حدود 52.000 سرور فرماندهی و کنترل(Command & Control , C&C) بدافزار یا Malware که به دلیل یک زنجیرهی آلودگی به نام EITest ، روزانه 2 میلیون بد افزار به طور پیوسته پخش میکردند، از کار انداخته شدند.
EITest یک Infection Chain یا به عبارتی زنجیره ای از آلودگیهای مخرب و پیچیدهی سیستمی است که مرتبط با بدافزار است و کاربران را از یک وبسایت در معرض خطر، به صفحات بارگذاری (Exploit Kit (EK، روشهای مهندسی اجتماعی و خطرات بالقوه سوق میدهد.
EITest یکی از قدیمیترین و بزرگترین Infection Chainهاست که با انتشار Ransomware و بدافزارهای دیگر و همچنین سرقت اطلاعات، انواع مختلفی از آلودگیهای مخرب سیستمی را پخش مینماید. در سالهای اخیر، EITest یکی از فروشندگان اصلی ترافیک مخرب به عاملان (Exploit Kit (EK و عاملان مهندسی اجتماعی از طریق وبسایتهای در معرض خطر است.
سابقهی آلودگی EITest با Exploit Kit
در ابتدا در سال 2017، محققان پی بردند که EITest از انواع مختلفی از تاکتیکهای مهندسی اجتماعی استفاده مینماید و EITest در سال 2013 مسیر کاربران را به یک EK خصوصی به نام Glazunov تغییر میداد و همچنین در همان سال شروع به آلوده کردن زیرساختهای جدید نمود. مدتی بعد نیز، EITest کاربران را به سمت (Exploit Kit (EK هدایت کرد. انگیزهی اصلی این عامل خطرآفرین برای پخش تروجان Zaccess و Glazunov، یک (Exploit Kit (EK خصوصی بود که تنها توسط عاملان EITest مورد استفاده قرار میگرفت. EITest مجددا در سال 2014 با الگوی آلودهسازی تازهای ظاهر شد و با یک Payload جدید با 2 دستهبندی مجزا شروع به خرابکاری در شبکه نمود:
- فروش بارها (loadها) یا همان Infectionها
- فروش ترافیک (به عاملان دیگر، فروشندگان بار و یا هردو)
زنجیرهی آلودگی اخیر از طریق EITest، عمدتا برای مهندسی اجتماعی و کلاهبرداریهای پشتیبانی فنی است که نهایتا به آلوده شدن توسط Ransomware یا باجافزار ختم میگردد.
از کار انداختن سرورهای مخرب با عملیات Sinkholing
درپی تحقیقات به عمل آمده، توسط کارشناسان، دامین جدیدی ایجاد گردید و برای عملیات EITest که به یک آدرس IP جدید هدایتشده، عملیات Sinkholing (تغییر مسیر ترافیک از مقصد اصلی خود) را انجام میداد و با ایجاد آن دامینهای جدید توانستند سرور مخرب را با یک Sinkhole تعویض کنند تا ترافیک را از Backdoorهای روی وبسایتهای در معرض خطر دریافت نمایند. آنها در ادامه توانستند این وبسایتها را از C&Cهای EITest جدا کرده و در نتیجه مراجعهکنندگان را از ترافیک و ورودیهای مخرب نجات دهند.
محققان، ترافیکی را که از این عملیات Sinkhole استفاده میکرد، آنالیز نمودند و مشاهده کردند که بین 15 مارس تا 4 آوریل 2018، Sinkhole از حدود 52.000 سرور تقریبا 44 میلیون درخواست داشته است. آنها همچنین درخواستهای مخرب را کدبرداری نموده و لیستی از دامینهای در معرض خطر و همچنین آدرسهای IP و Agentهای کاربرِ مربوط به کاربرانی که سرورهای در معرض خطر را مرور کرده بودند، را یافتند.
وبسایتهای در معرض خطر، سیستمهای مدیریت محتوای متعدد و وبسایتهای WordPress بودند، که بیشترین آلودگی را در بین وبسایتها را داشتند.
نشانههای در معرض خطر بودن (IOCها) در زیر ارائه شده است:
| IOC | IOC Type | Description |
| 54dfa1cb[.]com|31.184.192.163 | domain|ip | (EITest C&C (before sinkholing |
| e5b57288[.]com|31.184.192.173 | domain|ip | (EITest C&C (before sinkholing |
| 33db9538[.]com|31.184.192.173 | domain|ip | (EITest C&C (before sinkholing |
| 9507c4e8[.]com|31.184.192.163 | domain|ip | (EITest C&C (before sinkholing |
| 04d92810[.]com | domain | EITest Sinkhole |
| c84c8098[.]com | domain | EITest Sinkhole |
| e42d078d[.]com | domain | EITest Sinkhole |
| 498296c9[.]com | domain | EITest Sinkhole |
| stat-dns[.]com | domain | Seized domain controlling the DGA |
