IPIment ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

باج افزار

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen - تاکیان

بدافزار Drees Code بعد از 16 ماه هنوز هم فعال است

به نقل از سایت arstechnica ، سال گذشته کمپانی امنیتی Check Point از کشف بدافزاری به نام DressCode خبر داد که از موبایل قربانی، یک بات نت ساخته و امکان کنترل آن را برای هکرها فراهم می کردTakian.ir - DressCODE malware.این بدافزار خود را در قالب اپلیکیشن های سالم و عمدتا کودکانه پنهان ساخته اما پس از نصب به سیستم عامل نفوذ کرده و از فعالیت های کاربر جاسوسی می کند. حتی در صورت نفوذ بیشتر بدافزار مذکور می تواند به شبکه های خصوصی کاربر نیز دسترسی پیدا کرده و اطلاعات مهم را برای خود ارسال کند.اکنون و پس از گذشت 16 ماه از شناسایی DressCode یک هکر ثابت کرده که این بدافزار کماکان به فعالیت خود ادامه داده و تاکنون حدود 4 میلیون دستگاه را آلوده ساخته است.آلوده شدن دستگاه های اندروید به این بدافزار بسیار خطرناک است چرا که با استفاده از پروتکل های SOCKS موبایل را مستقیما به هکرها متصل می کند. مهاجمان در ادامه می توانند به شبکه های خانگی یا اداری متصل شده و به دیگر کامپیوترها و سیستم های متصل نفوذ کنند.این هکر اعلام کرده است که مهاجمان از سیستم های آلوده برای اجرای تبلیغات کلیکی استفاده می کنند که سود سرشاری را نصیب آنها می کند.در حال حاضر لیست جدیدی از اپلیکیشن های آلوده به این بدافزار در گوگل پلی منتشر نشده اما بسیاری از اپ های آلوده کماکان در مارکت های شخص ثالث از قبیل APKPure در دسترس قرار دارند.سال گذشته تیم امنیت سایبری TrendLabs اعلام کرد که DressCode در بیش از 3 هزار اپلیکیشن تعبیه شده که حداقل 400 مورد از آنها در گوگل پلی منتشر شده اند. برای مثال می توان به GTA V برای بازی Minecraft: Pocket Edition اشاره کرد که در همان زمان بیش از پانصد هزار بار در گوگل پلی استور دانلود شده بود.چند ماه قبل نیز کمپانی سیمنتک اعلام کرد که بدافزار Sockbot در قالب اپلیکیشن هایی که اسکین های مختلف را برای کارکترهای بازی ماینکرفت ارائه می دهند روی دستگاه قربانی نصب شده و آن را به بات تبدیل می سازد.یکی از راه های معمول مقابله با این بدافزارها تحت کنترل درآوردن سرورهای اجرا کننده آنها است که Sinkholing نام دارد، با این حال مشخص نیست گوگل در این زمینه چه گام هایی را برداشته است، با این حال ارائه این شواهد از فعالیت DressCode کارایی راهکاری گوگل برای مقابله با بدافزارهایی از این دست را زیر سوال می برد.

بدافزار جدیدی که اطلاعات مهم را از برنامه های پیام رسان سرقت میکند

Takian.ir Malware for Android messenger apps

به گزارش سایت www.2-spyware.com، کارشناسان امنیتی یک بدافزار جدید را کشف کردند که که بدون اجازه به دستگاه‌های اندروید وارد می‌شود و اقدام به دزدی اطلاعت شخصی تایپ شده در برنامه های پیام رسان میکند. این برنامه مخرب به عنوان یک ویروس ساده ولی موثر است که قادر به پنهان کردن حضور خود در دستگاه به صورت موثر است.

این تروجان برای حفظ پایداری خود، تلاش میکند که فایل "/ etc / install-recovery.sh" را بر روی دستگاه هدف تغییر دهد. اگر این تغییر موفقیت‌آمیز باشد، ویروس با هر بار راه‌اندازی دستگاه مجددا فعال می‌شود.
به نظر می‌رسد که هدف اولیه این بدافزار، دزدیدن اطلاعات از همه پیام رسان های نصب‌شده روی دستگاه است و سپس آن را به یک Remote Server ارسال می‌کند. آدرس IP سرور ذکر شده از یک فایل پیکربندی محلی بازیابی شده‌است.این بدافزار فعالیت خود را بر روی پیام رسان های زیر به نتیجه میرساند:

  • Skype
  • Facebook Messanger
  • Twitter
  • Viber
  • Telegram Messenger
  • Line
  • Weibo
  • Tencent WeChat
  • Walkie Talkie Messenger, etc.

