آموزش سایبری تقریباً 30 سال پیش به عنوان یک بعد فنی برای متخصصان فناوری اطلاعات آغاز شد؛ اما با گسترش فناوری و اینترنت، نیاز به آموزش از سطح افراد نخبه به سطح همه کارکنانی که با استفاده از رایانه و دسترسی به فایل ها سر و کار دارند، تغییر یافت. در دهه گذشته، آموزش سایبری به آموزش سیستم مدیریت یادگیری (LMS) با تأکید بر فیشینگ متمرکز شد. اما علی رغم این، حملات فیشینگ "که بیش از 80٪ از موارد امنیتی گزارش شده" را به خود اختصاص میدهند، روند افزایشی داشته اند.

 

چرا تست های فیشینگ جوابگو نیستند؟
همزمان با افزایش پیچیدگی و فراوانی حملات فیشینگ، شرکتهای جدیدی در قالب ارائه حملات "فیشینگ" کارمندان یک سازمان ظاهر شدند. دلیل اصلی این نوع ترفندها "آزمایش" کارمندان بوده است. این اعتقاد وجود داشت که با فیشینگ یک کارمند، سازمان ها می توانند به نوعی از افتادن کارمندان در دام حملات فیشینگ در دنیای واقعی جلوگیری کنند.

اما فیشینگ یک فرم ثابت از حمله نیست. میلیون ها نوع مختلف فیشینگ وجود دارد. مجرمان پیام های مختلفی را امتحان می کنند و روزانه آنها را تغییر می دهند تا در نهایت ببینند کدام یک از آنها موثر واقع میشود. یک فرد ماهر و متبحر فقط با دانستن چند نکته مهم در مورد یک سازمان، می تواند به نرخ کلیک 80٪ بر روی یک ایمیل فیشینگ دست یابد.

فیشینگ یک کارمند به عنوان نوعی آموزش کارایی ندارد. نه تنها بسیار کلی است (چرا که غالباً فقط یک نوع خاص از ایمیل را در بر می گیرد)، بلکه کارمند را به سمت مهارت کافی برای تشخیص حملات جدید سوق نمیدهد. از آن بدتر، این کار مانند یک رویکرد تنبیهی است که کارمندان را عصبی و گاهی درمانده می کند؛ و حتی اگر هرگونه تغییر رفتاری نیزدر آن کارمند ایجاد کند، آن نوعی نیست که یک سازمان واقعاً نیازمند آن باشد.

 

فناوری جدید، آموزش جدید، خرد و هوشیاری پایدار
آموزش سنتی امنیت سایبری می تواند بصورت فردی یا مبتنی بر LMS باشد و به طور معمول در یک جلسه 30 تا 60 دقیقه ای آموزش مقدماتی، سالی یکبار انجام شود. در طول سال نیز امکان ارائه چند یادآوری تصویری به صورت ایمیل یا پوستر وجود دارد. اما صرف نظر از تغییرات جزئی، آموزش سنتی به طور کل جوابگو نیست. هر دو مورد محتوا و ارائه باید سریع و به روز باشند تا با فضای امنیتی سایبری که به طور مداوم تغییر می کند، امکان ارتباط داشته باشند. رویکردهای جدید در زمینه آموزش آگاهی از امنیت سایبری شامل تغییر رویکرد به سمت دستگاه های تلفن همراه، ارتباطات روزانه یا هفتگی، تعاملات تیمی و اداری، ایجاد رقابت دوستانه با تابلوی امتیاز، محتوای مربوط به آن صنعت خاص و آموزش کوتاه تری به نام یادگیری خرد.

آموزش هایی که حول محور یادگیری خرد ساخته شده اند به خاطر سپرده می شوند. تحقیقات پیشگامانه هرمان ابینگهاوس در اواخر دهه 1800 بود که "کشف کرد که با نبود هیچ گونه تقویت و یا ارتباطی با دانش قبلی، اطلاعات به سرعت فراموش می شوند؛ تقریباً 56٪ در یک ساعت، 66٪ پس از یک روز و 75٪ پس از شش روز". برای افزایش توانایی حفظ، ایجاد هرچه بیشتر ارتباط و تکرار اطلاعات ضروری میباشد. یک ساعت آموزش (یا بدتر از آن: با زمان طولانی تر) سالی یکبار، نحوه مناسبی برای یادگیری و حفظ اطلاعات توسط افراد نیست. مردم از مرور مستمر و ساختن مفهوم بر بنیان مفهوم، یاد می گیرند؛ درست مثل این که سالی یکبار برای تناسب اندام عضلات به باشگاه برویم، ذهن نیز همانند یک عضله است. برای حفظ و بهبود عملکرد، روزانه و با دوز کم تمرین و تمرین و ممارست کنید. آن جلسات روزانه استعاره از یادگیری خرد هستند که باعث ایجاد بهترین عملکرد ذهن میشوند.

 

اجتناب از حملات سایبری
آموزش امنیت سایبری اولین راهی است که سازمان ها می توانند با آن، به جلوگیری از جرایم اینترنتی کمک کنند. طبق تجزیه و تحلیل CybSafe از داده های دفتر کمیساریای اطلاعات انگلستان، 90٪ موارد نقض را می توان به خطای انسانی مرتبط دانست. این نقض ها، چه بخاطر پیکربندی شبکه باشد، چه بخاطر آموزش ناکافی کاربر نهایی، نهایتا افراد سازمان را آسیب پذیر یا مستحکم می کنند. در اینجا 5 روش برای کمک به سازمان خود در مبارزه با جرایم اینترنتی آورده شده است:

کارمندان را به طور مکرر آموزش دهید؛ سازمانها باید برای آنچه مهم است وقت اختصاص دهند. درک اهمیت یک پیام، اهمیت آن را تقویت می کند. اغلب به کارمندان یادآوری کنید که واقعاً چه رفتارهایی مهم است. همچنین به یاد داشته باشید که مردم به روش های مختلفی یاد می گیرند. شنیدن پیام در قالب های مختلف به کارمندان کمک می کند تا اطلاعات را بهتر جذب کرده و راحت تر به آنها دسترسی پیدا کنند.

مدیریت رمز عبور؛ رمزهای عبور به معنای واقعی کلمه کلیدهای اقلیم پادشاهی هستند. راهکارهای مدیریت رمز عبور را برای مدیران فراهم کنید تا بتوانند رمزهای عبور خود ردیابی کرده و از یادداشت کردن آنها بر روی برگه های در مجاورت رایانه اجتناب کنند.

پچ‌ کردن مکرر؛ بروزرسانی نرم افزار نقش بسیار مهمی در مسدود کردن رخنه های آسیب پذیری دارد. آسیب پذیری های شناخته شده بطور روزانه توسط مجرمان مورد حمله قرار می گیرند. "60٪ از موارد نقض شامل آسیب پذیری هایی است که پچ برای آنها ارائه شده، اما نصب نشده اند". به طور مرتب بروزرسانی کرده و پچ‌ ها را نصب کنید.

کاربران از راه دور؛ برای دسترسی ایمن تر به داده های حساس VPN و فایروال ارائه دهید. اصلا تصور نکنید که کارمندان به درستی روترها را تنظیم کرده اند یا پروتکل های WiFi ایمن را در خانه دنبال می کنند. اطمینان حاصل کنید که به آنها راهنمایی هایی لازم ارائه شده است که اطلاعات شرکت را هنگام کار در خانه ایمن نگه دارند.
پشتیبان گیری؛ به طور منظم از سیستم و اطلاعات مهم خود پشتیبان تهیه کنید. این پشتیبان ها را در جایی امن و جدا از شبکه خود نگه دارید. باج افزارها پیچیده تر و پرخاشگرتر می شوند، اما پشتیبان گیری از اطلاعات مهم باعث آرامش خاطر میشود و در هنگام حملات باج افزار هم به پیشگیری و هم به روند بازگشت کمک می کند.

حملات سایبری تغییر مکان داده و تکامل می یابند؛ آموزش باید ادامه داشته باشد. اگرچه تقریباً 30 سال است که آموزش سایبری وجود دارد، اما این آموزش تازه در آغاز قرار دارد. آموزش امنیت سایبری باید به معنای واقعی آموخته و اعمال شده و بهتر و متناسب با نیازهای فرد و سازمان ادامه بیابد. بنابراین، بیشتر آموزش دهید، تمرین کنید و به نحو کارآمد تمرین کنید.

به گزارش سایت هک رید؛ تاکنون به کرات در اخبار، به واکاوی و بررسی وضعیت امنیت احراز هویت 2 مرحله ‌ای پرداخته شده و در برخی مواقع، غیرقابل نفوذ بودن این احراز هویت‌ها در بعضی سرویس‌ها مطرح شده است. البته در همه‌ی موارد، با فرض این مسئله که کاربران از دستگاه تلفن همراه خود، به خوبی مراقبت می‌کنند، امنیت احراز هویت 2 مرحله‌ای تأیید شده است.

بیشتر برنامه های رایانه ای، برای افزایش امنیت خود، از تأیید 2 مرحله ای را پیشنهاد می کنند و باور دارند که امکان دور زدن آن وجود ندارد. اما هم اکنون هکرها به روشی دست یافتند که به آسانی از این شیوه حفاظتی از طریق حملات فیشینگ عبور می کنند.

در این زمینه، هکرها به کمک حملات فیشینگ و جانمایی بدافزار «KnowBe4» می توانند اطلاعات مربوط به تأیید 2 مرحله ای را سرقت کرده، فرآیند تشخیص هویت را دور بزنند.

شرکت «Mitnick» -که در زمینه هک و نفوذ فعالیت می نماید- طی یادداشتی اعلام کرد: بدافزار «KnowBe4»، بیش از 17 هزار سازمان و نهاد را تحت تأثیر قرار داده است. این بدافزار، به یاری حملات فیشینگ، وارد دستگاه های رایانه ای می شود.

روش پیشین -که برای دور زدن تشخیص هویت 2 مرحله ای ارائه شد- به این ترتیب بود که اطلاعات با بهره گیری از روش ‌های مهندسی اجتماعی و سایر یورش های سنتی، علیه گذرواژه ‌ها انجام می گرفت و داشتنی های زیر، مورد نیاز بودند:

•    شناسه و گذرواژه‌ی حساب کاربری قربانی
•    شماره‌ تلفن همراه قربانی که سرویس احراز هویت 2 مرحله‌ای روی آن تعریف شده است
•    سرویس جعل شماره‌ی همراه
•    شماره‌ی رایانامه صوتی به منظور دسترسی از راه دور

اما در روشی نوین، هکرها با فرستادن رایانامه های فیشینگ، بدافزار بالا را به سامانه کاربران وارد می کنند و مقدمات سرقت اطلاعات مربوط به تأیید هویت 2 مرحله ای را فراهم می نمایند.

 

یک تهدید امنیتی دیگر در اکوسیستم باج افزاری به قصد هدف قرار دادن مشاغل و شرکت ها ظاهر شده است. این بدافزار که به نام Lorenz شناخته میشود، یک باج افزار جدید است که از استراتژی باج گیری مضاعف برای درآمدزایی استفاده می کند.

 

درباره بدافزارLorenz

لیتست هکنیگ نیوز گزارش داده که بلیپینگ کامپیوتر اخیراً جزئیات باج افزار Lorenz (لورنز) را که به تازگی ظاهر و شناسایی شده را به اشتراک گذاشته است. حدود یک ماه از آغاز فعالیت این باج افزار میگذرد و از آن زمان شرکت های زیادی را هدف حملات باج افزاری خود قرار داده است.

به طور خلاصه، این باج افزار درست مانند بقیه، با در اختیار گرفتن شبکه های آنها، از کسب و کارها و شرکت ها باج می گیرد. پس از آلودگی، لورنز به صورت جانبی بر روی شبکه هدف گسترش یافته و پخش میشود تا درنهایت به اعتبارنامه مدیر دامنه ویندوز برسد.

همانطور که این باج افزار گسترش می یابد، داده های رمزگذاری نشده قربانی را مرتباً اضافه و نگهداری می کند و به سرورهای خود می فرستد. به همین سادگی لورنز به لیست باج افزارهای دیگری که باج گیری دو یا سه برابری انجام می دهند، اضافه میشود.

لورنز پس از تثبیت خود و سرقت داده ها، ضمن افزودن پسوند ".Lorenz.sz40" به نام فایل ها، داده ها را رمزگذاری می کند.

گرچه همه اینها برای یک باج افزار معمول و رایج به نظر میرسد اما لورنز نیز برخی از استراتژی های منحصر به فرد را در این زمینه میتواند به نمایش بگذارد.

در ابتدا لورنز یک بدافزار سفارشی سازی شده قابل اجرا برای قربانی هدف خود ارائه داده و در سیستم هدف اجرا میکند. همچنین، گروه بدافزاری برای هر قربانی یک سایت اختصاصی پرداخت بر پایه Tor ایجاد می کند.

علاوه بر این، بدافزار برخلاف سایر باج افزارها، فرایندها یا سرویس های ویندوز را قبل از رمزگذاری از بین نبرده و غیرفعال نمیکند.

در مورد باج نیز، این باند معمولاً تقاضای زیادی و بین 500 تا 700 هزار دلار مطالبه میکند. عدم پرداخت این باج، مهاجمان را به سمت آغاز فرایند انتشار اطلاعات سرقت شده در دارک وب هدایت می کند.

