IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

آنتی ویروس

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

IQY پسوند فایل جذاب هکرها برای عبور از آنتی ویروس

براساس پست منتشر شده در وبلاگ یکی از متخصصان امنیتی با نام Barkly، چالش جدید پیام‌های اسپم(Spam) به جای سوءاستفاده از فایل‌های Word یا سایر فایل‌های معمول، از فایل‌های iqy. استفاده می‌نماید. این فایل‌هاى ساده متنی به صورت پیش فرض با نرم‌افزار اکسل باز شده و برای دریافت اطلاعات از اینترنت مورد استفاده قرار می‌گیرند.  Takian.ir iqy file attack

این رویکرد می‌تواند برای عبور از نرم‌افزارهای آنتی ویروس و نصب تروجان‌های دسترسی از راه دور موسوم به FlawedAmmyy  و ایجاد کد نفوذ برای دسترسی از راه دور نرم‌افزارAmmyy Admin مورد استفاده قرار گیرد.

محققان می‌گویند اولین بار این مسئله توسط کاربری به آیدی @dvk01uk با اولین موج پیام‌های Spam که از این شیوه استفاده می‌نمود، شناسایی شده است. این موج در 25 می امسال به وقوع پیوست و متعاقب آن موج کوچکتری در 5 جوئن شناسایی شد. موج سوم نیز در 7 جوئن کشف گردید.

ایمیل‌هایی که ارسال شده‌اند محتوای خاصی نداشته و اساسا محتوای آن‌ها از انواع متداولی است که انتظار داریم. ایمیل‌ها در موج اول حملات دارای عنوان "صورتحساب پرداخت نشده" بود که در ظاهر، شخصی از طرف یک سازمان آن را ارسال نموده است.

وقتی این فایل‌ها باز می‌شوند سعی می‌کنند از آدرس URL که در اختیار دارند، داده دریافت نمایند. سپس نرم افزار اکسل از این آدرس داده‌هایی را دریافت می‌کند که این داده‌ها اسکریپت‌های PoweShell می‌باشند.

خوشبختانه نرم‌افزار آفیس به صورت پیش فرض محتواهای خارجی را مسدود می‌نماید و به کاربران هشدار می‌دهد. اما همیشه این شانس وجود دارد که کاربر ماکروها را فعال نماید. به محض اینکه این قابلیت فعال شود فایل iqy می‌تواند بدون ‌محدودیت اسکریپت‌های PowerShell  را دانلود نماید. مجوز دیگری نیز از قربانی خواسته می‌شود که در صورت موافقت با مجموعه‌ای از دانلودها حمله ادامه یافته و بدون محدودیت به بدافزار FlawedAmmyy  متصل می‌شود.Takian.ir iqy file malware downloader

به گفته جیمز لین(James Lyne) مدیر تحقیقات و توسعه موسسه SANS، یک گام اساسی برای مقابله با گونه‌های جدید، امنیت لایه بندی شده با کنترل‌های چندگانه در زمان اجرا(Runtime) می‌باشد.

وی افزود: "میزان انتشار این بدافزار کمتر از حد متوسط است با این حال از فروشندگان محصولات می‌خواهیم سریعا سیاست‌ها و محصولات خود را به روزرسانی نمایند. سازمان‌ها نیز در صورتی که به این نوع از فایل‌ها(iqy) نیازی ندارند دسترسی به آن‌ها را مسدود نمایند."

نیل شفیلد (Niall Sheffield) کارشناس امنیتی می‌گوید: " این نوع حملات به نوع خاصی از متدها دلالت دارد که عوامل مخرب برای عبور از آنتی ویروس‌ها مورد استفاده قرار می‌دهند. استفاده از یک فایل‌فرمت فراموش شده که آنتی ویروس توانایی اسکن و تعامل با آن را ندارد، بهره برداری از آن و بارگذاری در حافظه و سپس حصول نتیجه مورد نظر".

پاول داکلین (Paul Ducklin) کارشناس ارشد تکنولوژی نیز در این باره گفت: "استفاده از فرمت IQY ممکن است در پیام‌هایSpam موضوع جدیدی باشد اما در حملات سایبری مسئله جدیدی نیست." وی ادامه داد: "بسیاری از آنتی ویروس‌ها از شما محافظت می‌کنند در حالی جزئیاتی از نحوه نفوذ مهاجمان و کلاهبرداران در اختیار قرار نمی‌دهند." – که آیا این تهدید از طریق لینک فیشینگ در یک ایمیل، از طریق فایل‌های پیوست با فرمت‌های مختلف، یک سایت آلوده و یا از طريق یک درایو USB رخ داده است.

