتظار تایم اوت در “canInstallNow” حتی از ویژگی خاص- بدافزاری EXE!
  • STEALTHFIGHTER– (VTT/82055898/STEALTHFIGHTER/2008-10-16/14:59:06.229-04:00)
  • DRINKPARSLEY
  • (Manual/DRINKPARSLEY/2008-09-30/10:06:46.468-04:00)
  • STRAITACID
  • (VTT/82053737/STRAITACID/2008-09-03/10:44:56.361-04:00)
  • LUTEUSOBSTOS
  • (VTT/82051410/LUTEUSOBSTOS/2008-07-30/17:27:23.715-04:00)
  • STRAITSHOOTER STRAITSHOOTER30.exe
  • DESERTWINTER
  • c:\desert~2\desert~3\objfre_w2K_x86\i386\DesertWinterDriver.pdb
  • GROK – standalonegrok_2.1.1.1
  • RMGREE5” – c:\users\rmgree5/…
به طور قابل توجه، رشته های VTT فوق به نظر شامل یک مهر زمانی و یک شمارنده آلودگی می باشند. بین چهار رخداد ـ ۱۰ اکتبر ۲۰۰۸، سی ام جولای ۲۰۰۸، سوم سپتامبر ۲۰۰۸، سی ام سپتامبر ۲۰۰۸ ـ ما یک میانگین مرتبط با ۲۰۰۰ آلودگی در ماه را مشخص نمودیم، آن هم در صورتی که شماره سریال به صورت خطی افزایش یابد. چنین موردی مؤکد آن است که گروه معادله ۲۰۰۰ کاربر را در ماه آلوده نموده است، با این وجود ممکن است برخی از قربانیان “نامربوط” از این آلایندگی رهایی یافته باشند.

گروه معادله: پرسش ها و پاسخ ها

 

۱۲- تعداد  قربانیان
قربانیان گروه معادله در بیش از ۳۰ کشور مشاهده شده اند که شامل ایران، روسیه، سوریه، افغانستان، قزاقستان، بلژیک، سومالی، هنگ کنگ، لیبی، امارات، عراق، نیجریه، اکوآدور، مکزیکو، مالزی، ایالات متحده، سودان، لبنان، فلسطین، فرانسه، آلمان، سنگاپور، قطر، پاکستان، یمن، مالی، سوئیس، بنگلادش، آفریقای جنوبی، فیلیپین، انگلستان، هندوستان و برزیل می باشند.
قربانیان به طور کلی در گروه های ذیل قرار می گیرند:
  • دولت ها و مؤسسات دیپلماتیک
  • شرکت های مخابرات و ارتباطات از راه دور
  • شرکت های هوا فضا
  • مؤسسات انرژی
  • مؤسسات تحقیقات اتمی
  • نفت و گاز
  • مؤسسات نظامی
  • نانوتکنولوژی
  • فعالیت ها و محققین اسلامی
  • رسانه های ارتباط جمعی
  • حمل و نقل
  • مؤسسات مالی
  • شرکت هایی که اقدام به توسعه فناوری های نهفته یا رمزنویسی می نمایند.
با ترکیب آمارها از KSN و اطلاعات حاصله از حفره سینک یا چاهک گروه ما، قابلیت شمارش بیش از ۵۰۰ قربانی در گوشه و کنار جهان را خواهیم داشت. بسیاری از آلودگی ها بر روی سرورها مشاهده شده اند، غالباً کنترل کننده های دومین، مخازن ذخیره سازی اطلاعات، میزبان های وب سایت ها و دیگر انواع سرورها. در عین حال، این آلودگی ها از مکانیزم خود تخریبی نیز برخوردار می باشند، بنابراین می توان اینگونه فرض نمود که احتمالاً دهها هزار مورد آلودگی در گوشه و کنار جهان در خلال تاریخچه عملیاتی گروه معادله وجود داشته است.