در ابتدا گروه لورنز، فروش داده ها به رقبا را در اولویت قرار میدهند. سپس تا پایان مهلت پرداخت باج، شروع به بایگانی داده های محافظت شده با رمز عبور می کنند. بعد از پایان مهلت، آنها به راحتی رمز عبور را نیز منتشر می کنند و به طبع آن داده ها را در دسترس عموم قرار می دهند.

باز هم، آنچه لورنز را منحصر به فرد می کند این است که آنها نه تنها اطلاعات سرقت شده را فاش می کنند. بلکه آنها دسترسی به شبکه داخلی قربانی را نیز نشت داده و افشا میکنند.

 

ظاهرا این بدافزار نوعیThunderCrypt است

در حالی که لورنز رفتار تا حدودی متمایز از خود نشان می دهد، به نظر می رسد که این باج افزار اساساً نوع دیگری از باج افزار ThunderCrypt است.

در حال حاضر تاکنون با ادامه تجزیه و تحلیل این باج افزار، جزئیات زیاد و جدیدی در مورد لورنز در دسترس قرار نگرفته است. با این وجود در مدت زمان کوتاهی، سایت نشت و افشای اطلاعات متعلق به آنها نشان می دهد که باج افزار تا کنون حدود 12 قربانی مختلف را هدف قرار داده است. در این میان، آنها اطلاعات سرقت شده از 10 مورد را فاش و منتشر کرده اند!

 

محققان امنیت سایبری نسبت به ادامه بازگشت بدافزار مخرب TrickBot به عرصه فضای سایبری هشدار داده و به صراحت اعلام کرده اند که گروه فراملی جرایم سایبری مستقر در روسیه در واکنش به تلاش های متقابل اخیر سازمان تامین امنیت، در پشت صحنه این بدافزار تلاش می کند تا زیرساخت های خود را برای حمله دوباره بهبود بخشیده و بازسازی کند.

کمپانی Bitdefender در یک مقاله فنی که روز دوشنبه منتشر شد که حاکی از افزایش پیچیدگی تاکتیکهای این گروه بود، بیان داشت: "از قابلیت های جدید کشف شده و با استفاده از یک پروتکل ارتباطی سفارشی برای پنهان کردن انتقال داده ها بین سرورها (command-and-control) و قربانیان، برای نظارت و جمع آوری اطلاعات مربوط به قربانیان استفاده می گردد که این مسئله تشخیص حملات را دشوار کرده است".

محققان خاطرنشان کردند: "Trickbot هیچ نشانه ای از کاهش روند سرعت، از خود نشان نداده است".

بات نت ها (Botnets) هنگامی تشکیل می شوند که صدها یا هزاران دستگاه هک شده در شبکه ای که توسط اپراتورهای خرابکار اداره می شود، مورد استفاده قرار گیرند و اغلب برای حملات denial-of-network به مشاغل و زیرساخت های مهم بوسیله ایجاد ترافیک جعلی با هدف غیر فعال کردن و آفلاین کردن آنها استفاده می شوند. از سویی با کنترل این دستگاه ها، عاملان مخرب همچنین می توانند از بات نت ها برای گسترش بدافزار و هرزنامه و یا استقرار باج افزار رمزگذاری فایل در رایانه های آلوده استفاده کنند.

بدافزار TrickBot نیز تفاوتی از این نظر ندارد. باند مشهور جرایم رایانه ای در پشت این عملیات قرار دارند (که Wizard Spider نامیده می شود) سابقه بهره برداری از تجهیزات های آلوده برای سرقت اطلاعات حساس، گردش جانبی در سراسر شبکه و حتی تبدیل شدن به یک لودر برای بدافزارهای دیگر مانند باج افزار را دارد؛ و در حالی این اقدامات را انجام میدهد که به طور توامان زنجیره آلودگی خود را با افزودن ماژول هایی با قابلیت جدید برای افزایش کارایی آن نیز گسترش می دهد.

آزمایشگاه Black Lotus لومن در اکتبر گذشته اعلام کرد: "TrickBot برای استفاده یک زیرساخت پیچیده ایجاد شده است که سرورهای شخص ثالث را به خطر می اندازد و از آنها برای میزبانی بدافزار استفاده می کند. این بدافزار همچنین وسایل مصرفی مانند روترهای DSL را آلوده میکند و اپراتورهای خرابکار آن به طور مداوم آدرس IP و میزبان آلوده خود را عوض میکنند تا با این اختلال امکان کشف جرم آنها تا حد ممکن دشوار شود".

این بات نت از دو تلاش برای غیرفعالسازی مایکروسافت و فرماندهی سایبری ایالات متحده در حالی که اپراتورها در حال ساخت اجزای میان افزار بودند که می توانست به هکرها اجازه دهد یک backdoor در Unified Extensible Firmware Interface (UEFI) نصب کنند، فرار کرده است. و همچنین این امکان را برای آنها فراهم میکرد که از احتمال شناسایی توسط آنتی ویروس رهایی یافته، از بروزرسانی نرم افزار جلوگیری کنند و یا حتی سیستم عامل را بطور کامل پاک کنند و یا اینکه سیستم عامل رایانه را مجددا نصب نماید.

اکنون طبق گفته Bitdefender، عامل تهدید به طور فعال در حال توسعه یک نسخه به روز شده از یک ماژول به نام "vncDll" است که آن را در برابر اهداف با ویژگی های سطح بالا برای نظارت و جمع آوری اطلاعات به کار می برد. نسخه جدید نیز "tvncDll" نامگذاری شده است.

ماژول جدید برای برقراری ارتباط با یکی از نه سرور فرمان و کنترل (C2) تعریف شده در فایل پیکربندی آن استفاده شده است، و از آن برای بازیابی مجموعه ای از دستورات حمله، دانلود payload های بیشتر بدافزارها و بازگشت سیستم به عقب و سرور استفاده می شود. علاوه بر این، محققان گفته اند که آنها "ابزاری برای مشاهده" که مهاجمان برای ارتباط با قربانیان از طریق سرورهای C2 استفاده می کنند را شناسایی کردند.

گرچه تلاش برای از بین بردن عملیات این باند به طور کامل موفقیت آمیز نبوده است، اما مایکروسافت به دیلی بیست گفت که با ارائه دهندگان خدمات اینترنت (ISP) کار می کند تا خانه به خانه روترهای سازگار با بدافزار Trickbot در برزیل و آمریکای لاتین را جایگزین نماید؛ که این عمل باعث گردید که به طور موثری بدافزار Trickbot از زیرساخت های افغانستان خارج و بیرون رانده شود.

 

یک بدافزار که با اقداماتی چون هدف قرار دادن سیستم عامل macOS شناخته میشد، بار دیگر به روز شده است تا ویژگی های بیشتری را به مجموعه حملات خود اضافه کند. این ویژگی های جدید به مهاجم امکان می دهد داده های حساس ذخیره شده در برنامه های مختلف از جمله برنامه هایی مانند Google Chrome و Telegram را به عنوان بخشی از امکانات جدید خود با نام "اصلاحات در تاکتیک ها"، جمع آوری کرده و یا حتی از بین ببرد.

بدافزار XCSSET در ماه آگوست سال 2020 و زمانی که مشخص شد هدفگیری توسعه دهندگان Mac با استفاده از یک روش غیر معمول توزیع که شامل تزریق دیتای مخرب به پروژه های Xcode IDE‍یست که در زمان ساخت پرونده های پروژه در Xcode اجرا شده است، کشف شد.

این بدافزار دارای قابلیت های بی شماری از جمله خواندن و دامپینگ کوکی های Safari، تزریق کد مخرب جاوا اسکریپت به وب سایت های مختلف، سرقت اطلاعات از برنامه هایی مانند Notes ،WeChat ،Skype ،Telegram و رمزگذاری فایل های کاربر است.

به نقل از هکر نیوز، اوایل آوریل امسال، XCSSET یک ارتقا و برزورسانی را دریافت کرد که به کدنویسان بدافزار امکان می دهد macOS 11 Big Sur و همچنین Mac هایی را که با چیپ ست M1 کار می کنند، با دور زدن پالیسی های امنیتی جدیدی که اپل در جدیدترین سیستم عامل ایجاد کرده است، هدف قرار دهند.

محققان Trend Micro قبلاً اشاره کرده بودند که: "این بدافزار اوپن تول خود را از سرور C2 متعلق به خود که از قبل با امضای ad-hoc امضا شده را دانلود میکند؛ در حالی که اگر در نسخه های MacOS نسخه 10.15 و پایین تر بود، همچنان برای اجرای برنامه ها از اوپن کامند داخلی سیستم استفاده می کرد".

بر اساس نوشته جدیدی که روز پنجشنبه توسط شرکت امنیت سایبری منتشر شد، مشخص گردید که XCSSET یک فایل مخرب AppleScript را برای فشرده سازی فولدر حاوی داده های تلگرام ("~ / Library / Group Containers / 6N38VWS5BX.ru.keepcoder.Telegram") ) را در یک فایل بایگانی ZIP و قبل از بارگذاری آن در یک سرور از راه دور تحت کنترل مهاجمین، اجرا مینماید. و به متعاقب آن عامل تهدید را قادر می سازد با استفاده از حساب های قربانی وارد سیستم شود.

با استفاده از گوگل کروم، بدافزار سعی می کند رمزهای عبور ذخیره شده در مرورگر وب را که به نوبه خود با استفاده از یک رمز عبور اصلی به نام "کلید ذخیره سازی امن" رمزگذاری می شوند، را دزدیده و با سواستفاده از مجوزهای جعلی، کاربر را به اعطای اختیارات اصلی از طریق دیالوگ باکس جعلی، برای اجرای یک دستور shell غیرمجاز جهت بازیابی رمز اصلی از iCloud Keychain، که تحت آن محتویات رمزگشایی شده و به سرور منتقل می شوند، ترغیب نماید.

جدا از کروم و تلگرام، XCSSET همچنین با بازیابی داده های گفته شده از فهرست های sandbox مربوطه خود، توانایی به سرقت بردن اطلاعات ارزشمند از برنامه های مختلف مانند Evernote ،Opera ،Skype ،WeChat و برنامه های تماس و یادداشت های خود اپل را نیز دارد.

محققان اعلام کرده اند: "کشف چگونگی سرقت اطلاعات از برنامه های مختلف، درجه و میزان تلاش بدافزار برای سرقت انواع متنوع اطلاعات از سیستم های آسیب دیده را برجسته می کند".

محققان روز سه شنبه یک بدافزار جدید را شناسایی کردند که با استفاده از ترفندهای مختلف، در حالی که به طور پنهانی قادر به اجرای دستورات دلخواه بر روی سیستم های آلوده است، از شناسایی در امان مانده و فرار می کند.

بر اساس تحلیلی که امروز توسط تراست ویو منتشر شده است، بدافزار ویندوزی با نام "Pingback" از تونل پروتکل پیام کنترل اینترنت یا ICMP برای ارتباطات مخفی بات استفاده می کند و به مهاجم اجازه می دهد تا از پکت های ICMP برای کد کردن حمله پیگی بک استفاده کند.

به گزارش هکر نیوز، بدافزار Pingback (oci.dll) با بارگیری از طریق یک سرویس قانونی موسوم به MSDTC (Microsoft Distributed Transaction Coordinator)، (مولفه ای که مسئولیت رسیدگی به عملیات پایگاه داده را در چندین ماشین توزیع می کند) با استفاده از روشی به نام سرقت دستورات جستجوی DLL که شامل استفاده از یک برنامه اصلی برای بارگیری مجدد یک فایل DLL مخرب است، به این مهم دست می یابد.

محققان از این بدافزار به عنوان یکی از افزونه هایی که نیازمند بهره گیری و پشتیبانی از اینترفیس Oracle ODBC در MSDTC به عنوان فاکتور اساسی برای حملات است، نام برده اند. در حالی که MSDTC به شکلی پیکربندی نشده است که هنگام راه اندازی سیستم  به صورت خودکار اجرا شود، در یک نمونه ثبت شده در VirusTotal در ماه جولای سال 2020، این نمونه کشف شده برای نصب فایل DLL در دایرکتوری سیستم ویندوز و راه اندازی سرویس MSDTC برای دستیابی به پایداری بوده است که به طبع این احتمال را به وجود آورده است که یک دستور اجرایی جداگانه برای نصب این بدافزار بسیار ضروری و مهم می باشد.

 

پس از اجرای موفقیت آمیز،Pingback  متوسل به استفاده از پروتکل ICMP برای ارتباطات اصلی خود می شود. ICMP یک پروتکل لایه ای شبکه است که عمدتا برای ارسال پیام های خطا و اطلاعات عملیاتی، مانند هشدار ناموفق بودن هنگام در دسترس نبودن میزبان دیگر استفاده می شود.

به طور ویژه، Pingback از یک درخواست Echo (پیام ICMP نوع 8)، با شماره دنباله پیام 1234، 1235 و 1236 که نوع اطلاعات موجود در بسته را نشان می دهد، استفاده می کند (1234 یک فرمان یا داده است و 1235 و 1236 به عنوان تأییدیه برای دریافت داده ها در نقطه مقابل هستند). برخی از دستورات پشتیبانی شده توسط بدافزار شامل قابلیت اجرای دستورات دلخواه shell، بارگیری و بارگذاری فایل ها از و به هاست مهاجم و اجرای دستورات مخرب بر روی دستگاه آلوده است.

تحقیقات در مورد مسیر نفوذ اولیه بدافزار در حال انجام است.