همان طور که مشاهده میکنید اکثر پیام رسان های محبوب در سراسر جهان به منظور استخراج اطلاعات، تحت‌تاثیر قرار می‌گیرند.

پیکربندی مبهم مانع تشخیص بد افزارهای مخرب می شود

با وجود عملکرد ابتدایی این بدافزار، متوجه میشویم که از رویکرد پیچیده‌ای برخوردار است که در هنگام گریز از تشخیص از آن استفاده می‌کند.به طور معمول نرم افزارهای امنیتی نمیتوانند این تهدید را تشخیص دهند، زیرا فایل پیکربندی و یک قسمت از ماژولهای آن را مسدود میکند. تحلیل و انالیز پویا نیز براحتی مقدور نیست زیرا این بدافزار از قابلیت های ضد شبیه سازی (anti-emulator) و اشکال زدایی (debugger) ستفاده می‌کند.
محققان امنیتی متوجه شده‌اند که بدافزار در داخل کد منبع خود، یک strings را پنهان کرده‌است تا در معرض قرار نگیرد. سرور C & C و مقادیر دیگر در یک فایل پیکربندی قرار گرفته اند که به بدافزار کمک می‌کند تا با کنترلر خود ارتباط برقرار کند.
این بدافزار اولین بار در یک برنامه چینی بنام ماژول ابری (Cloud Module) پیدا شد و از پکیجی با نام com.android.boxa استفاده کرد. با این حال، به این دلیل که هیچ فروشگاه نرم افزارهای اندروید (Play Store) در چین وجود ندارد، بسیار محتمل است که تهدید مغرضانه از طریق وب سایت‌های شخص ثالث و سایت‌های اپلیکیشن آندروید توزیع شود.

داده‌های نشت شده ممکن است برای اهداف غیر قانونی استفاده شوند

حتی اگر داده‌های جمع‌آوری‌شده ممکن است اطلاعات حیاتی مانند کلمه عبور بانکی را افشا نکنند، می‌تواند اطلاعات مفید دیگری مانند محل ملاقات، پروژه‌ها، نام‌ها و غیره را جمع‌آوری کند. این داده‌ها می‌توانند برای تعیین اهداف و گرایش‌های سازمان‌ها به کار روند.علاوه بر این، می توان آن را برای کمپین های جاسوسی یا برای کسب اطلاعات در مورد کارکنان خاص برای اجرای کمپین های فیشینگ و آلوده کردن شبکه ها با ransomware یا تهدیدات سایبری مشابه استفاده کرد.
مدیر خدمات مشاوره‌ای EMEA، آقای Neil Haskins نگران شیوه و روش شرکت‌ها و کارمندانی است که اطلاعات حساس را اداره می‌کنند:

"بسیاری از سازمان‌ها زمان، پول و منابع را صرف امنیت پلتفرم های ایمیل با آخرین و بزرگ‌ترین تکنولوژی می‌کنند. آن‌ها اسناد پالیسی های پست الکترونیکی را بیرون می‌آورند و سپس به کاربران در مورد استفاده مناسب از ایمیل آموزش می‌دهند، و فراموش می‌کنند که کارمندان نیاز دارند که اطلاعات بیشتری در خصوص پیام رسان ها دریافت ‌کنند، و در حقیقت، چون ایمیل آن‌ها را مسدود می‌کنند، آن‌ها از پیغام رسان ها برای عبور از فیلترینگ ایمیل ها استفاده می‌کنند. این طبیعت انسان است. با توجه به این حقیقت که اکثر مردم برنامه‌های پیام‌رسانی چندگانه در لب تاپ‌ها، تبلت ها و تلفن‌های همراه دارند، میبینیم که سطح حمله بسیار عظیم است."

برای اجتناب از نشت داده‌های غیر ضروری، ما به کاربران Android توصیه می‌کنیم که هرگز برنامه‌های کاربردی را از طرف ثالث دانلود نکنند و تنها از گوگل و فروشگاه های معتبر برای این منظور استفاده کنند.

حملات جدید DDoS اکنون با Monero Ransom آغاز شده است

به گزارش سایت هکرید، پس از یک وقفه کوتاه حملات اختلال سرویس توزیع شده (DDoS) با رویکری تازه بازگشته است. از طرفی این حملات بسیار گسترده تر و ویرانگر شده اند.Takian.ir ddos attacks now launched with monero ransom notes

شرکت امنیت سایبری «Akamai» اعلام کرد که حملات اختلال سرویس توزیع شده با ویرانگری و ساز و کاری جدید، در زمینه تعداد قربانی رکورد شکنی کرده است. در روش جدید حملات اختلال سرویس از باج افزار ها استفاده میشود، به عبارتی دیگر از یک باج افزار برای دریافت باج و همزمان برای ایجاد اختلال در سیستم استفاده می شود.