گروه معادله: پرسش ها و پاسخ ها

 

۱۳- احتمال مشاهده بدافزارهای غیرویندوزی از گروه معادله
کلیه بدافزارهایی که ما تاکنون جمع آوری نموده ایم برای کار با سیستم عامل مایکروسافت ویندوز طراحی شده اند. با این وجود، علامت هایی دال بر وجود بدافزارهای غیرویندوزی نیز مشاهده شده اند. به طور مثال، یکی از حوزه های C&C فروچاله ای هم اکنون به اتصالاتی از یک استخر بزرگ متشکل از قربانیان در چین دسترسی داشته است که به نظر متشکل از کامپیوترهای با سیستم عامل Mac OS X  (بر مبنای عامل کاربر) می باشند.
برگردان های بدافزار سازگار با طرح های DOUBLEFANTASY می باشند، که به صورت نرمال به مرورگر سیستم تزریق می شوند (به طور مثال به مرورگر اینترنت اکسپلورر در ویندوز).
برگردان ها برای نگارش های مظنون Mac OS X دارای عامل های کاربر ذیل می باشند:
۱۴- بدافزارهای گروه معادله و استفاده از زیرساختارهای C&C
گروه معادله از یک زیرساختار دستور و کنترل (C&C) گسترده استفاده می نماید که شامل بیش از ۳۰۰ دومین و فراتر از ۱۰۰ سرور می باشد. این سرورها در کشورها متعددی وجود دارند، شامل: ایالات متحده، انگلستان، ایتالیا، آلمان، هلند، پاناما، کستاریکا، مالزی، کلمبیا و جمهوری چک.
کلیه دومین های C&C به نظر با استفاده از دو ثبت کننده اصلی با استفاده از ” حوزه ها بر مبنای پراکسی” جهت پوشش اطلاعات ثبت کننده رجیستر شده اند.
لابراتوار کاسپراسکای هم اکنون اقدام به تشخیص و فروچاله سازی تعداد متعددی از ۳۰۰ سرور C&C نموده  است.
۱۵- گروه معادله و چگونگی انتخاب قربانیان
گروه معادله در برخی از مواقع اقدام به انتخاب قربانیان خود از طریق انجام فرایند «دقت جراحی» (surgical precision) می نماید. به هنگامی که دقت نامحتمل می باشد، قربانیان به وسیله یک بدافزار (DOUBLEFANTASY) و ارزیاب آن شناخته شده و متعاقباً در صورتی که به عنوان هدف مورد نظر برای مهاجمین تلقی نشوند رفع آلودگی خواهند شد.
در اینجا برخی از مثال های هدفگیری وبی از گروه معادله ذکر می شوند:
در دوم مارس ۲۰۱۳، لابراتوار کاسپراسکای اقدام به مرور یک مجمع آنلاین نمود که تحت حمله یک بدافزار از سوی سرورهای گروه معادله قرار گرفته بود:
۱۶- گروه معادله و انواع الگوریتم های رمزگذاری استفاده شده
گروه معادله از الگوریتم های رمزنگاری RC5 و RC6 به طور بسیار گسترده ای در برنامه های خود استفاده نموده است. آنها از XOR ساده، جداول جایگزین، RC4 و AES استفاده می نمایند.
RC5 و RC6 به عنوان دو الگوریتم رمزنگاری طراحی شده به وسیله Ronald Rivest در سال ۱۹۹۴ و سال ۱۹۹۸ به شمار می آیند. آنها کاملاً مشابه با یکدیگر می باشند، در عین حال RC6 ارائه دهنده یک ویژگی تکثیر اضافه در فرایند رمزنگاری به منظور پایدارسازی بیشتر آن می باشد. این دو سیستم رمزگذاری از مکانیزم های ایجاد کلید یکسان و ثابت های جادویی یکسانی تحت عنوان P و Q استفاده می نمایند.
پیاده سازی RC5/6 از سوی بدافزار گروه معادله به طور قابل توجهی مورد نظر می باشد و می بایست توجه ویژه ای، بواسطه مشخصه های آن، بدان مبذول داشت.
۱۷- چگونگی مقایسه پلتفرم های حمله گروه معادله با بدافزار Regin
جهت حمله به قربانیان، گروه معادله از چندین پلتفرم جاسوسی سایبری در خلال ۱۴ سال اخیر استفاده نموده است که عبارتند از:
با توجه به  EQUATIONDRUG،  ما استفاده از فایل  سیستم های مجازی  را  در نظر می گیریم که یکی از علامت های تجاری گروه Regin می باشد. چنین فرایندی سبب مشخص سازی ویژگی های GRAYFISH می شود که به صورت منحصر بفرد از رجیستری به منظور ذخیره سازی کلیه ماژول های مرتبط با بدافزار استفاده نموده و به علاوه از داده ها به صورت فرمت به رمز درآوری شده بهره می جوید. معماری رجیستری مبنای GRAYFISH از انعطاف بیشتری برخوردار می باشد و به علاوه از قابلیت مخفی شدگی بیشتر و از پیچیدگی بیشتری در مقایسه با Regin بهره مند است که علل آن را می توان به شرح ذیل توصیف نمود:
  • این بدافزار از هیچ گونه فایلی بر روی دیسک، با قابلیت مشخص سازی یا کشف آسان آن به وسیله سیستم های کاشف غیرعادی، استفاده نمی نماید.
  • هر شاخه رجیستری با استفاده از کلید خاص خود رمزنگاری می شود، که در حقیقت سبب خواهد شد تا فرایند رمزگشایی بدون داشتن کل مجموعه نرم افزاری غیر ممکن گردد.
  • ذخیره سازی رجیستری قابلیت عرضه ویژگی های منفک شدگی بهتر و کاربرد بهتر فضا از نقطه نظر اتلاف در مقایسه با VFSe های Regin را خواهد داشت.
به علاوه، ما قابلیت مقایسه دو پلتفرم از طریق مکانیسم های آغازین آن را خواهیم داشت. در عین آنکه Regin 64 بیتی از یک سرویس خاصی استفاده می نماید که قابلیت بارگذاری بقیه کد مرتبط از انتهای آخرین پارتیشن موجود بر روی دیسک و ادامه آن از VFSes را خواهد داشت، GRAYFISH یک مرحله به جلوتر گام برمی دارد. بوت کیت GRAYFISH از VBR آغاز گردیده و متعاقباً اقدام به بارگذاری سیستم عامل نموده و سپس فرایند بارگذاری اولین درایو در کرنل را هایجک (ربایش) می نماید. سپس، کلیه مراحل دیگر بدافزار از رجیستری بارگذاری شده و سبب خواهد شد تا کلیه مراحل با توجه به جای پا یا اصطلاحاً جای مورد بررسی کامپیوتر کاملاً نامشهود گردد.