محققان اعلام کرده اند: "ICMP Tunneling چیز جدیدی نیست، اما این نمونه خاص موجب برانگیختگی علاقه ما به عنوان نمونه واقعی بدافزاری که با استفاده از این روش از شناسایی شدن جلوگیری میکند، شده است. ICMP برای تشخیص و عملکرد اتصالات IP مفید است، اما از طرفی دیگر می تواند توسط سوءاستفاده کنندگان برای اسکن و الگو برداری و مپینگ شبکه هدف بهره برداری شود. اگرچه ما پیشنهاد نمی کنیم ICMP غیرفعال شود، اما پیشنهادمان این است که حتما نظارت لازم برای کمک به شناسایی چنین ارتباطات پنهانی از طریق ICMP را به کار بگیرید".

به گزارش سایت ویروس ریمووا، بدافزاری جدید یافت شده که با سوء استفاده از سیستم های کامپیوتری آنها را به یک بات نت، برای گسترش بیشتر خود تبدیل می نماید.

نام این بدافزار «MyloBot» بوده است و در بازه زمانی برگزاری انتخابات آمریکا گسترش یافته است.

از طرفی این بدافزار بیشتر از طریق فضای دارک وب منتشر شده، زیرا بیش از 50 هزار سایت تبهکاری، جاسوسی و... در دارک وب وجود دارد که جولانگاه مناسبی برای بدافزارها است.

به طور معمول بدافزار های مختلفی در سطح جهان وجود دارد، اما پیچیدگی در طراحی و عملکرد این بدافزار ها آنها را متفاوت می کند.

بات نت «botnet MyloBot» سیستم قربانیان را به بردگی گرفته و علاوه بر آلوده کردن خود سیستم از رایانه قربانی برای انتشار بیشتر خود، سوء استفاده می کند.

به طور کلی هدف قرار گرفت سامانه کامپیوتری عبارت اند از: در اختیار گرفتن میزبانی، سرقت اطلاعات، نصب باج افزار، نصب بدافزار، غیر فعال کردن آنتی ویروس و....

بات نت یاد شده علاوه بر توانایی های فوق، سیستم قربانی را به یک منتشر کننده بات نت تبدیل می کند. این امکان بسیار منحصر به فرد بوده و گسترش این بات نت را هموار می سازد.

این بات نت پس از ورود به سیستم کاربر «Windows Defender» را غیر فعال کرده، به روز رسانی ها را میبندد، درگاه های خاص فایروال ویندوز را غیر فعال کرده و سپس در پوشه ای به نام « %APPDATA%» بدافزار قرار می دهد.

سیستم رایانه ای قربانی همانند بات نت زامبی به دنبال آلوده کردن سیستم های دیگر است.

این بدافزار در دارک وب منتشر شده و به سرعت گسترش یافته است، زیرا برخی هکرها از این نوع بات نت ها برای تخریب طیف گسترده ای از سیستم ها استفاده می کنند. به طور مثال هکرها با آلوده کردن چند سیستم رایانه ای در یک نهاد یا سازمان و تبدیل آن به زامبی برای آلوده کردن سامانه های دیگر بهره می برند.

بدافزارهای مخرب جاسوسی
محققان امنیتی، یک کمپین جاسوسی سایبری بسیار هدفمند کشف کرده اند که گفته می شود با یک گروه هک شده در پس تروجان KHRAT همراه است و سازمان ها را در جنوب شرق آسیا هدف قرار داده است.به گفته محققان از Palo Alto، این گروه هک که RANCOR نامیده می شوند، با استفاده از دو خانواده جدید بدافزار PLAINTEE و DDKONG پیدا شده است که هدف اصلی آنها در سنگاپور و کامبوج قرار دارد.با این حال، در سال های گذشته، تهدید کنندگان تروجان KHRAT با یک گروه جاسوسی سایبری چینی، شناخته شده به عنوان DragonOK لینک شده اند.
محققان در حالی که مشغول نظارت بر زیرساخت های C&C مرتبط با تروجان KHRATبودند، انواع مختلفی از این دو خانواده بدافزار را شناسایی کردند، به نظر می رسد PLAINTEE آخرین سلاح در زرادخانه این گروه است که از یک پروتکل UDP سفارشی برای ارتباط با سرور کنترل و کنترل از راه دور استفاده می کند.برای تحویل هر دو PLAINTEE و DDKONG، مهاجمان از پیام های فیشینگ صریح با بردارهای آلوده مختلف استفاده می کنند، از جمله ماکروهای مخرب در فایل Microsoft Office Excel، HTA Loader و DLL Loader، که شامل فایل های فریبنده است.
محققان توضیح می دهند: "این دزدی ها حاوی جزئیاتی از مقالات خبری عمومی است که عمدتا در مورد اخبار و رویدادهای سیاسی متمرکز شده است و علاوه بر این، این اسناد دزدی در وب سایت های قانونی شامل وب سایت دولتی متعلق به دولت کامبوج و حداقل یک بار در مورد فیس بوک میزبانی می شوند. "علاوه بر این، PLAINTEE افزونه های اضافی را با استفاده از یک پروتکل UDP سفارشی که داده ها را در فرم رمزگذاری می کند، از سرور C&C خود بارگیری و نصب می کند.محققان می گویند: "این خانواده از بدافزارها از ارتباطات شبکه سفارشی برای بارگیری و اجرای پلاگین های مختلفی که توسط مهاجمان میزبانی شده اند، استفاده می کنند." "قابل توجه است که برنامه خرابکاری PLAINTEE" از یک پروتکل UDP سفارشی استفاده می کند و در هنگام تشخیص هویت های ناشناخته برای بدافزار ناشناخته ارزش دارد. "
از سوی دیگر، DDKONG از فوریه 2017 توسط گروه هک استفاده شده است و هیچ پروتکل ارتباطی سفارشی مانند PLAINTEE ندارد.طبق تحقیقات، میزان بار نهایی هر دو خانواده مخرب نشان می دهد که هدف از هر دو بدافزار، به جای سرقت پول از اهداف خود، جاسوسی سایبری سیاسی از آنهاست. از آنجایی که RANCOR به طور عمده کاربرانی غیر تکنولوژیک را هدف قرار می دهد، همیشه توصیه می شود که هر سند ناخواسته ارسال شده از طریق ایمیل را اجرا نکرده و هرگز بر روی لینک های درون آن اسناد کلیک نکنید، مگر اینکه منبع دقیق را تأیید کنید.علاوه بر این، مهمتر از همه، استفاده از نرم افزار ضد ویروس مبتنی بر رفتار است که می تواند چنین نرم افزارهای مخرب را قبل از اینکه دستگاه شما را آلوده کند شناسایی و بلوک کند و همیشه آن را حفظ کرده و برنامه های دیگر را به روز نگه می دارد.

 

کمپانی مایکروسافت روز پنجشنبه در مورد یک کمپین گسترده ایمیل هشدار داد که یک بدافزار مبتنی بر جاوا با نام STRRAT، در حالی که خود را به عنوان یک باج افزار نشان میدهد، برای سرقت اطلاعات محرمانه از سیستم های آلوده مورد استفاده قرار میگیرد.

تیم اطلاعات امنیتی مایکروسافت در یک رشته توییت عنوان کرد: "این RAT به دلیل اینکه اقدام به افزودن پسوند نام .crimson به فایل ها کرده و  آنها را رمزگذاری نمیکند، به رفتار شبیه به باج افزار معروف است".

به گزارش هکر نیوز، موج جدیدی از حملاتی که این شرکت هفته گذشته مشاهده کرده است، با ایمیل های هرزنامه ارسال شده از حساب های ایمیل در معرض خطر با عنوان "Outgoing Payments" که در عنوان موضوع درج شده است آغاز شده و گیرندگان را به گشودن فایل PDF مخرب که ادعا می کنند یک حواله است، ترغیب می کند اما در اصل با این کار به دامنه اصلی برای بارگیری بدافزار STRRAT متصل میشود.

این بدافزار علاوه بر برقراری ارتباط با سرور command-and-control در حین اجرا، دارای طیف وسیعی از ویژگی ها است که به آن امکان می دهد رمزهای عبور مرورگر را جمع آوری کند، لاگ کلیدهای ورودی را گردآوری کند و دستورات از راه دور و اسکریپت های PowerShell را اجرا کند.

 

STRRAT برای اولین بار در ژوئن سال 2020 توسط تیم امنیت سایبری G Data به عنوان یک تهدید بدافزاری ویندوز (نسخه 1.2) در ایمیل های فیشینگ حاوی پیوست های مخرب Jar (یا Java Archive)، مشاهده شد.

کارستن هان، تحلیلگر بدافزار G Data، توضیح داد: "این RAT متمرکز بر سرقت اطلاعات مرورگرها و سرویس گیرنده های ایمیل و رمزهای عبور از طریق ورود به سیستم است. این بدافزار از مرورگرها و سرویس گیرنده های ایمیل شامل فایرفاکس، اینترنت اکسپلورر، کروم، فاکس میل، اوت‌لوک و تاندربرد پشتیبانی می کند."

قابلیت های باج افزار آن در ابتدایی ترین حالت ممکن قرار دارد، زیرا مرحله رمزگذاری فقط تغییر نام و افزودن پسوند ".crismon" بر روی فایل ها انجام میپذیرد. کان افزود: "در صورت حذف این پسوند، می توان به طور معمول به فایل ها دسترسی پیدا کرد".

 

مایکروسافت همچنین یادآوری کرده است که نسخه 1.5 نسبت به نسخه های قبلی گیج کننده تر و ماژولارتر است، که نشان می دهد مهاجمان این عملیات به طور فعال در حال بهبود مجموعه ابزارهای خود هستند. اما این واقعیت که رفتار جعلی رمزگذاری توسط این بدافزار همچنان بدون تغییر باقی مانده است، نشان دهنده این هدف است که این گروه قصد دارند با استفاده از اخاذی، به سرعت از طریق کاربران ناآگاه سوءاستفاده و کسب درآمد کنند.

 

با کلیک کردن بر روی تبلیغات، کاربر به وب سایت جعلی برنامه کلاب هاوس (Clubhouse) هدایت می شود که به ظاهر کاملاً معتبر به نظر می رسد اما لینک بارگیری آن باعث دریافت بدافزار می شود.

سال گذشته، در دو حادثه جداگانه و مجزا، هکرها با سوءاستفاده از تبلیغات فیسبوک به 615000 گواهی کاربری دسترسی پیدا کردند. سپس گروه معروف باج افزار Ragnar Locker با استفاده از تبلیغات فیسبوک شروع به اخاذی از قربانیان کرد.

اکنون گزارش ها حاکی از آن است که مجرمان سایبری و تهدیدکنندگان در حال ارائه تبلیغاتی در فیسبوک هستند که برنامه کلاب هاوس را برای رایانه شخصی جهت بارگیری یک بدافزار ارائه دهد. باز هم، مهاجمان از همان روش قدیمی استفاده کرده اند، زیرا نسخه رایانه های شخصی برنامه کلاب هاوس هنوز منتشر نشده است.

شایان ذکر است که مهاجمان همیشه به دنبال سوءاستفاده از محبوبیت کسب شده توسط برنامه های خاص برای جلب کاربران ناآگاه و بی گناه برای بارگیری و دانلود بدافزارها هستند. برنامه کلاب هاوس تاکنون بیش از 8 میلیون بار دانلود شده است. بنابراین ، این مورد علاقه فعلی مجرمان اینترنتی شده است.

همین چند هفته پیش در مورد بدافزار BlackRock که به عنوان نسخه اندروید از برنامه گفتگوی صوتی کلاب هاوس منتشر شده بود، گزارشاتی منتشر شد، در حالی که محققان ESET عنوان کردند هیچ نسخه اندرویدی از این برنامه منتشر نشده است و این برنامه فقط در تلفن های همراه آیفون در دسترس است.

 

کمپین تبلیغات مخرب جدید در فیس بوک

تک کرانچ گزارش داده است که از چندین صفحه فیس بوک برای ارسال تبلیغات مرتبط با برنامه کلاب هاوس استفاده می شود. وقتی کاربر روی تبلیغ کلیک می کند، وب سایت جعلی کلاب هاوس باز می شود که تصویری از نسخه PC موجود برای برنامه و لینکی برای بارگیری را نشان می دهد.

به طور معمول کاربران بی اطلاع، بر روی لینک کلیک می کنند و تصور میکنند که نسبت به دریافت نسخه قانونی برنامه اقدام کرده اند. به محض باز شدنش، برنامه با سرور C&C خود ارتباط برقرار می کند و دستورالعمل هایی را برای اقدامات بعدی دریافت می کند. طبق آنالیز تی باکس کرانچ بر روی این بدافزار، این نرم افزار مخرب، یک باج افزار را در دستگاه آلوده بارگیری میکند.

 

تاکنون نُه آگهی مختلف منتشر شده است

در مجموع نه تبلیغ از طریق پروفایل های جعلی فیسبوک بین سه شنبه و پنجشنبه گذشته ارسال شده است. در اکثر آگهی ها عنوان مشابهی ذکر شده بود که نوشته بودند: "کلاب هاوس اکنون برای رایانه نیز در دسترس است". برخی از آنها عکسی از پاول دیویدسون و روهان ست از بنیانگذاران برنامه را نیز به نمایش می گذاشتند!

بعداً این تبلیغات از مجموعه تبلیغات فیسبوک حذف شده اند اما چگونگی ورود آنها به پروفایل های کاربران و دور زدن مراحل احراز هویت فیسبوک هنوز نامشخص باقی مانده است.

