شرح کلی
نوع: HackTool
درجه تخریب: زیاد
میزان شیوع: کم
اسامی بدافزار
- HackTool.Win32.ASPXSpy (Padvish)
- HackTool.Win32.ASPXSpy (Eset)
- Backdoor:MSIL/AspxSpy.A (Microsoft)
HackTool چیست؟
Hacktoolها ابزارهایی هستند که جهت کمک به نفوذ طراحی شدهاند. این ابزارها میتوانند توسط نفوذگر برای دریافت برخی اطلاعات از شبکه سازمان قربانی استفاده شوند. معمولا از این ابزارها به منظور بازیابی اطلاعات اعتبارسنجی سرورهای حساس قربانی استفاده میشود. به عنوان مثال نفوذگر میتواند برای حدس زدن کلمات عبور از ابزارهای Hacktool مبتنی بر حملات Brute Force استفاده کند. در برخی موارد نیز برای بالا بردن سطح دسترسی و سوء استفاده از آسیبپذیریهای موجود، از HackToolها استفاده میشود. به طور کلی ابزارهای هک برنامههایی هستند که میتوانند با شکستن سدهای امنیتی رایانه و شبکه، قابلیتهای مختلفی برای نفوذ به سیستمها مهیا کنند.
بدافزار ASPXSpy چیست؟
ASPXSpy ابزار نفوذی در سطح وب است که به زبان برنامهنویسی aspx. پیادهسازی شده و به صورت متن باز در سطح اینترنت قابل دسترس است. این ابزار پس از استقرار روی سرورهای قربانی قابلیت ارسال مشخصات سرور قربانی به مهاجم، انجام عملیات پویش پورت، اعمال تغییرات مورد نظر مهاجم در سیستم فایل، رجیستری، پایگاه دادههای قربانی و اجرای دستورهای خط فرمان مهاجم را فراهم میسازد.
توضیحات فنی
علائم آلودگی
علائم آلودگی این بدافزار، با توجه به دستورهای دریافتی از مهاجم میتواند متغیر باشد.
شرح عملکرد
این ابزار ابتدا با فرم ورود زیر، رمز عبور را از مهاجم دریافت و سپس امکانات پیادهسازی شده را در اختیار مهاجم قرار میدهد. در نمونههای در اختیار، رمز عبور، رشته “admin” بوده است.
🔸 نمونهای از امکانات این ابزار در تصویر زیر مشخص است:
🔸همانگونه که در تصویر بالا مشخص است، ابزار نفوذ ASPXSpy قابلیتهای گوناگونی را در اختیار مهاجم قرار میدهد که به شرح موارد مذکور در جدول زیر است :
نام قابلیت | شرح قابلیت |
File Manager | امکان کار با سیستم فایل سرور قربانی و حذف/ ایجاد/ ویرایش/ تغییر نام/ کپی/ تغییر زمان فایل، دانلود/ آپلود فایل |
File Search | امکان جستجو در محتوای هر یک از فایلهای سرور قربانی و تغییر آن |
CmdShell | امکان اجرای دستورهای خط فرمان مورد نظر مهاجم با استفاده از cmd.exe و ارسال خروجی به مهاجم |
IIS Spy | نمایش مشخصات وب سرور شامل نام کاربری و پسورد کاربر، استخراج مواردی شامل نام وب سرور، نام دامنه، آدرس IP و شماره پورت نظیر شده به وب سرور |
Process | نمایش فهرست پردازههای جاری سیستم شامل نام پردازه، شناسه، تعداد تردها، اولویت اجرا و امکان خاتمه دادن به آنها |
Services | نمایش فهرست سرویسهای ثبت شده در سیستم شامل نام، شناسه پردازه متناظر با آن، مسیر فایل اجرایی، وضعیت فعلی سرویس و وضعیت شروع آن |
UserInfo | نمایش کاربران سیستم و مشخصات آنها |
SysInfo | نمایش مشخصات سیستم شامل اطلاعات سیستم عامل و مشخصات سختافزاری، اطلاعات درایورهای نصب شده روی سرور و آدرس(های) Mac |
RegShell | امکان کار با رجیستری سرور قربانی و مشاهده/ حذف/ ایجاد/ ویرایش کلیدهای رجیستری |
PortScan | امکان پویش پورتهای مورد نظر مهاجم روی سرور فعلی یا سرورهای خارجی |
DataBase | امکان اتصال و اجرای پرسوجو برای پایگاه دادههای از نوع MSSQL و OleDb |
PortMap | امکان پیادهسازی عملیات Port Forwarding، نگاشت ارتباط ریموت به آدرس IP و پورت محلی |
WmiTools | امکان اتصال به فضاهای نام (namespaces) سرور قربانی و اجرای پرسوجوهای Wmi |
PluginLoader | آپلود و بارگذاری یک فایل در حافظه پردازه فعلی |
ADSViewer | امکان مشاهده اکتیو دایرکتوری سرور قربانی به همراه ویژگیها و زیر دایرکتوریهای آنها |
🔸 در تصویر زیر، کد مربوط به قابلیت PluginLoader در نمونهای از این بدافزار آورده شده است:
روش مقابله و پاکسازی سیستم
آنتی ویروس پادویش این بدافزار را شناسایی و از سیستم حذف میکند. همچنین توصیه میشود، سیستمعامل و آنتیویروس خود را همیشه به روز نگه دارید.