 حملات اختلال سرویس از هفته گذشته افزایش چشمگیری پیدا کرده است و مشکلاتی را برای وب سایت ها ایجاد کرده اند که با اضافه کردن بار مضاعف دسترسی به سایت ها را مختل می کنند.

در حملات اختلال سرویس توضیع شده، در حدود 1.35 ترابایت در ثانیه از اطلاعات کاربران را رمز نگاری کرده و از کاربر درخواست باج می کند.

هدف از انجام این حملات فقط ایجاد اختلال نیست بلکه هکر ها به دنبال باج خواهی نیز هستند. طبق تحقیقات صورت گرفته تعدادی بالغ بر 50 هزار سیستم در معرض هک شدن هستند.

در کل حملات اختلال سرویس توزیع شده براساس ایجاد ترافیک دروغین موجبات مشکلاتی را برای مدیران سیستم رغم میزنند و از طرفی دیگر با بهره گیری از باج افزار ها به دنبال سرقت ارزهای دیجیتالی نیز هستند. همانطور که اشاره شد 50 هزار سیستم از ایمنی لازم برخوردار نبوده و نیازمند ایمن سازی هستند.

Takian.ir ddos attacks now launched with monero ransom notes code

سوء استفاده از منابع کاربران با بدافزار های موجود در یوتیوب

به نقل از سایت Lowyat ، در حالی که صدها ارز مجازی (Cryptocurrencies) در بازار حضور دارد ولی در این بین بیت کوین به خاطر نوسانات قیمت شدیدش در راس توجهات قرار گرفته است. با وجود اینکه عده ای به سادگی و از طریق درگاه های مخصوص این نوع ارزها را خریداری می کنند ولی تعدادی دیگر نیز سعی دارند با روش استخراج میلیونر شوند.در حالی که صدها ارز مجازی (Cryptocurrencies) در بازار حضور دارد ولی در این بین بیت کوین به خاطر نوسانات قیمت شدیدش در راس توجهات قرار گرفته است. با وجود اینکه عده ای به سادگی و از طریق درگاه های مخصوص این نوع ارزها را خریداری می کنند ولی تعدادی دیگر نیز سعی دارند با روش استخراج میلیونر شوند.

YouTube Mining Malware Ad
البته استخراج در موقعیت های محدودی راه مناسبی به شمار می رود ولی همچنان نیازمند هزینه های فراوان و تجهیزات قدرتمند است. اما اگر از منابع بقیه مردم استفاده شود چه اتفاقی می افتد؟ بعضی ها از همین روش کمک می گیرند، آن ها درون وب سایت ها یا ویدیوهای تبلیغاتی کدهای استخراج ارز مجازی می گذارند تا از کامپیوترهای بقیه استفاده کنند.
اکنون به نظر می رسد که به تازگی این نوع کدها به ویدیوهای تبلیغاتی یوتوب هم راه یافته اند. چند روز پیش برخی از کاربران توییتر اعلام کردند که آنتی ویروس آن ها هنگام تماشای ویدیوهای یوتوب متوجه حضور بدافزار می شود و حالا مشخص گردیده که علت این اتفاق کدهای استخراج مرزی مخفی تبلیغات یوتوب است.
با توجه به اطلاعات به دست آمده، تبلیغات دارای کد جاوا اسکریپتی هستند که ارز مونرو را استخراج می کنند. بنابراین کاربران همان موقع که از تماشای محتویات وب سایت ها لذت می برند، منابع کامپیوتر خود را نیز در اختیار سوء استفاده کنندگان قرار می دهند.
هر چند گوگل گفته این نوع تبلیغات بعد از دو ساعت پاک می شوند ولی گفته های ترند میکرو چیز دیگری را نشان می دهند؛ تبلیغات آلوده بعد از چند روز و حتی تا یک هفته حذف نشده اند. اگر می خواهید شما هم طعمه این روش نشوید، حتما یک آنتی ویروس مطمئن نصب کنید.