 

وب سایت های جعلی کلاب هاوس در حال حاضر آفلاین هستند

تک کرانچ همچنین اعلام کرد که وب سایت های جعلی برنامه کلاب هاوس، که در روسیه میزبانی می شدند در طی فرایندی جالب آفلاین شدند و بدافزار نیز پس از دریافت خطا از سرور، دیگر از کار افتاد. اما این جمله به هیچ وجه به معنی عدم امکان بازگشت چنین بدافزاری با ساختار و شکلی جدید جهت اجرای باج افزار نمیباشد.

 

محققان نقاط ضعف امنیتی قابل ملاحظه ای را در برنامه های نرم افزاری مشهور شناسایی کرده اند که می تواند برای غیرفعال کردن ساختار محافظتی از آنها سوءاستفاده شود و کنترل برنامه های مجاز در سیستم کاربر را با بهره گیری از بدافزار برای عبور از سد ساختار دفاعی ضد باج افزارها، برای انجام اقدامات خطر آفرین در دست بگیرند.

این حملات دوگانه که توسط اعضای دانشگاه لوکزامبورگ و دانشگاه لندن شرح داده شده اند، با هدف دور زدن امکان محافظت از فولدرها که توسط برنامه های آنتی ویروس ارائه شده، رمزگذاری فایل ها (معروف به "Cut-and-Mouse") و غیرفعال کردن محفاظت از آنها با شبیه سازی اعمال کلیک ماوس (معروف به "Ghost Control")، انجام میشود.

پروفسور گابریل لنزینی، دانشمند ارشد مرکز بین رشته ای امنیت، اتکا و اطمینان در دانشگاه لوکزامبورگ، گفته است: "ارائه دهندگان نرم افزار آنتی ویروس همیشه سطح بالایی از امنیت را ارائه می دهند که آنها را تبدیل به یک عنصر اساسی در مبارزه روزمره با مجرمان سایبری کرده است. اما آنها در حال رقابت با جنایتكارانی هستند كه هم اكنون منابع، قدرت و همچنین تعلق خاطر بیشتری دارند".

به بیان دیگر، کمبودهای موجود در نرم افزار کاهش مخاطرات بدافزاری نه تنها نمی تواند به کد غیر مجازی اجازه دهد که ویژگی های محافظتی آنها را غیرفعال کند، بلکه نقص طراحی در امنیت فولدرهای محافظت شده که توسط تامین کنندگان و سازندگان آنتی ویروس عرضه شده است، میتواند توسط عواملی مورد سوءاستفاده واقع شود؛ مثلاً باج افزار محتویات فایل ها را با استفاده از امکان تغییر در ساختار نگارش از پیش دیده شده برای دسترسی به فولدر و رمزگذاری داده های کاربر تغییر میدهد، یا از یک ابزار پاک کننده برای از بین بردن غیرقابل بازگشت فایل های شخصی قربانیان استفاده میکند.

فولدرهای محافظت شده به کاربران این امکان را می دهند تا فولدرهایی را که به یک لایه محافظت اضافی در برابر نرم افزار مخرب نیاز دارند، مشخص کرده و بدین ترتیب دسترسی غیر ایمن به فولدرهای محافظت شده را مسدود کنند.

محققان اعلام کرده اند: "به مجموعه كمی از برنامه های موجود در لیست سفید، امتیاز تغییرات در فولدرهای محافظت شده اعطا می شود. با این حال، برنامه های موجود در لیست سفید از سوءاستفاده توسط برنامه های دیگر در امان نمیمانند. بنابراین، اعتماد کردن به این ساختار معقول نیست، زیرا یک بدافزار می تواند با استفاده از برنامه های لیست سفید به عنوان واسطه، روی فولدرهای محافظت شده، عملیات مد نظر خود را انجام دهد".

یک سناریوی حمله که توسط محققان کشف شد، نشان داد که می توان از یک کد مخرب برای کنترل یک برنامه معتبر مانند Notepad برای انجام عملیات نوشتن و رمزگذاری فایل های قربانی که در فولدرهای محافظت شده ذخیره شده است، استفاده کرد. برای این منظور، باج افزار پرونده های موجود در پوشه ها را بررسی کرده، در حافظه خود رمزگذاری کرده و در کلیپ بورد سیستم کپی می کند و به دنبال آن، باج افزار Notepad را راه اندازی می کند تا محتوای پوشه را با داده کلیپ بورد بازنویسی و جایگزین نماید.

محققان دریافتند که حتی در موارد بدتر، توالی حمله فوق الذکر می تواند برای بازنویسی و جایگزینی فایل های کاربر با یک تصویر تصادفی ایجاد شده توسط نرم افزار Paint (به عنوان یک برنامه قابل اعتماد)، برای از بین بردن و حذف دائمی و قطعی فایل های کاربر استفاده شود.

از طرف دیگر، حمله Ghost Control می تواند عواقب جدی و خاص خود را به همراه داشته باشد، زیرا با غیرفعال کردن حفاظت قطعی در مقابل بدافزار بوسیله شبیه سازی اقدامات کاربر قانونی که مشخصا روی رابط کاربری یک نرم افزار آنتی ویروس انجام می شود، می تواند به مهاجم و عامل حمله اجازه دهد هر برنامه غیرقانونی و مخربی را از یک سرور کنترل از راه دور مهاجم، وارد و اجرا کند.

از 29 نرم افزار آنتی ویروس ارزیابی شده در طول مطالعه، 14 مورد از آنها در برابر حمله Ghost آسیب پذیر تشخیص داده شدند؛ از سویی نیز مشخص شد که همه 29 برنامه آنتی ویروس آزمایش شده در مقابل حمله Cut-and-Mouse آسیب پذیر هستند. محققان از تامین کنندگان و سازندگان این برنامه های آنتی ویروس که تحت تاثیر این آزمایشات قرار گرفته اند، نام نبرده اند.

اگر چنین چیزی صحت داشته باشد، نتایج یادآور این نکته حائز اهمیت است که حتی راه حل های امنیتی که به وضوح برای محافظت از دارایی های دیجیتال یک مجموعه در برابر حملات بدافزار طراحی شده اند، می توانند از ضعف هایی رنج ببرند و به طبع هدف نهایی آنها را که همانا محافظت و تامین امنیت است، با شکست مواجه میشود. حتی در حالی که ارائه دهندگان نرم افزار آنتی ویروس به ارتقا ساختار دفاعی خود ادامه می دهند، طراحان بدافزار با بهره گیری تاکتیک های فرار و مبهم سازی، از چنین موانعی عبور کرده اند. نیازی به ذکر نیست اما حتی با استفاده از ورودی های آلوده و از طریق حملات آلوده کننده، تشخیص رفتاری نرم افزارهای تامین امنیت را سردرگم کرده و آنها را دور می زنند.

محققان اعلام کرده اند: "سازگاری و ترکیب پذیری ایمن، یک مشکل شناخته شده در مهندسی امنیت است. اجزا وقتی که جدا از هم در نظر گرفته شوند، سطح حمله مشخصی را پوشش می دهند و در مقابل هنگامی که در یک سیستم ادغام می شوند، سطح وسیع تری ایجاد می کنند. اجزا با یکدیگر تعامل دارند و با سایر قسمتهای سیستم پویایی ایجاد می کنند و از طرفی اگر توسط طراح این تدبیر پیش بینی نشده باشد، یک مهاجم نیز می تواند با آن ها در تعامل باشد".

 

حمله گسترده باج افزار Kaseya که ادعا می شود حدود 1000 سازمان را تحت تأثیر قرار داده است، در حال حاضر برای ارتقای سایر حملات استفاده میشود. یکی از این دست حملات، مورد توجه محققان Malwarebytes قرار گرفته است.

 

قربانیان هدف Kaseya REvil
در یک رشته توییت توسط Malwarebytes، محققان فاش کرده اند که یک کمپین malspam از حمله باج افزار Kaseya برای استقرار Cobalt Strike بهره می برد. این می تواند عاملان تهدید را قادر به حملات بعدی کرده و حتی امکان استقرار بدافزارهای دیگر را نیز ممکن کند.
این کمپین از طریق ایمیل فیشینگ حاوی پیوستی به نام 'SecurityUpdates.exe' و همچنین لینکی که به عنوان یک بروزرسانی امنیتی جهت سواستفاده از آسیب پذیری Kaseya ظاهر می شود، انجام می پذیرد.
برای قانع کننده نشان دادن این ایمیل، در آن ادعا می شود که بروزرسانی امنیتی از جانب مایکروسافت ارائه و انجام میپذیرد.

 

درباره حمله Kaseya چه می دانیم؟
حمله باج افزار Kaseya که در تاریخ 2 ژوئیه رخ داد، یکی از حملات مخرب باج افزاری بود که در پی حملات علیه Colonial Pipeline و JBS Foods، به وقوع پیوست.
باند باج افزار REvil با سواستفاده از آسیب پذیری روز صفر در سرورهای VSA نفوذ کرده بودند.
پس از حمله، مهاجمان موفق به سرقت اطلاعات زیادی شدند و بعداً برای انتشار رمز سراسری آن، مبلغ 70 میلیون دلار را به عنوان باج مطالبه کردند.
برخی از سازمان های آسیب دیده شامل سوپرمارکت ها در سوئد و مدارس در نیوزیلند بودند. در حالی که صدها شرکت مستقیماً در معرض حمله زنجیره تأمین به نرم افزار VSA متعلق به Kaseya قرار داشتند، حداقل 36000 شرکت به صورت غیر مستقیم تحت تأثیر این حمله قرار گرفتند.

 

نکته قابل توجه
عاملان تهدید همیشه در پی دستیابی به فرصت مفید و طلایی برای رسیدن به ثروت عظیمی بوده اند و استفاده از حمله باج افزاری Kaseya، یکی از این موارد است.
پیش از این، اختلال در Colonial Pipeline باعث حمله فیشینگ "Help Desk" شد که مشتریان Microsoft 365 را هدف قرار داد. هدف نهایی این کارزار اعمال و استقرار ابزار Cobalt Strike بر روی سیستم قربانیان بود.

 

نتیجه گیری
همانطور که حمله مداوم Kaseya همچنان شرایط سختی را به سازمانها تحمیل میکند، ظهور مبارزات موازی توسط عوامل تهدید، که احتمالاً با گروه REvil مرتبط نیستند، مطمئناً مشکلات و دردسرهای بیشتری ایجاد خواهد کرد. دقت داشتن در هنگام دریافت و مطالعه نامه های الکترونیکی که بطور ناخواسته دریافت شده اند، می تواند به فرد جهت در امان ماندن از چنین حملاتی کمک کند. در همین حال، Kaseya اقدامات لازم برای رفع آسیب پذیری موثر بر سرورهای VSA خود را آغاز کرده است.

 

محققان امنیت سایبری روز سه شنبه از بدافزار جدیدی با نام "MosaicLoader" رونمایی کردند که به عنوان بخشی از یک کمپین جهانی، در پی اهدافی است که در جستجوی نرم افزارهای کرک شده می باشند.

محققان Bitdefender در گزارشی که با خبرگزاری ها به اشتراک گذاشته شده، گفتند: "مهاجمان MosaicLoader بدافزاری را ایجاد کرده اند که می تواند هر دیتایی را بر روی سیستم تحویل دهد که در نهایت به طور بالقوه از آن در راستای یک سرویس ارائه و تحویل بهره برداری کند. این بدافزار با نمایش خود به عنوان نصب کننده های کرک به سیستم های مورد نظر ورود پیدا می کند. سپس یک پخش کننده بدافزار مخرب را دانلود میکند که حاوی لیستی از URL هایی است که از سرور C2 به دست می آیند و بعد از آن داده های جدید را از لینک های دریافت شده، دانلود می نماید.".

به نقل از هکر نیوز، این بدافزار به دلیل ساختار داخلی پیچیده ای که برای جلوگیری از مهندسی معکوس و فرار از هرگونه تجزیه و تحلیل تنظیم شده، با این عنوان نامگذاری شده است.

حملات MosaicLoader متکی به یک روش کاملاً ثابت برای تحویل بدافزارها به نام آلودگی بهینه سازی موتور جستجو (SEO) است که در آن مجرمان سایبری با خرید اسلات تبلیغاتی در نتایج موتور جستجو، لینکهای مخرب خود را در هنگام جستجوی کاربران برای عبارات مربوط به نرم افزارهای غیرقانونی، به عنوان نتایج اول به نمایش می گذارد.

پس از یک الودگی موفقیت آمیز، دراپر اولیه مبتنی بر دلفی (که به عنوان یک نصب کننده نرم افزار عمل میکند) به عنوان نقطه آغازی برای بارگیری دیتای مرحله بعدی از یک سرور از راه دور عمل می کند و همچنین برای جلوگیری از اسکن شدن توسط آنتی ویروس، تلاش های مضاعفی را در مورد Windows Defender برای دو فایل اجرایی دانلود شده، به کار میگیرد.

لازم به ذکر است که این موارد Exclusion های Windows Defender را می توان در رجیستری کی های ذکر شده در زیر مشاهده کرد:

موارد استثنائات فایل و فولدر - HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Defender \ Exccepts \ Paths
استثنائات نوع فایل - HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Defender \ Exccepts \ Extensions
استثنائات فرآیندی - HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Defender \ Exccepts \ Processes

یکی از باینری ها، "appsetup.exe" برای نیل به هدف ماندگاری بر روی سیستم طراحی شده است، در حالی که دومین فایل اجرایی، "prun.exe"، به عنوان دانلودر برای یک ماژول پخش کننده عمل می کند که می تواند تهدیدهای مختلف را از طریق بازیابی و استقرار لیستی از URL ها، از سرقت کنندگان کوکی گرفته تا استخراج کنندگان رمزارز و حتی استقرارهای پیشرفته تر مانند Glupteba را اجرایی نماید.

