IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

hidden mining

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

آیا واقعا نباید در تلگرام بر روی فایل های PNG کلیک کرد؟

اخیراً اخباری در شبکه های مجازی دست به دست میشود که نباید بر روی فایل های با پسوند png کلیک کرد. اما فلسفه این داستان چیست و آیا فقط بر روی این نوع پسوند نباید کلیک کرد؟ یا در مورد سایر پسوند ها نیز صادق است. در این مطلب سعی داریم این موضوع را موشکافی کنیم.

امروزه برای بسیاری از افراد پیام‌رسان به ابزار اصلی ارتباطات تبدیل شده است. قطعا نفوذگران نیز سعی در سوءاستفاده از این پیام‌رسان‌ها دارند تا از این طریق به دستگاه‌‌های افراد دسترسی یابند. اخیراً تروجان اندرویدی Skygofree، از پیام‌رسان‌های Facebook، Skype، Viberو WhatsAppجاسوسی می‌کرد، حال آلودگی چندمنظوره‌ی جدیدی توسط محققین کسپرسکی کشف شده است که رایانه‌های ثابت را هدف قرار می‌‌دهد و با شیوه‌‌ای بسیار هوشمندانه از طریق تلگرام توزیع می‌شود.مروزه برای بسیاری از افراد پیام‌رسان به ابزار اصلی ارتباطات تبدیل شده است. قطعا نفوذگران نیز سعی در سوءاستفاده از این پیام‌رسان‌ها دارند تا از این طریق به دستگاه‌‌های افراد دسترسی یابند.

اخیراً تروجان اندرویدی Skygofree، از پیام‌رسان‌های Facebook، Skype، Viberو WhatsAppجاسوسی می‌کرد، حال آلودگی چندمنظوره‌ی جدیدی توسط محققین کسپرسکی کشف شده است که رایانه‌های ثابت را هدف قرار می‌‌دهد و با شیوه‌‌ای بسیار هوشمندانه از طریق تلگرام توزیع می‌شود.
در بسیاری از زبان‌ها، مانند زبان عربی کلمات از راست به چپ نوشته می‌شوند. در استاندارد Unicodeنیز می‌توان جهت نمایش حروف را تغییر داد. کافی است تنها از یک نماد نامرئی خاص استفاده شود، پس از آن تمامی حروف به‌طور خودکار در جهت معکوس نمایش داده می‌شوند. هکرها از این قابلیت سوءاستفاده می‌کنند.
Takian.ir RLO in Telegram

فرض می‌شود مجرمی فایل مخرب cute_kitten.jsرا ایجاد کرده است. این فایل یک فایل جاوااسکریپت با پسوند JSاست که قابل اجرا است. نفوذگر می‌تواند نام آن را به صورت زیر تغییر دهد:

photo_high_re*U+202E*gnp.js.

در اینجا U + 202Eهمان کاراکتر Unicodeاست که جهت نمایش را تغییر میدهد. بنابراین نام این فایل در صفحه نمایش به صورت زیر است:

photo_high_resj.png

حال به نظر می‌رسد پسوند فایل PNGو یک فایل تصویری است، در حالیکه عملکردش همان تروجان جاوااسکریپت است (یکی از وظایف اصلی سازندگان تروجان‌ها این است که کاربر را متقاعد سازند خودش یک فایل مخرب را راه‌اندازی نماید. برای انجام این کار یک فایل مخرب را بی‌ضرر جلوه می‌دهند.).استفاده از Unicodeبرای تغییر نام یک فایل اتفاق جدیدی نیست. از تقریباً ده سال پیش برای پوشاندن پیوست‌های مخرب در رایانامه‌ها و فایل‌های اینترنتی دانلودشده مورداستفاده ‌بوده است؛ اما اولین باری است که در تلگرام استفاده شده است و معلوم شد که کار هم می‌کند. این آسیب‌پذیری RLO(Right to Left Override) نام دارد.
آسیب‌پذیری RLOتنها در نسخه‌ی ویندوزی تلگرام شناسایی شده است و در برنامه‌های تلفن‌همراه وجود ندارد. محققان کسپرسکی نه تنها به وجود این آسیب‌پذیری پی‌برده‌اند بلکه متوجه شدند مجرمان از آن سوءاستفاده نیز کرده‌اند. قربانی فایل تصویر غیرحقیقی را دریافت و آن را باز می‌کند و رایانه‌‌اش آلوده می‌شود. سیستم‌عامل در زمان اجرا به کاربر هشدار می‌دهد فایل اجرایی از منبعی ناشناس است (در صورتی که در تنظیمات غیرفعال نشده باشد)؛ اما متأسفانه بسیاری از کاربران بدون توجه به این پیام هشدار  بر روی “Run”یا “Start”کلیک می‌کنند.
 Takian.ir RLO in Telegram run
پس از اجرای فایل مخرب، بدافزار تصویری را به‌منظور جلب‌توجه کاربر نشان می‌دهد. پس از آن بسته به تنظیمات تروجان گزینه‌های مختلفی وجود دارد.
پس از کشف این آلودگی توسط محققان کسپرسکی و گزارش آن به توسعه‌دهندگان تلگرام، این مشکل را برطرف کردند، یعنی کلاهبرداران دیگر نمی‌توانند از این فریب در پیام‌رسان تلگرام استفاده کنند؛ اما این بدان معنی نیست که هیچ ‌آسیب‌پذیری دیگری در تلگرام یا دیگر پیام‌رسان‌های محبوب وجود ندارد. بنابراین برای حفاظت در برابر حملات جدید توصیه می‌شود قوانین ساده‌ی ایمنی در شبکه‌های اجتماعی، پیا‌م‌رسان‌های فوری یا هرگونه وسایل ارتباطی دیگری رعایت شود: 1 - عدم دانلود از منابع ناشناس  2 - توجه به هشدارهای سیستمی زمان بازکردن یک فایل  3 - نصب یک آنتی‌‌ویروس قابل اعتماد