گروه معادله: پرسش ها و پاسخ ها

 

۱۸- چگونگی اکتشاف بدافزار گروه معادله
ما در طی تحقیقات خود در ارتباط با عملیات APT در سطح ملی با توجه به بدافزار Regin یکی از اولین ماژول های EQUATIONDRUG را کشف نمودیم.
در جایی از خاورمیانه، کامپیوتری وجود دارد که ما آن را تحت عنوان “مغناطیس خطرات” ((The Magnet of Threats می نامیم چرا که علاوه بر بدافزار Regin، چنین سیستمی به وسیله بدافزارهایی نظیر  Turla،  ItaDuke، Animal Farm و  Careto/Mask آلوده شده است. به هنگامی که سعی در آنالیز آلودگی Regin در  این کامپیوتر نمودیم، ما مشخص ساختیم که ماژول دیگری نیز وجود دارد که ظاهراً به عنوان بخشی از آلودگی Regin و حتی دیگر آلودگی های APT به شمار نمی آید.
بررسی های متعاقب در ارتباط با این ماژول سبب شد تا قابلیت اکتشاف پلتفرم EQUATIONDRUG را به دست آوریم.
از طریق جستجوی مشابهت ها با استفاده از آنالیز آماری و همبستگی و همچنین انجام فرایندهای محوری مبتنی بر C&C، ما قابلیت مشخص سازی چندین خانواده دیگر از این بدافزار را حاصل آوردیم که تحت عناوین ذیل مشخص شده اند: DOUBLEFANTASY، EQUATIONLASER و FANN. تحقیقات بعدی قابلیت یافتن GRAYFISH و TRIPLEFANTASY را برای ما میسر نمود.
جزئیات قابل توجه دیگر بدین صورت مطرح شده است که چندین قربانی گروه معادله نیز وجود داشته اند که ظاهراً قبلاً به بدافزار Regin آلوده شده و حتی در یک مورد هر دو بدافزار Regin و EQUATIONDRUG نیز وجود داشته اند. چنین موردی سبب شد تا ما به این عقیده برسیم که این دو گروه متفاوت از یکدیگر هستند.

 

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Irantarjomeh
لطفا به جای کپی مقالات با خرید آنها به قیمتی بسیار متناسب مشخص شده ما را در ارانه هر چه بیشتر مقالات و مضامین ترجمه شده علمی و بهبود محتویات سایت ایران ترجمه یاری دهید.