مورد دوم یعنی"prun.exe" همچنین به دلیل حجم زیاد پیچیدگی و تکنیک های ضد مهندسی معکوس که شامل جداسازی تکه های کد با بایت های تصادفی فیلر است، با جریان اجرایی طراحی شده است که "از این قسمت های تصادفی می پرد و فقط قسمت های کوچک و معنی دار را اجرا می کند"، بسیار قابل توجه و جالب است.

با توجه به قابلیت های گسترده و فراوان MosaicLoader، سیستم های به خطر افناده می توانند در یک بات نت قرار بگیرند که عامل تهدید می تواند از آن برای انتشار مجموعه های مختلف و در حال تکامل بدافزار پیچیده، از جمله بدافزارهای عمومی و سفارشی سازی شده برای بدست آوردن، گسترش دادن و نگهداری غیر مجاز جهت دسترسی به رایانه ها و شبکه های قربانی استفاده نماید.

محققان گفتند: "بهترین راه برای دفاع در برابر MosaicLoader جلوگیری از بارگیری نرم افزارهای کرک شده از هر منبعی است. ضمنا علاوه بر خلاف قانون بودن، مجرمان اینترنتی به دنبال هدف قرار دادن و سواستفاده از کاربرانی هستند که به دنبال نرم افزارهای غیرقانونی هستند، همچنین ضروری است که مرحله ای برای "بررسی دامنه منبع هر دانلود برای اطمینان از قانونی بودن فایل ها" در نظر گرفته شود.".

 

عاملان حملات و تهدیدات سایبری از Microsoft Build Engine (MSBuild) برای به کارگیری تروجان های دسترسی از راه دور و بدافزارهای سرقت كننده رمز عبور سواستفاده میکنند تا در سیستم های ویندوزی هدف، آن بدافزارها و تروجان ها را بدون فایل ارائه داده و انتقال دهند.

به گزارش هکرنیوز، محققان شرکت امنیت سایبری آنومالی، روز پنجشنبه اعلام کردند که این کمپین به صورت فعال در حال انجام است و ماه گذشته اعلام وجود کرده است. آنها اضافه کردند که فایل های مخرب ساخته شده با دستور اجرایی رمزگذاری شده و شِل‌کدی که بَک‌دور را نصب می کند، به مهاجمان این امکان را می دهد تا کنترل دستگاه های قربانیان را بدست گرفته و اطلاعات حساس را سرقت کنند.

مایکروسافت Build، ابزاری متن باز برای .NET و ویژوال استودیو است که توسط مایکروسافت ساخته شده و امکان تدوین سورس کد، پکیجینگ، تست و استقرار برنامه ها را فراهم می کند.

در صورت استفاده از MSBuild برای به خطر انداختن دستگاه ها به شکل بدون فایل، ایده بر این مبنا استوار است که از هرگونه شناسایی در امان مانده و حتی آنرا خنثی کنید، زیرا چنین بدافزاری برای بارگذاری کد حمله در حافظه از یک برنامه قانونی و شناخته شده استفاده می کند، بنابراین هیچ اثری از آلودگی بر روی سیستم قربانی باقی نمی گذارد و به مهاجمان امکان حمله با سطح پیشرفته ای از پنهان کاری در سرقت را ارائه میدهد.

نرم افزار Remcos (Remote Control and Surveillance Software)، پس از نصب، دسترسی کامل از راه دور برای مهاجم، شامل ویژگی هایی مانند ضبط کلیدها تا اجرای دستورات خودسرانه و ضبط میکروفون ها و وب کم، فراهم مینماید؛ در حالی که Quasar یک RAT متن باز مبتنی بر .NET است که توانایی هایی از جمله ورود به سیستم، سرقت رمز عبور، و غیره را دارد. Redline Stealer، همانطور که از نام آن بر‌می‌آید، یک نوع بدافزار است که علاوه بر سرقت رمزهای عبور و کیف پول های مرتبط با برنامه های ارزهای رمزپایه، از مرورگرها، V-P-N ها و مشترکان پیام رسان ها نیز اطلاعات کاربری را گردآوری و سرقت می کند.

محققان آنومالی، تارا گولد و گیج میل افزودند: "عوامل تهدید کننده این کمپین از ارسال و تحویل بدون فایل به عنوان راهی برای دور زدن اقدامات امنیتی استفاده کردند و این روش توسط عاملان برای اهداف مختلف و با انگیزه های متفاوتی استفاده می شود. این کمپین این نکته را عیان می کند که اتکا به نرم افزار آنتی ویروس به تنهایی برای دفاع سایبری کافی نیست و استفاده از کدهای مجاز برای پنهان کردن بدافزارها از فناوری های آنتی ویروس موثر واقع شده است و این مسئله به طور تصاعدی در حال رشد و افزایش است".

به گفته محققان ، عوامل مهاجم از فایل های زیپ شده برای فریب کاربران لینکدین (LinkedIn) برای اجرای More_eggs Backdoor استفاده می کنند.

رسانه اجتماعی متعلق به مایکروسافت برای افراد متخصص با نام لینکدین، دارای بیش از 740 میلیون کاربر از 200 کشور در سراسر جهان می باشد. همین امر، آن را تبدیل به هدفی سودآور برای مجرمان و اخاذان اینترنتی می کند. در جدیدترین مورد، فعالان لینکدین توسط یک کمپین فیشینگ مورد هدف قرار می گیرند که اقدام به اجرای More_eggs Backdoor می نماید.

واحد واکنش تهدیدات سایبری (TRU) در ای سنتایر که یک شرکت امنیت سایبری مستقر در واترلو شهر انتاریو کانادا میباشد، یک کلاهبرداری غیرقانونی در حال انجام با استفاده از مشاغل جعلی را کشف کرده است که سیستم های رایانه ای کاربران لینکدین را با More_eggs Backdoor بسیار خطرناک و مخرب، آلوده می کند.

 

چگونهMore_eggs Backdoor پخش میشود؟

در ماه فوریه سال 2020، محققان چک پوینت چگونگی استفاده مهاجمان از More_eggs Backdoor برای هدف قرار دادن مسئولین مبارزه با پولشویی را گزارش دادند و اعلام کردند که آنها از خدمات پیام رسانی لینکدین برای ارائه فرصت های شغلی جعلی برای گسترش بدافزار مدنظرشان سوءاستفاده می کنند.

در آن بازه زمانی، مهاجمان به عنوان شرکت های نیازمند کارمند، به عنوان محلی برای ارسال پیوندهای وب سایت در معرض خطر و مخرب به افراد جویای کار ظاهر می شدند و بعداً از طریق ایمیل آنها، پیگیری می کردند. در هر دو مورد، هدف آلوده کردن دستگاه قربانیان با استفاده Backdoor با نام More_eggs برای سرقت اطلاعات بوده است.

با این حال، این بار طبق پست وبلاگ ای سنتایر، عوامل مهاجم از فایل های زیپ شده برای هدف قرار دادن قربانیان بر اساس توضیحات وظایف و جایگاه شغلی موجود در پروفایل لینکدین کاربر، استفاده می کنند.

ای سنتایر توضیح داد که اگر به عنوان مثال شغل کاربر عضو لینکدین به عنوان "مدیر ارشد حسابداری – پوزیشین بین المللی" ذکر شده باشد ، فایل زیپ مخرب با عنوان "مدیر ارشد حسابداری – پوزیشین بین المللی" نامگذاری می شود.

پس از باز شدن فایل زیپ، دستگاه قربانی با بکدور More_eggs که در حال حاضر دستگاه های ویندوز را هدف قرار می دهد، آلوده می شود.

پس از آلوده شدن، بدافزار کنترل کامل دستگاه هدف را در اختیار می گیرد که به طبع آن، به هکرها اجازه می دهد از راه دور از دستگاه برای اهداف مخرب خود از جمله ارسال، دریافت، حذف و اجرای فایل ها استفاده کنند.

 

خطر آلودگی به باج افزار

علاوه بر این، هکرها می توانند بدافزارهای جدیدی را نیز روی سیستم بارگذاری کنند که می تواند باعث آلودگی دستگاه به باج افزار شود و در نتیجه فایل های قربانی را قفل کرده و برای رمزگشایی آن، درخواست باج نماید. محققان هشدار می دهند که بکدور More_eggs همچنین می تواند داده ها را از دید دستگاه پنهان کرده و حساب های رسانه های اجتماعی، ایمیل ها، تاریخچه مرورگر و حتی کیف پول های رمزنگاری شده شما را در معرض خطر سرقت قرار دهد.

راب مک لئود ، مدیر ارشد واحد واکنش تهدیدات سایبری شرکت ای سنتایر در گزارشی اعلام کرده است که: "آنچه که به طور ویژه در مورد فعالیت More_eggs نگران کننده است، این سه عنصر است که آن را به تهدیدی جدی برای مشاغل و افراد فعال در زمینه تجارت تبدیل می کند".

این سه عنصر شامل موارد زیر میباشند:

1. این بدافزار از فرایندهای عادی ویندوز برای اجرا استفاده می کند؛ بنابراین معمولاً توسط برنامه های امنیتی آنتی ویروس و مسدود کننده های خودکار به عنوان عامل مشکوک یا خطرساز شناخته نمی شود، بنابراین کاملاً پنهانی عمل میکند.
2. گنجاندن موقعیت شغلی هدف از طریق پروفایل لینکدین در این پیشنهاد کاری مخرب، احتمال آلوده شدن کاربر به بدافزار را افزایش می دهد.
3. از زمان شیوع بیماری کرونا و آغاز پاندمی، نرخ بیکاری به طرز چشمگیری افزایش یافته است و طبیعتا زمان مناسبی برای سوءاستفاده از افراد جویای کاری است که از یافتن شغل ناامید هستند. بنابراین جذابیت بک شغل ایده آل کاربر، بخصوص در این مقطع حساس و پرتنش، جذابیتی دو چندان پیدا میکند.

 

چرا کاربران لینکدین؟

لینکدین تقریباً از هر حرفه شناخته شده ای شامل 740 میلیون کاربر از جمله افراد مهم و دارای جایگاه های شغلی حساس مانند دانشمندان، نظامیان، مجریان قانون، فعالین صنایع دفاعی، پرسنل خطوط هوایی، پرسنل سیستم بانکداری و امور مالی و افراد سیاسی و غیره را در خود جای داده است. برای مجرمان سایبری و هکرهای مورد حمایت دولت ها، دسترسی به سیستم رایانه ای مورد استفاده توسط هر یک از این متخصصان، مانند یک معدن طلا است که میتوانند از آن برای سریعتر رسیدن به پول نقد از طریق فروش دسترسی سیستم های آنها به سایر مجرمان یا استفاده از آن برای نظارت و بررسی یا سرقت اسرار یا اطلاعات و داده های حساس، بهره برداری و سوءاستفاده کنند.

 

کاربران لینکدین چه کاری باید انجام دهند؟

شرکت توسعه امن کیان (تاکیان) به عنوان اولین و مهمترین نکته توصیه میکند که از کلیک کردن روی لینک های ارسال شده توسط افراد در شبکه های اجتماعی، خصوصاً کاربران ناشناس و مجهول، خودداری کنید. اگر مجبور و ملزم شده اید که بر روی فایل زیپ شده یا اجرایی کلیک کنید، باید به هر قیمتی از آن اجتناب کنید. اما اگر از قبل فایلی را دریافت کرده اید، حتماً آن را با یک ضد بدافزار مطمئن اسکن نمایید.

مضاف بر این، همچنین می توانید لینک ها و فایل های مخرب را در ویروس توتال اسکن کنید. در هر صورت امنیت شما در دستان خودتان است. تاکیان اکیداً توصیه می کند درباره امنیت سایبری و تهدیداتی که در پس اتصال به فضای اینترنت ممکن است شما را تهدید کند، کسب اطلاعات کرده و حساسیت بخرج دهید.

 

مهاجمان با بهره‌وری از یک تکنیک جدید، روشهایی را برای استفاده از Microsoft Background Intelligent Transfer Service (BITS) به منظور جایگذاری پنهانی داده های مخرب بر روی دستگاه های دارای سیستم عامل ویندوز را کشف کرده اند.

به گزارش سایت هکرنیوز، در سال ۲۰۲۰، بیمارستانها، سازمان های بازنشستگی و مراکز درمانی زیادی، متحمل آسیب و ضررهای بسیار شدیدی بابت یک کمپین فیشینگ همیشه متغیر که از روش Backdoor شخصی سازی شده مانند KEGTAP استفاده میکرده است، قرار گرفته اند، که در نهایت زمینه حملات باج افزار RYUK را فراهم میکرده است.

اما تحقیقات جدید شاخه امنیت سایبری شرکت FireEye اکنون مکانیسم پایداری ناشناخته ای را شناسایی کرده است که نشان می دهد مهاجمان از BITS برای راه اندازی Backdoor استفاده کرده اند.

فناوری BITS در ویندوز XP معرفی شد، که یکی از سرویس های مایکروسافت ویندوز است که از پهنای باند خالی شبکه برای تسهیل در انتقال ناهمگام فایل ها بین دستگاه ها استفاده می کند. این امر با ایجاد یک عملگر (فضایی که شامل فایل های بارگیری یا بارگذاری است) حاصل می شود.