اتهام کلاه برداری چندین میلیون دلاری جان مک آفی، از بزرگان آنتی ویروس مک آفی با سوء استفاده از رمزارزها

 

مک آفی در دادگاه فدرال به دلیل طرح هایی که تبلیغات ارزهای رمزارز را در رسانه ها گسترش، نشر و ارتقا میدهند، متهم به کلاه برداری شده است.

وزارت دادگستری ایالات متحده آمریکا روز جمعه گفت که جان مک آفی، پیشگام نرم افزار آنتی ویروس، که شرکت سابق وی هنوز نام او را یدک میکشد، به جرم کلاه برداری و اقداماتی در راستای پولشوئی حاصل از دو طرح رمزارز، متهم شده است.

مقامات رسمی، مک آفی و محافظ او (جیمی گیل واتسون جونیور) را متهم کرده اند که در ذیل توییت های مخاطبین عظیم اکانت توییتر مک آفی با الگوی pump-and-pump، برای آلت-کوین ها تورم مصنوعی ایجاد کرده و همچنین مبالغی که مک آفی از مشاغل استارتاپی برای تبلیغ رمزارزها دریافت کرده را مخفی و متعاقبا سواستفاده کرده است.

بنا به گفته وزارت دادگستری ایالات متحده، مک آفی و همدستانش بیش از 13 میلیون دلار از این طریق منتفع شده و برداشت کرده اند. کمیسیون معاملات آتی کالاها، اتهامات مدنی مربوطه را در رابطه با طرح ادعا شده pump-and-pump مطرح کرده است.

وکلای مک آفی و واتسون تا کنون مشخص و یا شناسایی نشده اند.

وزرات دادگستری اعلام کرده است که مک آفی پس از دستگیری در اسپانیا به اتهام فرار مالیاتی که در ماه اکتبر اعلام شده بود، هم اکنون نیز در بازداشت به سر میبرد. واتسون نویز پنجشنبه شب دستگیر شده است.

هر دوی آنها همچنین از سوی کمیسیون بورس و اوراق بهادار ایالات متحده، که در ماه اکتبر مک آفی را به پنهان کاری بیش از 23 میلیون دلار بخاطر ایجاد تورم مصنوعی هفت رمزارز در توییتر متهم کرده بود، با این اتهام هم روبرو هستند.

مک آفی در سال 2012 و پس از بازجویی از وی در مورد مرگ همسایه خود و هنگام فرار از خانه خود در بلیز، بشدت زیر ذره بین رسانه ها قرار گرفت. آنها در نهایت اعلام کردند که او دیگر مظنون نیست.

در پرونده رمزارزها، مقامات اعلام داشته اند که مک آفی دارایی های خود را از جمله Verge، Reddcoin و Dodgecoin در قالب طرح تبلیغاتی در قالب توییتر با نامهای "سکه روز" و یا "سکه هفته" از حدود دسامبر 2017 تا فوریه 2018 تبلیغ میکرده است.

مقامات افزوده اند که مک آفی از طریق توییت ها، سخنرانی ها و نقش خود به عنوان مدیرعامل یک شرکت رمزارز در بازار عمومی، خود را به عنوان یک متخصص امنیت سایبری و رمزارزها معرفی کرده است.

آنها همچنین وی را متهم کردند که  او به دنبال کنندگان خود حتی هنگامی که اظهار کرده است که آنها "جهان را تغییر خواهند داد"، گفته است که هیچ سهمی و نقشی در رمزارزها نداشته و ندارد.

بررسی ترفندهای بدافزارها برای دور زدن ضد باج افزارها در آنتی ویروس ها

takian.ir malware can use this trick to bypass antivirus solutions 1محققان نقاط ضعف امنیتی قابل ملاحظه ای را در برنامه های نرم افزاری مشهور شناسایی کرده اند که می تواند برای غیرفعال کردن ساختار محافظتی از آنها سوءاستفاده شود و کنترل برنامه های مجاز در سیستم کاربر را با بهره گیری از بدافزار برای عبور از سد ساختار دفاعی ضد باج افزارها، برای انجام اقدامات خطر آفرین در دست بگیرند.

این حملات دوگانه که توسط اعضای دانشگاه لوکزامبورگ و دانشگاه لندن شرح داده شده اند، با هدف دور زدن امکان محافظت از فولدرها که توسط برنامه های آنتی ویروس ارائه شده، رمزگذاری فایل ها (معروف به "Cut-and-Mouse") و غیرفعال کردن محفاظت از آنها با شبیه سازی اعمال کلیک ماوس (معروف به "Ghost Control")، انجام میشود.

