Hacktool.Win32.ASPXSpy.a

شرح کلی

نوع: HackTool
درجه تخریب: زیاد
میزان شیوع: کم

اسامی بدافزار

  • HackTool.Win32.ASPXSpy (Padvish)
  • HackTool.Win32.ASPXSpy (Eset)
  • Backdoor:MSIL/AspxSpy.A (Microsoft)

HackTool چیست؟

Hacktoolها ابزارهایی هستند که جهت کمک به نفوذ طراحی شده‌اند. این ابزارها می‌توانند توسط نفوذگر برای دریافت برخی اطلاعات از شبکه سازمان قربانی استفاده شوند. معمولا از این ابزارها به منظور بازیابی اطلاعات اعتبارسنجی سرورهای حساس قربانی استفاده می‌شود. به عنوان مثال نفوذگر می‌تواند برای حدس زدن کلمات عبور از ابزارهای Hacktool مبتنی بر حملات Brute Force استفاده کند. در برخی موارد نیز برای بالا بردن سطح دسترسی و سوء استفاده از آسیب‌پذیری‌های موجود، از HackToolها استفاده می‌شود. به طور کلی ابزارهای هک برنامه‌هایی هستند که می‌توانند با شکستن سدهای امنیتی رایانه و شبکه، قابلیت‌های مختلفی برای نفوذ به سیستم‌ها مهیا کنند.

بدافزار ASPXSpy چیست؟

ASPXSpy ابزار نفوذی در سطح وب است که به زبان برنامه‌نویسی aspx. پیاده‌سازی شده و به صورت متن باز در سطح اینترنت قابل دسترس است. این ابزار پس از استقرار روی سرورهای قربانی قابلیت ارسال مشخصات سرور قربانی به مهاجم، انجام عملیات پویش پورت، اعمال تغییرات مورد نظر مهاجم در سیستم فایل، رجیستری، پایگاه داده‌های قربانی و اجرای دستورهای خط فرمان مهاجم را فراهم می‌سازد.

توضیحات فنی

علائم آلودگی

علائم آلودگی این بدافزار، با توجه به دستورهای دریافتی از مهاجم می‌تواند متغیر باشد.

شرح عملکرد

این ابزار ابتدا با فرم ورود زیر، رمز عبور را از مهاجم دریافت و سپس امکانات پیاده‌سازی شده را در اختیار مهاجم قرار می‌دهد. در نمونه‌های در اختیار، رمز عبور، رشته “admin” بوده است.

AspxSpy شرح عملکرد

🔸 نمونه‌ای از امکانات این ابزار در تصویر زیر مشخص است:

 امکانات ابزار AspxSpy

🔸همان‌گونه که در تصویر بالا مشخص است، ابزار نفوذ ASPXSpy قابلیت‌های گوناگونی را در اختیار مهاجم قرار می‌دهد که به شرح موارد مذکور در جدول زیر است :

نام قابلیت شرح قابلیت
File Manager امکان کار با سیستم فایل سرور قربانی و حذف/ ایجاد/ ویرایش/ تغییر نام/ کپی/ تغییر زمان فایل، دانلود/ آپلود فایل
File Search امکان جستجو در محتوای هر یک از فایل‌های سرور قربانی و تغییر آن
CmdShell امکان اجرای دستورهای خط فرمان مورد نظر مهاجم با استفاده از cmd.exe و ارسال خروجی به مهاجم
IIS Spy نمایش مشخصات وب سرور شامل نام کاربری و پسورد کاربر، استخراج مواردی شامل نام وب سرور، نام دامنه، آدرس IP و شماره پورت نظیر شده به وب سرور
Process نمایش فهرست پردازه‌های جاری سیستم شامل نام پردازه، شناسه، تعداد تردها، اولویت اجرا و امکان خاتمه دادن به آنها
Services نمایش فهرست سرویس‌های ثبت شده در سیستم شامل نام، شناسه پردازه متناظر با آن، مسیر فایل اجرایی، وضعیت فعلی سرویس و وضعیت شروع آن
UserInfo نمایش کاربران سیستم و مشخصات آنها
SysInfo نمایش مشخصات سیستم شامل اطلاعات سیستم عامل و مشخصات سخت‌افزاری، اطلاعات درایورهای نصب شده روی سرور و آدرس(های) Mac
RegShell امکان کار با رجیستری سرور قربانی و مشاهده/ حذف/ ایجاد/ ویرایش کلیدهای رجیستری
PortScan امکان پویش پورت‌های مورد نظر مهاجم روی سرور فعلی یا سرورهای خارجی
DataBase امکان اتصال و اجرای پرس‌وجو برای پایگاه داده‌های از نوع MSSQL و OleDb
PortMap امکان پیاده‌سازی عملیات Port Forwarding، نگاشت ارتباط ریموت به آدرس IP و پورت محلی
WmiTools امکان اتصال به فضاهای نام (namespaces) سرور قربانی و اجرای پرس‌وجوهای Wmi
PluginLoader آپلود و بارگذاری یک فایل در حافظه پردازه فعلی
ADSViewer امکان مشاهده اکتیو دایرکتوری‌ سرور قربانی به همراه ویژگی‌ها و زیر دایرکتوری‌های آنها

🔸 در تصویر زیر، کد مربوط به قابلیت PluginLoader در نمونه‌ای از این بدافزار آورده شده است:

کد مربوط به قابلیت PluginLoader بدافزار

روش مقابله و پاک‌سازی سیستم

آنتی ویروس پادویش این بدافزار را شناسایی و از سیستم حذف می‌کند. همچنین توصیه می‌شود، سیستم‌عامل و آنتی‌ویروس خود را همیشه به روز نگه دارید.