فناوری BITS معمولاً برای ارائه به روزرسانی های سیستم عامل به کاربران و همچنین توسط اسکنر آنتی ویروس Windows Defender برای دریافت به روزرسانی های شناسایی علائم بدافزار استفاده می شود. علاوه بر محصولات خود مایکروسافت، این سرویس توسط برنامه های دیگری مانند موزیلا فایرفاکس نیز استفاده می شود تا امکان دریافت اطلاعات در پس زمینه حتی در صورت بسته بودن مرورگر نیز فراهم گردد.

محققان FireEye گفتند: "وقتی برنامه های مخرب عملگر BITS را ایجاد می کنند، فایل ها در چارچوب روند خدمات سرویس کاربر میزبان، روند دریافت یا بارگذاری را انجام می دهند". آنها افزودند: "این امکان می تواند برای جلوگیری از فایروال هایی که ممکن است فرایندهای مخرب یا ناشناخته را مسدود کنند کاربردی باشد و همچنین کمک می کند که مشخص شود کدام برنامه درخواست انتقال اطلاعات را داده است".

بخصوص حوادث مخاطره آمیز قبل که شامل آلوده سازی از طریق Ryuk برای استفاده از سرویس BITS برای ایجاد یک عملگر جدید تحت عنوان "به روزرسانی سیستم" که برای راه اندازی یک فایل اجرایی با نام "mail.exe" برنامه ریزی و پیکربندی شده است، پس از تلاش برای بارگیری URL نامعتبر، باعث ایجاد Backdoor برای KEGTAP شده است.

محققان اظهار داشتند: "عملگر مخرب BITS جهت تلاش برای انتقال HTTP یک فایل موجود از localhost تنظیم شده است. و از آنجا که این فایل هرگز وجود نخواهد داشت، BITS حالت خطا را ایجاد کرده و دستور notify را اجرا می کند، که در این مورد، این دستور به معنی اجرای KEGTAP می باشد".

سازوکار جدید یادآور این نکته است که چگونه استفاده از یک ابزار مفید مانند BITS به نفع مهاجمان میتواند خطرساز باشد. همچنین برای کمک به پاسخگویی سریعتر به این دست حوادث و تحقیقات تیم امنیتی، محققان یک ابزار پایتون به نام BitsParser را در دسترس عموم قرار داده اند، که هدف آن تجزیه فایل های پایگاه داده BITS و استخراج عملگر و اطلاعات فایل ها جهت تجزیه و تحلیل بیشتر است.

 

شرکت های کوچک و متوسط ​​یا به اصطلاح SME، ستون فقرات اقتصاد اکثر کشورها هستند. براساس آمار سازمان تجارت جهانی، در اقتصادهای توسعه یافته، شرکت های کوچک و متوسط بیش از 90% از جمعیت تجاری، 60 تا 70% از اشتغال و 55% از تولید ناخالص داخلی را به خود اختصاص می دهند. در حال حاضر این سازمان ها زیر ابری تاریک و مملو از تهدید قرار دارند، زیرا به طور فزاینده ای هدف حملات پیچیده سایبری قرار می گیرند. چه چیزی تغییر کرده است؟ و چگونه شرکت های کوچک و متوسط باید با این تهدید جدید سازگار شوند؟

 

یک تغییر ناگهانی برایSME ها، تهدیدهای جدید برای حمله سایبری

به گزارش اینفو سکیوریتی مگزین، در طول دوران، مجرمان مجازی حرفه ای به دنبال نام های بزرگ بودند: شرکت های بزرگ با موفقیت هدف قرار گرفتند و منجر به "نفوذهای کلان" شدند. در مورد باج افزارها، فیشینگ ها و انواع دیگر تهدیدها، تا همین اواخر، شرکت های کوچک و متوسط معمولاً از گزند مجرمان سایبری در امان بودند. یک گزارش نگران کننده که به تازگی چاپ شده است، نشان داده است که 43% از کل حملات سایبری، شرکت های کوچک و متوسط را هدف قرار می دهند. علاوه بر این، طبق گزارش سازمان امنیت سایبری پونمون در SMBs Report منتشر شده است، دو سوم شرکت های کوچک و متوسط در سال گذشته حداقل یک حمله سایبری را تجربه کرده اند و 63% آنها قربانی نشت داده ها در این بازه زمانی شده اند.

تهدید بزرگ دیگر برای شرکت های کوچک و متوسط، باج افزار است. نه تنها یک بار هزینه مالی، تهدیدکننده این شرکت ها است (برای نهادهای با کمتر از 500 کارمند، متوسط ​​هزینه حمله باج افزار 2.5 میلیون دلار است)، بلکه هزینه های مربوط به زمان از دسترس خارج شدن مجموعه و از دست دادن بهره وری به دلیل زمانبر بودن بهبودی بعد از حمله که در پی آن حملات حاصل میشود نیز برای سازمان ها مخرب است. تحقیقات نشان می دهد شرکت های کوچک و متوسط همچنان هدف اصلی حملات باج افزار هستند.

سوال اساسی این است که چرا این تغییر حاصل شده است؟ با توجه به اینکه شرکت های کوچک و متوسط هدف آسان تری هستند، چرا این مدت طول کشید تا مجرمان سایبری با این شدت آنها را هدف قرار دهند؟ پاسخ این سوالات در فناوری بکار رفته توسط مهاجمان نهفته است.

 

اتوماسیون: فقط برای کاربری مثبت نیست!

اتوماسیون باعث شده است که مشاغل بتوانند کارهای نیازمند به کاربر را کاهش دهند و فرآیندها را کارآمدتر، سریعتر و با هزینه کمتری انجام دهند. طولی نکشید که دقیقاً به همان دلایل مجرمان سایبری شروع به استفاده از اتوماسیون در حملات کردند.

چرا اتوماسیون تبدیل به چنین مشکل بزرگی شده است؟ راه حل های سنتی امنیت سایبری (به ویژه راه حل های امنیتی ایمیل) ابتدا باید با تهدید روبرو شوند، سپس آن را تجزیه و تحلیل کنند، سپس اعتبار آن را تأیید کنند، سپس آن را طبقه بندی کنند، و فقط در این صورت است که دفعه دیگر که چنین تهدیدی را مشاهده می کنند، می توانند آن را تشخیص دهند و آن را حل کنند. اکنون می توان حملات را به صورت خودکار انجام داد تا به طور مداوم پیشرفت کنند، به این معنی که راه حل های امنیتی حمله مشابهی را دو بار مشاهده نمی کنند. بنابراین چنین حملاتی راه حل های امنیتی که اکنون درگیر مشکلات حل این معضلات هستند، دور میزنند.

علاوه بر این، اتوماسیون فرایندی را آغاز کرده است که بعداً ایجاد چنین حملاتی را ارزان تر میکند. در نتیجه پخش و توزیع این حملات نسبتاً پیچیده به طور گسترده آسان تر شده است. در گذشته این امکان وجود نداشت؛ حملات پیچیده باید بسیار هدفمند می بودند و نیاز به تحقیقات دقیق و تنظیمات دستی داشتند، بنابراین تولید آنها نیز مستلزم هزینه بیشتر بود.

با تشکر از اتوماسیون و هوش مصنوعی (که توسط مهاجمین برای کسب اطلاعات در مورد رفتار آنلاین اهداف و ایجاد کمپین های خودکار فیشینگ مورد استفاده قرار می گیرد)، حملات پیچیده اکنون با کمترین هزینه می توانند بسیار هدفمند و در مقیاس گسترده انجام شوند. قربانیان متمول کمتری را می توان هدف قرار داد و شرکت های کوچک و متوسط را کاملاً در معرض تیررس مجرمان سایبری قرار داده است.

هدف قرار دادن شرکت های کوچک و متوسط بازار بالقوه این حملات را بسیار بزرگتر و داغ تر می کند، بنابراین تعجب آور نیست که مهاجمان به سمت هدف قرار دادن شرکت های کوچک و متوسط سوق پیدا کرده اند.

 

آنچه باید شرکت های کوچک و متوسط در مورد حمله خودکار سایبری بی اندیشند

یک مطالعه اخیر در موسسه فورستر نشان داده است که 88% از متخصصان امنیتی انتظار دارند که حملات مبتنی بر هوش مصنوعی در آینده نزدیک تبدیل به جریان اصلی حملات بشوند.

حملات اتوماسیون شده، تکنیکی جدید با پتانسیل بسیار زیاد برای ایجاد چالش های جدید هستند و بنابراین باید به گونه ای دیگر با آنها برخورد شود. روش قدیمی انجام کارها دیگر مهم نیست و واضح است که یک رویکرد تازه و موثر بسیار ضروری به نظر میرسد.

حملات جدید و پیچیده ای که بر علیه شرکت های کوچک و متوسط انجام می شود به صورت روزانه یا حتی ساعتی تولید می شوند و تحقیقات نشان می دهد راه حل های امنیتی که صرفا بر مبنای شهرت زیاد از آنها استفاده میشوند، بسیاری از حملات را تشخیص نمیدهند. اکنون زمان مناسبی برای تغییر رویکرد برای حفظ امنیت نهادهای تجاری و شغلی است؛ نگرشی که فارغ از دانش حملات گذشته باشد و بتواند امکانات و امنیتی به روز و جدید به کاربران خود ارائه دهد.

جای امیدواری است که صنعت امنیت سایبری روش‌های مختلفی را برای تجزیه‌وتحلیل بدافزارها توسعه داده است و البته هرکدام مجموعه نقاط قوت و ضعف خود را دارند. این به این معنی است که درحالیکه استفاده از فقط یک روش تجزیه‌وتحلیل بدافزار می‌تواند یک شبکه را در معرض خطر قرار دهد، اجرای روش‌های تجزیه‌وتحلیل‌ متعدد با ترتیب درست، می‌تواند با احتمال بالاتری از نفوذ بدافزارها به شبکه جلوگیری کند.

یک گروه امنیتی میتواند با اجرای متوالی روش های مختلف تحلیل بدافزار، تقریباً اکثر تهدیدات را بصورت خودکار تشخیص دهد در صورتی که بدون استفاده از مدل های اجرایی موفق و کسب اطلاعات کافی در مورد تهدید، ممکن است تنها به یک بازی حدش و گمان بسنده کنند که در نهایت نیز محکوم به شکست است.در محیط های تحلیل بدافزار ما با 3 نوع تحلیل مواجه هستیم:

1 - تحلیل ایستا (Static Analysis): تجزیه‌وتحلیل ایستا، خط اول دفاع است که شامل شکستن یک پرونده‌ی ناشناخته به مولفه‌هایی برای بررسی آن و بدون خراب شدن پرونده است و یک‌راه فوق‌العاده سریع و دقیق برای تشخیص بدافزارهای شناخته‌شده و انواع دیگر است که بخش عمده‌ای از حملاتی که معمولاً در سازمان‌ها دیده‌شده را تشکیل می‌دهد.

2 - تحلیل با استفاده از یادگیری ماشین (Machine Learning Analysis):  یادگیری ماشین شامل ایجاد و خودکارسازی یک سامانه برای طبقه‌بندی رفتارهای مخرب به گروه‌های متفاوت است. این گروه‌ها می‌توانند برای شناسایی محتوای مخرب در آینده بدون نیاز به ساخت الگوی دستی مورداستفاده قرار گیرند و هرچه نمونه بدافزارهای بیشتری مورد بررسی قرار گیرد و فهرست شود، توانایی سامانه برای تشخیص حملات در طول زمان رشد می‌کند

3 - تحلیل های پویا (Dynamic Analysis): آنچه عموماً به‌عنوان تحلیل پویا شناخته می‌شود معمولاً شامل ارسال یک نمونه مشکوک به یک محیط مبتنی بر ماشین مجازی و سپس فعال کردن آن در یک محیط کاملاً کنترل‌شده (بانام مستعار Sand box یا جعبه شنی) است که رفتار آن مشاهده می‌شود و از آن اطلاعاتی استخراج می‌شود.
ازآنجا که تجزیه‌وتحلیل ایستا و یادگیری ماشین هر دو نیاز به درجه‌ای از آشنایی قبلی با بدافزار دارند، برای آن‌ها شناسایی فعالیت‌های مخرب کاملاً جدید دشوار است. چالش تجزیه‌وتحلیل پویا مقیاس‌پذیری آن است که نیاز به محاسبات عظیم، ذخیره‌سازی و خودکارسازی دارد. گفته می‌شود اگر هر دو تجزیه‌وتحلیل ایستا و یادگیری ماشین انجام‌شده باشد آن‌ها به‌ احتمال ‌زیاد  بخش عمده‌ای از بدافزارها را شناسایی کرده‌اند.
برای اینکه بتوانید اقدامات اصلی را برای تحلیل بدافزار انجام دهید نیاز به ابزارهایی دارید که در اینجا به معرفی برخی از مهم‌ترین ابزار‌ها، کتاب‌ها و منابعی پرداخته خواهد شد که در تجزیه و تحلیل بدافزار و مهندسی معکوس مورد استفاده قرار می‌گیرد.

 

استفاده از ویراستار‌های Hex

یک ویراستار‌ Hex (یا ویراستار فایل باینری یا Byteeditor) نوعی برنامه‌ی کامپیوتری است که به کاربر توانایی دستکاری داده‌های باینری اساسی را می‌دهد و یک فایل کامپیوتری را تشکیل می‌دهند. نام «Hex» از واژه‌ی «Hexadecimal» می‌آید، فرمت استاندارد عددی برای نمایش داده‌های باینری است. در زیر چند برنامه ویراستار به همراه لینک توضیحات آن ارائه شده است.