پروفسور گابریل لنزینی، دانشمند ارشد مرکز بین رشته ای امنیت، اتکا و اطمینان در دانشگاه لوکزامبورگ، گفته است: "ارائه دهندگان نرم افزار آنتی ویروس همیشه سطح بالایی از امنیت را ارائه می دهند که آنها را تبدیل به یک عنصر اساسی در مبارزه روزمره با مجرمان سایبری کرده است. اما آنها در حال رقابت با جنایتكارانی هستند كه هم اكنون منابع، قدرت و همچنین تعلق خاطر بیشتری دارند".

به بیان دیگر، کمبودهای موجود در نرم افزار کاهش مخاطرات بدافزاری نه تنها نمی تواند به کد غیر مجازی اجازه دهد که ویژگی های محافظتی آنها را غیرفعال کند، بلکه نقص طراحی در امنیت فولدرهای محافظت شده که توسط تامین کنندگان و سازندگان آنتی ویروس عرضه شده است، میتواند توسط عواملی مورد سوءاستفاده واقع شود؛ مثلاً باج افزار محتویات فایل ها را با استفاده از امکان تغییر در ساختار نگارش از پیش دیده شده برای دسترسی به فولدر و رمزگذاری داده های کاربر تغییر میدهد، یا از یک ابزار پاک کننده برای از بین بردن غیرقابل بازگشت فایل های شخصی قربانیان استفاده میکند.

فولدرهای محافظت شده به کاربران این امکان را می دهند تا فولدرهایی را که به یک لایه محافظت اضافی در برابر نرم افزار مخرب نیاز دارند، مشخص کرده و بدین ترتیب دسترسی غیر ایمن به فولدرهای محافظت شده را مسدود کنند.

محققان اعلام کرده اند: "به مجموعه كمی از برنامه های موجود در لیست سفید، امتیاز تغییرات در فولدرهای محافظت شده اعطا می شود. با این حال، برنامه های موجود در لیست سفید از سوءاستفاده توسط برنامه های دیگر در امان نمیمانند. بنابراین، اعتماد کردن به این ساختار معقول نیست، زیرا یک بدافزار می تواند با استفاده از برنامه های لیست سفید به عنوان واسطه، روی فولدرهای محافظت شده، عملیات مد نظر خود را انجام دهد".

takian.ir malware can use this trick to bypass antivirus solutions 2

یک سناریوی حمله که توسط محققان کشف شد، نشان داد که می توان از یک کد مخرب برای کنترل یک برنامه معتبر مانند Notepad برای انجام عملیات نوشتن و رمزگذاری فایل های قربانی که در فولدرهای محافظت شده ذخیره شده است، استفاده کرد. برای این منظور، باج افزار پرونده های موجود در پوشه ها را بررسی کرده، در حافظه خود رمزگذاری کرده و در کلیپ بورد سیستم کپی می کند و به دنبال آن، باج افزار Notepad را راه اندازی می کند تا محتوای پوشه را با داده کلیپ بورد بازنویسی و جایگزین نماید.

محققان دریافتند که حتی در موارد بدتر، توالی حمله فوق الذکر می تواند برای بازنویسی و جایگزینی فایل های کاربر با یک تصویر تصادفی ایجاد شده توسط نرم افزار Paint (به عنوان یک برنامه قابل اعتماد)، برای از بین بردن و حذف دائمی و قطعی فایل های کاربر استفاده شود.

از طرف دیگر، حمله Ghost Control می تواند عواقب جدی و خاص خود را به همراه داشته باشد، زیرا با غیرفعال کردن حفاظت قطعی در مقابل بدافزار بوسیله شبیه سازی اقدامات کاربر قانونی که مشخصا روی رابط کاربری یک نرم افزار آنتی ویروس انجام می شود، می تواند به مهاجم و عامل حمله اجازه دهد هر برنامه غیرقانونی و مخربی را از یک سرور کنترل از راه دور مهاجم، وارد و اجرا کند.