کاربران خانگی آماج اصلی باج‌افزارها

باج‌افزار تمام داده‌ها را برروی رایانه یا دستگاه تلفن همراه رمزگذاری کرده و دسترسی مالک آنها را به این داده‌ها مسدود می‌کند.Ransomware

سازندگان باج‌افزار، کاربران خانگی، کسب‌وکارها و نهادهای دولتی را مورد هجوم قرار می‌دهند و دلیل این هجوم می‌تواند عدم پشتیبان‌گیری داده‌ها، کمبود دانش امنیتی آنلاین، به‌روز نکردن نرم‌افزارها در کابران خانگی، آسیب‌پذیری سیستم‌های کامپیوتری در کسب‌وکارها و مدیریت پایگاه‌های اطلاعاتی عظیم شخصی و محرمانه توسط نهادهای دولتی باشد. باج‌افزار یک نوع نرم‌افزار مخرب (بدافزار) است که تمام داده‌ها را برروی رایانه یا دستگاه تلفن همراه رمزگذاری کرده و دسترسی مالک آنها را به این داده‌ها مسدود می‌کند. هنگامی که این آلوگی اتفاق می‌افتد، قربانی پیامی دریافت می‌کند که در آن دستورالعمل‌های چگونگی پرداخت باج (معمولا در بیت‌کوین‌ها) ارائه شده است. فرآیند اخاذی اغلب شامل محدودیت‌ زمانی برای پرداخت می‌شود. پرداخت جریمه هم باید کلید رمزگشایی را به قربانی بدهد اما هیچ تضمینی وجود ندارد که این اتفاق بیفتد.
دو نوع باج‌افزار رایج وجود دارد؛ باج‌افزار رمزگذاری که شامل الگوریتم‌های رمزنگاری پیشرفته است. این برنامه برای مسدود کردن فایل‌های سیستم و تقاضای باج است و برای دسترسی قربانی به آنها، کلیدی وجود دارد که می‌تواند محتوای مسدود شده را رمزگشایی کند.
نوع دیگر باج‌افزار مسدودکننده است که قربانی را به وسیله سیستم عامل مسدود می‌کند و امکان دسترسی به دسک‌تاپ و هر برنامه یا فایلی را غیرممکن می‌سازد. پرونده‌ها در این مورد رمزگذاری نمی‌شوند، اما مهاجمان باز هم برای کامپیوتر آلوده باج‌گیری می‌کنند.
باج‌افزار دارای برخی ویژگی‌های کلیدی است که آن را از  دیگر نرم‌افزارهای مخرب مجزا می‌کند؛ از ویژگی‌های آن رمزگذاری غیرقابل شکست است. بدان معنی که شما نمی‌توانید فایل‌ها را خودتان رمزگشایی کنید. باج‌افزار می‌تواند انواع فایل‌ها، از اسناد تا تصاویر، فایل‌های صوتی و سایر مواردی که ممکن است روی رایانه باشد، رمزگذاری کند.
همچنین باج‌افزار می‌تواند نام فایل‌ها را رمزگذاری کند، بنابراین نمی‌توان فهمید کدام اطلاعات تحت تاثیر قرار گرفته‌اند. این یکی از ترفندهای مهندسی اجتماعی است که برای جلب توجه و قربانی کردن قربانیان برای پرداخت باج استفاده می‌شود.باج افزار یک افزونه متفاوت به فایل‌ها اضافه خواهد کرد و گاهی اوقات یک نوع خاصی از آسیب، باج‌افزار را سیگنال می‌کند. باج‌افزار تصویر یا پیامی را نشان می‌دهد که نشان‌دهنده رمزگذاری شدن اطلاعات شما هست و برای بازگرداندن آنها مبلغ خاصی را از شما درخواست می‌کند همچنین درخواست پرداخت در بیت‌کوین را می‌دهد، زیرا این رمزگذاری نمی‌تواند توسط محققان امنیتی سایبری یا سازمان‌های قانونی انجام می‌شود.
معمولا این باج‌گیری‌ها محدودیت زمانی دارند تا سطح دیگری از محدودیت‌ها برای این طرح اخاذی، اضافه شود. معمولا گذشت از زمان سررسید به معنای افزایش باج است، اما این می‌تواند بدین معنا باشد که اطلاعات ناقص شده یا برای همیشه از بین رفته است.باج‌افزار همچنین از مجموعه پیچیده‌ای از تکنیک‌های گریز از آنتی‌ویروس‌های سنتی استفاده و اغلب رایانه‌های آلوده به بات‌نت را جذب می‌کند، بنابراین مجرمان اینترنتی می‌توانند زیرساخت‌های خود را افزایش دهند و حملات آینده را تقویت کنند و نیز می‌تواند به دیگر رایانه‌های شخصی متصل به شبکه محلی انتشار یابد و باعث ایجاد آسیب بیشتر شود.