• HxD
• 010 Editor
• Hex Workshop
• HexFiend
• Hiew

 

معرفی Disassemblerها

Disassembler یک برنامه‌ی کامپیوتری است که زبان ماشین را به زبان اسمبلی ترجمه می‌کند (عملیات معکوس نسبت به Assembler). لازم به ذکر است که Disassembler با Decompiler متفاوت است زیرا هدف Decompiler زبانی در سطح بالا است و نه یک زبان اسمبلی. فرمت Disassembly که خروجی Disassembler است، معمولا برای خواندن توسط انسان‌ها تعیین می‌شود، نه برای ورودی یک Assembler و این امر باعث می‌شود که این ابزار اساسا مبتنی بر مهندسی معکوس باشد.

• IDA Pro
• Binary Ninja
• Radare
• Hopper
• Capstone
• objdump
• fREedom
• plasma

 

ابزارهای شناسایی و طبقه‌بندی

• Assemblyline: چهارچوبی مقیاس‌پذیر برای تجزیه‌و‌تحلیل فایل توزیعی است.
• BinaryAlert: یک AWS Pipeline متن باز و بدون سرور که براساس مجموعه‌ای از قوانین YARA فایل‌های آپلودشده را اسکن کرده و درموردشان هشدار می‌دهد.
• chkrootkit: ابزاری برای شناسایی Rootkit مربوط به Local Linux است.
• ClamAV: نوعی موتور آنتی‌ویروس متن باز است.
• Detect:It:Easy : برنامه‌ای برای تعیین نوع فایل‌ها است.
• ExifTool: فراداده‌ی (Metadata) مربوط به خواندن، نوشتن و ویرایش فایل است.
• File Scanning Framework: راهکاری ماژولار و بازگشتی(Recursive) برای اسکن کردن فایل‌هاست.
• hashdeep: ابزاری برای محاسبه‌ی Hash Digestها با الگوریتم‌های مختلف به شمار می رود.
• Loki: نوعی اسکنر مبتنی بر Host برای IOCها است.
• Malfunction: فهرست اطلاعات یا کاتالوگ است و به مقایسه‌ی بدافزار در سطح عملکرد می‌پردازد.
• MASTIFF: چهارچوب تجزیه‌و‌تحلیل استاتیک است.
• MultiScanner: چهارچوبی ماژولار است که برای اسکن و یا تجزیه‌و‌تحلیل فایل استفاده می شود.
• nsrllookup: ابزاری برای جستجوی Hashها در دیتابیس National Software Reference Library متعلق به NIST است.
• packerid: یک پلتفرم مبتنی بر پایتون است که جایگزینی برای PEiD محسوب می‌گردد.
• PEV: یک Multiplatform Toolkit برای کار کردن با فایل‌های PE، که ابزار‌هایی با ویژگی‌های متنوع را برای تجزیه‌و‌تحلیل باینری‌های مشکوک فراهم می‌نماید.
• Rootkit Hunter: ابزاری است که Rootkitهای Linux را شناسایی می‌نماید.
• ssdeep: ابزاری که Hashهای مبهم (Fuzzy) را محاسبه می‌کند.
• TrID: شناسه‌ی (Identifier) فایل.
• YARA: ابزاری برای تطابق الگو (Pattern Matching) برای تحلیل‌گران است.
• Yara rules generator : ابزاری که بر اساس مجموعه‌ای از نمونه‌های بدافزار، قواعد Yara را ایجاد می‌کند. همچنین حاوی یک DB مناسب است که منجر به اجتناب از خطا در اعلام هشدار می‌گردد.

 

ابزارهای دقیق  Dynamic Binary

در زیر به معرفی ابزارهای باینری داینامیک دقیق یا در اصطلاح Dynamic Binary Instrumentation می‌پردازیم.

• Pin
• DynamoRio
• frida
• dyninst

 

ابزارهای رمزگشایی Mac

ابزار Mac Decrypting به شرح زیر می باشند:

• Cerbero Profiler
• AppEncryptor : ابزاری برای رمزگشایی
• Class:Dump : قابلیت استفاده از گزینه‌ی Deprotect
• readmem

 

معرفی ابزارهای شبیه سازی (Emulator)

• Qemu
• unicorn

 

معرفی ابزارهای آنالیز مستندات

• Ole Tools
• Didier’s PDF Tools
• Origami

 

تجزیه‌و‌تحلیل داینامیک

این مبحث، توضیحاتِ مقدماتی در زمینه‌ی تجزیه‌و‌تحلیل بدافزادها به صورت پویا می‌باشد و برای کسانی کاربرد دارد که در زمینه‌ی آنالیز بدافزار (Malware) شروع به کار کرده‌اند و یا می‌خواهند از مشکلاتی که بدافزار‌ها به جا می گذارند با ابزارهای مختلف مطلع شوند.

• ProcessHacker
• Process Explorer
• Process Monitor
• Autoruns
• Noriben
• API Monitor
• iNetSim
• Wireshark: یکی از قویترین ابزارها برای تجزیه و تحلیل پکت ها
• Fakenet
• Volatility
• Dumpit
• LiME
• Cuckoo
• Objective:See Utilities
• XCode Instruments : ابزار‌هایی برای مانیتورینگ فایل‌ها و فرایند‌ها.
• fs_usage : فراخوان‌های سیستمی و مشکلات صفحات را که مرتبط با فعالیت‌های Filesystem بصورت Realtime گزارش می‌دهد.
• Triton

 

معرفی ابزارهای XOR معکوس و دیگر روش‌های سوء استفاده از کد

• Balbuzard : یک ابزار برای تجزیه‌و‌تحلیل بدافزار برای Obfuscation معکوس (XOR، ROLو …) و موارد دیگر.
• de4dot : برای NET deobfuscator.  و  unpacker
• ex_pe_xor و iheartxor : دو ابزار از سوی Alexander Hanel برای کار کردن با فایل‌های رمزنگاری شده‌ی Single:Byte XOR.
• FLOSS :یا همان FireEye Labs Obfuscated String Solver از تکنیک‌های تجزیه‌و‌تحلیل استاتیک پیشرفته استفاده می‌کند تا به طور خودکار Stringها را از باینری‌های بدافزار جهت سوء استفاده خارج نماید.
• NoMoreXOR : حدس یک کلیدXOR 256 بایتی با استفاده از تجزیه‌و‌تحلیل فرکانس.
• PackerAttacker : یک استخراج‌کننده‌ی (Extractor) کد مخفی عمومی برای بدافزارهای ویندوز.
• Unpacker : بدافزار خودکارسازی شده برای بدافزارهای ویندوز مبتنی بر WinAppDbg.
• unxor : ابزاری برای حدس کلید‌های XOR با استفاده از حملات Known:Plaintext.
• VirtualDeobfuscator : ابزار مهندسی معکوس برای ساختارهای مجازی‌سازی.
• XORBruteForcer : یک اسکریپت پایتون جهت انجام حمله Brute Force روی کلید‌های Single:Byte XOR.
• XORSearch و XORStrings : دو برنامه از Didier Stevens برای یافتن داده‌های XORed.
• xortool : حدس طول کلید XOR و همچنین خود کلید.

 

معرفی ابزارهای Debugging

در این لیست می‌توان ابزاری برای Disassemblerها و Debuggerها و همچنین دیگر ابزار تجزیه‌و‌تحلیل استاتیک و داینامیک را مشاهده کرد.

ابزار Debugging بصورت پلتفرم

• gdb
• vdb
• lldb
• qira

ابزار Debugging متعلق به ویندوز

• WinDbg
• ImmunityDebugger
• OllyDbg v1.10
• OllyDbg v2.01
• OllySnD
• Olly Shadow
• Olly CiMs
• Olly UST_2bg
• x64dbg

تنها ابزار Debugging متعلق به لینوکس

• DDD

 

مهندسی معکوس

• angr : چهارچوبی جهت آنالیز باینری پلتفرم Agnostic که در Seclab متعلق به UCSB توسعه داده شده است.
• bamfdetect: اطلاعات را شناسایی کرده و آن‌ها را از Botها و دیگر بدافزارها خارج می‌نماید.
• BAP : چهارچوبی برای تجزیه‌و‌تحلیل باینری چند پلتفرمی و متن باز در Cylab متعلق به CMU.
• BARF : چهارچوبی برای آنالیز باینری و مهندسی معکوس متن باز و Multiplatform.
• Binnavi : تجزیه‌و‌تحلیل باینری برای مهندسی معکوس مبتنی بر Graph Visualization.
• Binary ninja : یک پلتفرم مهندسی معکوس که جایگزین IDA است.
• Binwalk : ابزار تجزیه‌و‌تحلیل Firmware.
• Bokken : یک GUI برای Pyew و Radare. (Mirror)
• Capstone : چهارچوب Disassembly برای تجزیه‌و‌تحلیل باینری و Reversing، با قابلیت پشتیبانی از بسیاری از معماری‌ها.
• codebro : مرورگر کد مبتنی بر وب که برای فراهم کردن تجزیه‌و‌تحلیل ابتدایی کد از Clang استفاده می‌کند.
• Dynamic Executable Code Analysis Framework یا به اختصار DECAF : یک پلتفرم تجزیه‌و‌تحلیل باینری مبتنی بر QEMU است و DroidScope اکنون افزونه‌ای برای DECAF است.
• dnSpy: ویراستار Net Assembly.، Decompiler و Debugger.
• Evan’s Debugger) EDB): یک Debugger ماژولار با یک Qt GUI.
• Fibratus: ابزاری برای کاوش و ردیابی هسته‏ی ویندوز.
• FPort: در یک سیستم روی پورت‌های TCP/IP و UDP گزارش‌گیری می‌کند و آن‌ها را به برنامه‌ی کاربردی مربوطه Map می‌نماید.
• GDB: یک Debugger مربوط به GNU.
• GEF: قابلیت‌های پیشرفته‌ی GDB برای Exploiterها و مهندسان معکوس.
• hackers:grep: کاربردی برای جستجوی Stringها در فایل‌های قابل اجرای PE شامل Importها، Exportها و نشانه‌های Debug.
• Hopper: یک Disassembler متعلق به macOS و لینوکس.
• IDA Pro: یک Disassembler و Debugger ویندوز، به همراه یک نسخه‌ی رایگان.
• Immunity Debugger :یک Debugger برای تجزیه‌و‌تحلیل بدافزارها و موارد دیگر، به همراه یک Python API.
• : ILSpy این ابزار در واقع یک مرورگر و Decompiler مربوط به Net Assembly. متن باز می‌باشد.
• Kaitai Struct: درواقع یک DSL برای فرمت‌های فایل، پروتکل‌های شبکه، ساختارهای داده، مهندسی معکوس و Dissection، همراه با ایجاد کد برای ++C، #C، Java، JavaScript، Perl، PHP، Python و Ruby است.
• LIEF : یک Library بین پلتفرمی را برای مجزا نمودن، اصلاح کردن و جداسازی فرمت‌های ELF، PE و MachO فراهم می‌نماید.
• ltrace: ابزاری برای تجزیه‌و‌تحلیل دینامیک برای فایل‌های قابل اجرای لینوکس می‌باشد.
• objdump: بخشی از Binutilهای GNU برای تجزیه‌و‌تحلیل استاتیک باینری‌های لینوکس.
• OllyDbg: یک Debugger در سطح Assembly برای فایل‌های قابل اجرای ویندوز است.
• PANDA: پلتفرمی برای معماری: تجزیه‌و‌تحلیل دینامیک بصورت بی طرف.
• PEDA یا Python Exploit Development Assistance برای GDB، نمایشگری پیشرفته با دستورات اضافی.
• pestudio: اجرای تجزیه‌و‌تحلیل استاتیک برای فایل‌های قابل اجرای ویندوز.
• Pharos: می‌توان از چهارچوب Pharos برای تجزیه‌و‌تحلیل باینری برای اجرای تجزیه‌و‌تحلیل استاتیک خودکارسازی‌شده‌ی باینری‌ها استفاده کرد.
• Plasma : یک Disassembler تعاملی برای x86، ARM، MIPS.
• (PPEE (Puppy : یک مرورگر فایل PE حرفه‌ای برای Reverserها، پژوهشگران برافزار و کسانی که می‌خواهند فایل‌های PE را به طور استاتیک و به صورت جزئی‌تر بررسی نمایند.
• Process Explorer : یک Task Manager پیشرفته برای ویندوز.
• Process Hacker : ابزاری که منابع سیستم را مانیتور می‌کند.
• Process Monitor : یک ابزار مانیتورینگ پیشرفته برای برنامه‌های ویندوز.
• PSTools : ابزار خط دستور ویندوز که به مدیریت و بررسی سیستم‌های زنده کمک می‌کند.
• Pyew : ابزار پایتون برای تجزیه‌و‌تحلیل بدافزار.
• PyREBox :درواقع Sandbox مهندسی معکوس Scriptable متعلق به Python تولید شده توسط تیم Talos در Cisco.
• Radare2 : چهارچوب مهندسی معکوس با پشتیبانی از Debugger.
• RegShot : ابزار مقایسه‌ی Registry که Snapshotها را مقایسه می‌کند.
• RetDec: یک Machine:Code Decompiler با قابلیت هدف‌گذاری مجدد (Retargetable) با یک سرویس Decompilation آنلاین و API که کاربر می‌تواند در ابزارهای خود از آن استفاده کند.
• ROPMEMU : چهارچوبی برای تجزیه‌و‌تحلیل، Dissect و Decompile کردن حملات Code:Reuse پیچیده.
• SMRT : یا همان Sublime Malware Research Tool، افزونه‌ای است برای Sublime 3 با هدف کمک به تجزیه‌و‌تحلیل بدافزار.
• strace : تجزیه‌و‌تحلیل دینامیک برای فایل‌های قابل اجرای لینوکس.
• Triton: یک چهارچوب تجزیه‌و‌تحلیل باینری دینامیک.
• Udis86: یک Library و ابزار Disassembler برای x86 و x64.
• Vivisect: ابزار Python برای تجزیه‌و‌تحلیل بدافزار.
• WinDbg:یک Debugger چندکاربردی برای سیستم عامل ویندوز، از آن برای Debug کردن برنامه‌های کاربردی User Mode، درایورهای دستگاه و Memory Dumpهای Kernel:Mode استفاده می‌شود.
• X64dbg : یک Debugger x64/x32 متن باز برای ویندوز است.