از 29 نرم افزار آنتی ویروس ارزیابی شده در طول مطالعه، 14 مورد از آنها در برابر حمله Ghost آسیب پذیر تشخیص داده شدند؛ از سویی نیز مشخص شد که همه 29 برنامه آنتی ویروس آزمایش شده در مقابل حمله Cut-and-Mouse آسیب پذیر هستند. محققان از تامین کنندگان و سازندگان این برنامه های آنتی ویروس که تحت تاثیر این آزمایشات قرار گرفته اند، نام نبرده اند.

takian.ir malware can use this trick to bypass antivirus solutions 3

اگر چنین چیزی صحت داشته باشد، نتایج یادآور این نکته حائز اهمیت است که حتی راه حل های امنیتی که به وضوح برای محافظت از دارایی های دیجیتال یک مجموعه در برابر حملات بدافزار طراحی شده اند، می توانند از ضعف هایی رنج ببرند و به طبع هدف نهایی آنها را که همانا محافظت و تامین امنیت است، با شکست مواجه میشود. حتی در حالی که ارائه دهندگان نرم افزار آنتی ویروس به ارتقا ساختار دفاعی خود ادامه می دهند، طراحان بدافزار با بهره گیری تاکتیک های فرار و مبهم سازی، از چنین موانعی عبور کرده اند. نیازی به ذکر نیست اما حتی با استفاده از ورودی های آلوده و از طریق حملات آلوده کننده، تشخیص رفتاری نرم افزارهای تامین امنیت را سردرگم کرده و آنها را دور می زنند.

محققان اعلام کرده اند: "سازگاری و ترکیب پذیری ایمن، یک مشکل شناخته شده در مهندسی امنیت است. اجزا وقتی که جدا از هم در نظر گرفته شوند، سطح حمله مشخصی را پوشش می دهند و در مقابل هنگامی که در یک سیستم ادغام می شوند، سطح وسیع تری ایجاد می کنند. اجزا با یکدیگر تعامل دارند و با سایر قسمتهای سیستم پویایی ایجاد می کنند و از طرفی اگر توسط طراح این تدبیر پیش بینی نشده باشد، یک مهاجم نیز می تواند با آن ها در تعامل باشد".

سوء استفاده از منابع کاربران با بدافزار های موجود در یوتیوب

به نقل از سایت Lowyat ، در حالی که صدها ارز مجازی (Cryptocurrencies) در بازار حضور دارد ولی در این بین بیت کوین به خاطر نوسانات قیمت شدیدش در راس توجهات قرار گرفته است. با وجود اینکه عده ای به سادگی و از طریق درگاه های مخصوص این نوع ارزها را خریداری می کنند ولی تعدادی دیگر نیز سعی دارند با روش استخراج میلیونر شوند.در حالی که صدها ارز مجازی (Cryptocurrencies) در بازار حضور دارد ولی در این بین بیت کوین به خاطر نوسانات قیمت شدیدش در راس توجهات قرار گرفته است. با وجود اینکه عده ای به سادگی و از طریق درگاه های مخصوص این نوع ارزها را خریداری می کنند ولی تعدادی دیگر نیز سعی دارند با روش استخراج میلیونر شوند.

YouTube Mining Malware Ad
البته استخراج در موقعیت های محدودی راه مناسبی به شمار می رود ولی همچنان نیازمند هزینه های فراوان و تجهیزات قدرتمند است. اما اگر از منابع بقیه مردم استفاده شود چه اتفاقی می افتد؟ بعضی ها از همین روش کمک می گیرند، آن ها درون وب سایت ها یا ویدیوهای تبلیغاتی کدهای استخراج ارز مجازی می گذارند تا از کامپیوترهای بقیه استفاده کنند.
اکنون به نظر می رسد که به تازگی این نوع کدها به ویدیوهای تبلیغاتی یوتوب هم راه یافته اند. چند روز پیش برخی از کاربران توییتر اعلام کردند که آنتی ویروس آن ها هنگام تماشای ویدیوهای یوتوب متوجه حضور بدافزار می شود و حالا مشخص گردیده که علت این اتفاق کدهای استخراج مرزی مخفی تبلیغات یوتوب است.
با توجه به اطلاعات به دست آمده، تبلیغات دارای کد جاوا اسکریپتی هستند که ارز مونرو را استخراج می کنند. بنابراین کاربران همان موقع که از تماشای محتویات وب سایت ها لذت می برند، منابع کامپیوتر خود را نیز در اختیار سوء استفاده کنندگان قرار می دهند.
هر چند گوگل گفته این نوع تبلیغات بعد از دو ساعت پاک می شوند ولی گفته های ترند میکرو چیز دیگری را نشان می دهند؛ تبلیغات آلوده بعد از چند روز و حتی تا یک هفته حذف نشده اند. اگر می خواهید شما هم طعمه این روش نشوید، حتما یک آنتی ویروس مطمئن نصب کنید.