اما اولین باج‌افزار در سال ۱۹۸۹ ظاهر شد. این تروجان ایدز نامیده می‌شد که امروزه عملیات modus آن را خنثی می‌کند. این باج‌افزار از طریق فلاپی دیسک پخش شد. اما ظهور بیت کوین و تکامل الگوریتم‌های رمزنگاری، باعث شد که باج‌افزار از یک تهدید جزئی که در خرابکاری‌های سایبری استفاده می‌شد، به یک ماشین پول‌سازی کامل تبدیل شود.
چرا کاربران خانگی، کسب‌وکارها و نهادهای دولتی مورد هجوم قرار می‌گیرند؟ اینکه چرا سازندگان و توزیع‌کنندگان باج‌افزار، کاربران خانگی را هدف قرار می‌دهند، دلایل متعددی دارد. زیرا کاربران خانگی پشتیبان‌گیری داده‌ها را ندارند، آموزش امنیت سایبری ندیده‌اند و ممکن است روی هر چیزی کلیک کنند. کمبود دانش امنیتی آنلاین باعث می‌شود تا مهاجمان سایبری بتوانند به راحتی دسترسی به اطلاعات‌شان داشته باشند.
کاربران خانگی حتی امنیت پایه سایبری را ندارند و نرم‌افزار خود را به روز نگه نمی‌دارند، آنها موفق به سرمایه‌گذاری در راه‌حل‌های امنیت سایبری نشده‌اند و به شانس اعتقاد دارند تا آنها را امن نگه دارد. اکثر کاربران خانگی هنوز به طور انحصاری به آنتی‌ویروس اعتماد می‌کنند تا از همه تهدیدات محفاظت شوند که اغلب در تشخیص و توقف باج‌افزار ناکارآمد هستند و بخش زیادی از کاربران اینترنتی، می‌توانند قربانیان بالقوه شوند.
اما سازندگان و توزیع‌کنندگان باج‌افزار، کسب‌وکارها را نیز به دلایل متعدد هدف قرار می‌دهند. زیرا در کسب‌وکارها پول زیادی وجود دارد، مهاجمان می‌دانند که یک آلودگی موفق می‌تواند باعث اختلال در کسب‌وکار بزرگ شود و شانس آنها جهت دریافت پول افزایش می‌یابد. سیستم‌های کامپیوتری در شرکت‌ها اغلب پیچیده و مستعد آسیب‌پذیری هستند که می‌توانند از طریق وسایل فنی مورد استفاده قرار گیرند.
بر اساس اطلاعات سایت مرکز ماهر، همچنین عامل انسانی هنوز یک مسئولیت بزرگ است که می‌تواند مورد سوءاستفاده قرار گیرد اما از طریق تاکتیک‌های مهندسی اجتماعی. باج‌افزار با نفوذ به هسته کسب‌وکار، می‌تواند نه تنها کامپیوترها را بلکه سرورها و سیستم‌ها به اشتراک‌گذاری فایل مبتنی بر ابر را نیز تحت تاثیر قرار دهد و همچنین کسب‌وکارهای کوچک اغلب آماده مقابله با حملات پیشرفته سایبری نیستند.
سازندگان و توزیع‌کنندگان باج‌افزار، نهادهای دولتی را نیز هدف قرار می‌دهند. موسسات دولتی مانند ادارات دولتی، پایگاه‌های اطلاعاتی عظیم شخصی و محرمانه را مدیریت می‌کنند که مجرمان سایبری می‌توانند آنها را به فروش برسانند. کاهش بودجه و مدیریت غیرمستقیم اغلب بر بخش‌های سایبری تاثیر می‌گذارد، همچنین کارکنان برای کشف و جلوگیری از حملات سایبری آموزش ندیده‌اند (نرم‌افزارهای مخرب اغلب از تاکتیک‌های مهندسی اجتماعی برای سوءاستفاده از ناهنجارهای انسانی و ضعف‌های روحی استفاده می‌کنند).
موسسات دولتی اغلب از نرم‌افزار و تجهیزات قدیمی استفاده می‌کنند، بدان معنی که سیستم‌های کامپیوتری آنها با حفره‌های امنیتی، پیکربندی می‌شود و مورد سوءاستفاده قرار می‌گیرند. یک آلودگی موفق تاثیر زیادی بر انجام فعالیت‌های معمول دارد و باعث اختلالات زیادی می‌شود و حمله موفقیت‌آمیز به نهادهای دولتی، جنایتکاران سایبری را برای حملات بیشتر وسوسه می‌کند.