 

عوامل سرقت Bitbucket و Docker Hub برای استخراج Monero شناسایی شدند

 

به گفته محققان حوزه امنیت، این منابع توسعه دهنده، سال گذشته نیز برای استخراج مونرو هدف قرار گرفته بودند اما "این بار به شکلی انتقام گونه دوباره ظاهر شده اند".

در سپتامبر 2020، تیم ناتیلوس شرکت آکوآ سکیوریتی کمپینی را کشف کرد که گیت هاب (GitHub) و داکر هاب (Docker Hub) را در راستای ایجاد فرایند استخراج رمزارز هدف قرار داده بودند. در آن زمان این شرکت، سازمان خدمات دهنده را مطلع کرده و حمله خنثی گردید.

طبق آخرین گزارش آکوآ سکیوریتی، همین کمپین دوباره و با شدت بیشتری ظاهر شده است. تنها در طی چهار روز، مهاجمان حدود 92 عامل مخرب و آلوده را در بیت باکت (Bitbucket) و 92 رجیستری آلوده را در داکر هاب با استفاده از تست نفوذ دینامیک آکوآ یا DTA قرار داده و بارگذاری کرده اند. هدف آنها از این کار، انجام استخراج رمزارز با استفاده از این منابع است.

فرآیند یکپارچه سازی منحصر بفرد

طبق گفته آساف موراگ، تحلیلگر ارشد داده شرکت آکوآ سکیوریتی، عاملین حمله یک روند یکپارچه مداوم و پیوسته را ایجاد کرده اند. این یک فرایند منحصر به فرد است، چرا که هر ساعت چندین فرایند ساخت فرایند اتوماتیک و خودکار را از نو آغاز میکند. در هر فرایند ساخت، آنها یک استخراج کننده رمزارز مونروی متفاوت را به اجرا در می آورند.

زنجیره حذف مستقیم

در این کمپین استخراج رمزارز، مهاجمان از یک زنجیره حذف مستقیم استفاده کرده اند. در مرحله اول مهاجمان چندین شناسه و اکانت ایمیل جعلی را از طریق یک سایت روسی ثبت میکنند و سپس برای قانونی جلوه دادن آنها، یک حساب بیت باکت با فضای نگهداری متعدد با استفاده از اسناد مستند و رسمی، ایجاد میکنند.

روش مشابهی نیز برای داکر هاب استفاده شده است، زیرا عوامل تهدیدکننده در حال ایجاد حساب هایی با ثبت نام های مختلف پیوسته و مرتبط به یکدیگر هستند. آنها پشتیبانی در محیط بیت باکت و داکر هاب ایجاد کرده و منابع آنها را برای استخراج غیرقانونی مونرو به سرقت میبرند.

takian.ir threat actors hijacking bitbucket and docker hub for monero mining

چگونه ایمن بمانیم؟

این کمپین ثابت میکند که محیط های ابری، هدف مورد علاقه فعلی مجرمان سایبری است.

موراگ در وبلاگ خود شرح میدهد که: "مهاجمین دائما در حال تکامل تکنیک های خود جهت سرقت و بهره برداری از منابع محاسبات ابری برای استخراج رمزارزها هستند".

آکوآ سکیوریتی توصیه میکند که کنترل دقیق دسترسی، تخصیص حداقل امتیازات و ایجاد فرایند شناسایی و احراز هویت در این محیط ها ضروری است.

محققان خاطر نشان کردند: " نظارت مداوم و محدود کردن ارتباطات با خارج از شبکه برای جلوگیری از سرقت داده ها و سوءاستفاده از منابع بسیار ضروری و مهم است".