 

فرمت باینری و تجزیه‌و‌تحلیل باینری

Compound File Binary Format اصلی‌ترین Container مورد استفاده توسط فرمت‌های فایل مختلف مایکروسافت مانند مستندات Microsoft Office و بسته‌های Microsoft Installer می‌باشد.

• CFF Explorer
• Detect It Easy
• PeStudio
• PEiD
• MachoView
• nm : نمایش نشانه‌ها
• file : اطلاعات فایل
• codesign : کاربرد اطلاعات Code Signing: dvvv filename

منابع تجزیه‌و‌تحلیل باینری

• Mobius Resources
• z3
• bap
• angr

معرفی Decompiler

Decompiler برنامه‌ای کامپیوتری است که یک فایل قابل اجرا را به عنوان ورودی می‌گیرد و سعی می‌کند یک سورس فایل سطح بالا بسازد که بتوان آن را به طور موفقیت آمیزی Recompile نمود. در نتیجه نقطه‌ی مقابل Compiler محسوب می‌شود زیرا Compiler یک فایل منبع را می‌گیرد و آن را به فایل قابل اجرا تبدیل می‌نماید.

معرفی  Decompiler پرکاربرد

• HexRay
• RetDec
• Boomerang

معرفی Decompilerهای جاوا

• Procyon
• JD:GUI
• JAD

معرفی Decompilerهای NET.

• JustDecompile
• dotPeek

معرفی Decompilerهای زبان دلفی

• IDR
• Revendepro

معرفیDecompilerهای زبان پایتون

• Uncompyle6
• Decompyle++

 

معرفی ابزار تجزیه‌و‌تحلیل Bytecode

• dnSpy
• Bytecode Viewer
• Bytecode Visualizer
• JPEXS Flash Decompiler

 

معرفی ابزارهای Import Reconstruction

• ImpRec
• Scylla
• LordPE

 

Sandboxها و اسکنرهای آنلاین

از ابزارهایی که در ادامه معرفی می‌شوند به عنوان اسکنرهای Multi:AV مبتنی بر وب و Sandboxهای بدافزار برای تجزیه‌و‌تحلیل خودکارسازی‌شده استفاده می‌گردد.

• io : یک Sandbox آنلاین است.
• AndroTotal : آنالیز آنلاین رایگان برای APKها در مقابل چندین برنامه‌ی آنتی‌ویروس موبایل.
• AVCaesar: اسکنر آنلاین lu و مخزن (Repository) بدافزار.
• Cryptam: تحلیل اسناد مشکوک Office.
• Cuckoo Sandbox: یک Sandbox متن باز و Self Hosted و سیستم تجزیه‌و‌تحلیل خودکارسازی‌شده.
• cuckoo:modified: نسخه‌ی اصلاح‌شده‌ی Cuckoo Sandbox که تحت GPL منتشر شده است. به دلایل قانونی و صلاح‌دید مولف Merged Upstream نیست.
• cuckoo:modified:api: یک Python API که برای کنترل یک Sandbox که Cuckoo:Modified است مورد استفاده قرار می‌گیرد.
• DeepViz : تحلیلگر فایل چند فرمتی با طبقه‌بندی Machine:Learning.
• detux : یک Sandbox که توسعه داده شده است تا تجزیه‌و‌تحلیل ترافیک بدافزارهای لینوکس و IOCهای Capturing را انجام دهد.
• DRAKVUF : سیستم تجزیه‌و‌تحلیل بدافزار دینامیک.
• re : تقریبا هر بسته‌ی Firmwareای را Unpack، اسکن و تجزیه‌و‌تحلیل می‌کند.
• HaboMalHunter : یک ابزار تجزیه‌و‌تحلیل بدافزار خودکارسازی شده برای فایل‌های ELF لینوکس.
• Hybrid Analysis : ابزار تجزیه‌و‌تحلیل بدافزار آنلاین که VxSandbox قدرت موردنیاز آن را تامین می‌کند.
• IRMA : یک پلتفرم تجزیه‌و‌تحلیل Asynchronous و قابل سفارشی‌سازی برای فایل‌های مشکوک.
• Joe Sandbox : تجزیه‌و‌تحلیل بدافزار به‌صورت عمقی با Joe Sandbox.
• Jotti : اسکنر Multi:AV آنلاین رایگان.
• Limon :یک Sandboxی برای تحلیل بدافزار لینوکس.
• Malheur : ابزاری برای تجزیه‌و‌تحلیل خودکار رفتار بدافزار در Sandbox.
• malsub : یک چهارچوب Python RESTful API برای بدافزارهای آنلاین و خدمات تجزیه‌و‌تحلیل URL.
• Malware config : ابزاری برای Extract، Decode و نمایش آنلاین تنظیمات پیکربندی از بدافزارهای عادی.
• Malwr : تجزیه‌و‌تحلیل رایگان با یک Cuckoo Sandbox Instance آنلاین.
• com : اسکن کردن یک فایل، Hash یا آدرس IP برای بدافزار (رایگان).
• NetworkTotal: سرویسی که فایل‌های pcap را آنالیز کرده و شناسایی سریع ویروس‌ها، Wormها، Trojanها و انواع بدافزار را با استفاده از Suricata که با EmergingThreats Pro پیکربندی شده است تسهیل می‌نماید.
• PDF Examiner : ابزاری برای تجزیه‌و‌تحلیل فایل‌های PDF مشکوک استفاده می‌شود.
• ProcDot : یک Toolkit گرافیکی برای تجزیه‌و‌تحلیل بدافزار است.
• Recomposer : یک اسکریپت کمک‌کننده برای آپلود ایمن باینری‌ها به سایت‌های Sandbox به شمار می‌رود.
• Sand droid : سیستمی کامل و خودکار برای تجزیه‌و‌تحلیل برنامه‌های کاربردی اندروید است.
• SEE یا Sandboxed Execution Environment چهارچوبی است برای ساختن خودکارسازی تست در محیط‌های ایمن است.
• VirusTotal – ابزاری برای تجزیه‌و‌تحلیل آنلاین رایگان نمونه‌های بدافزار و URLها.
• Zeltser’s List : یک Sandboxها و خدمات خودکارسازی‌شده‌ی رایگان که توسط Lenny Zeltser جمع‌آوری شده‌اند.

 

معرفی تجزیه‌و‌تحلیل مستندات

• Ole Tools
• Didier’s PDF Tools
• Origami

 

بررسی ابزارهای Scripting

• IDA Python Src
• IDC Functions Doc
• Using IDAPython to Make your Life Easier
• Introduction to IDA Python
• The Beginner’s Guide to IDA Python
• IDA Plugin Contest
• onehawt IDA Plugin List
• pefile Python Libray

 

معرفی ابزارهای اندروید

• Android Developer Studio
• AndroGuard
• APKtool
• dex2jar
• Bytecode Viewer
• IDA Pro

 

بررسی منابع Yara

• Yara docs
• Cheatsheet
• yarGen
• Yara First Presentation

 

Artifactهای ویندوز

• AChoir : یک اسکریپت پاسخ رویداد، جهت جمع‌آوری Artifactهای ویندوز است.
• python:evt :کتابخانه متعلق به Python برای مجزا نمودن Event Logهای ویندوز.
• python:registry : کتابخانه متعلق به Python برای مجزا نمودن فایل‌های Registry.
• RegRipper : ابزار تجزیه‌و‌تحلیل Registry مبتنی بر Plugin.

 

بررسی ابزارهای Storage و Workflow

• Aleph : سیستم Pipeline تجزیه‌و‌تحلیل بدافزار متن باز.
• CRITs : پژوهش مبتنی بر همکاری در مورد تهدیدات، یک بدافزار و مخزن (Repository) تهدید.
• FAME : چهارچوبی برای تجزیه‌و‌تحلیل بدافزار، دارای یک Pipeline که می‌توان با استفاده از ماژول‌های سفارشی آن‌ها را گسترش داد. می‌توان این ماژول‌ها را زنجیروار به هم متصل کرد تا با یک دیگر تعامل داشته باشند تا تجزیه‌و‌تحلیل بصورت End-to-End اجرا گردد.
• Malwarehouse : ذخیره‌سازی، Tag کردن و جستجوی بدافزار.
• Polichombr : یک پلتفرم تجزیه‌و‌تحلیل بدافزار که طراحی شده است تا به تحلیل‌گران کمک کند قابلیت همکاری بدافزارها را برعکس نمایند.
• stoQ : چهارچوبی برای تجزیه‌و‌تحلیل محتوای توزیع‌شده با پشتیبانی گسترده از افزونه‌ها، از ورودی تا خروجی و تمام موارد بین آن‌ها.
• Viper : چهارچوبی برای مدیریت و تجزیه‌و‌تحلیل باینری برای تحلیل‌گران و پژوهشگران.

 

ابزارهای جمع آوری نمونه‌هایی از بدافزار

• Clean MX : دیتابیس Realtime از بدافزارها و دامین‌های مخرب.
• Contagio: مجموعه‌ای از نمونه‌ها و تجزیه‌و‌تحلیل‌های اخیر مربوط به بدافزارها.
• Exploit Database : نمونه‌های Exploit و Shellcode.
• Malshare : مجموعه ای بزرگ از بدافزارهایی که فعالانه از سایت‌های مخرب گرفته شده‌اند.
• MalwareDB : مجموعه ای از نمونه‌های بدافزار.
• Open Malware Project : اطلاعات و دانلود‌های نمونه Offensive Computing.
• Ragpicker : افزونه‌ای مبتنی بر Crawler بدافزار همراه با قابلیت‌های Pre:Analysis و گزارش‌گیری.
• theZoo : نمونه‌های بدافزار برای تحلیل‌گران.
• ViruSign : دیتابیس بدافزاری که توسط بسیاری از برنامه‌های بدافزار به غیر از ClamAV شناسایی شده است.
• VirusShare : مخزن بدافزار، نیازمند ثبت‌نام.
• VX Vault : مجموعه‌ای فعال از نمونه‌های بدافزار
• Zeltser’s Sources : لیستی از منابع نمونه‌های بدافزار که توسط Lenny Zeltser جمع‌آوری شده است.
• Zeus Source Code : منبع Zeus trojan که در سال 2011 فاش شد.

 

معرفی دوره‌های آموزشی مهندسی معکوس

• Lenas Reversing for Newbies
• Open Security Training
• Fu’s Malware Analysis
• Binary Auditing Course
• TiGa’s Video Tutorials
• Legend of Random
• Modern Binary Exploitation
• RPISEC Malware Course
• SANS FOR 610 GREM
• REcon Training
• Blackhat Training
• Offensive Security
• Corelan Training
• Offensive and Defensive Android Reversing

 

بررسی دامین‌ها و آدرس‌های IP

• com : سرویس IP blacklist اجتماع‌محور.
• boomerang : ابزاری که برای ثبت مداوم و ایمن از منابع وب شبکه طراحی شده است.
• Cymon : ردیاب هوش تهدیدات، همراه با جستجوی IP، دامین و Hash.
• me : ابزاری نیازمند تنها یک کلیک، با هدف بازیابی Metadata به بیشترین حد ممکن برای یک سایت و همچنین با هدف ارزیابی مناسب آن.
• dnstwist : موتور جایگشت (Permutation) نام دامین برای شناسایی Typo Squatting، Phishing و Corporate Espionage.
• IPinfo : جمع‌آوری اطلاعات درمورد یک IP یا دامین با جستجو در منابع آنلاین.
• Machinae : ابزار OSINT برای جمع‌آوری اطلاعات درمورد URLها، IPها و یا Hashها. مشابه Automator.
• MaltegoVT : دگرگونی Maltego برای VirusTotal API. تحقیق در مورد دامین و IP و همچنین جستجو برای File Hashها و گزارشات Scan را ممکن می‌سازد.
• Multi rbl : چندین DNS Blacklist و Forward Confirmed Reverse DNS برای بیش از 300 RBL.
• NormShield Services : خدمات API رایگان برای شناسایی دامین‌های Phishing احتمالی، آدرس‌های IP که Blacklist شده‌اند و حساب‌هایی که دچار نقض امنیتی گشته‌اند.
• SpamCop : یک Spam Block List مبتنی بر IP است.
• SpamHaus : یک Block List مبتنی بر دامین‌ها و IPها است.
• Sucuri SiteCheck : بدافزار وب‌سایت رایگان و اسکنر امنیتی.
• Talos Intelligence : ابزاری برای جستجو برای صاحب IP، دامین و شبکه. (در گذشته SenderBase بوده است.)
• TekDefense Automater : ابزار OSINT برای جمع‌آوری اطلاعات درمورد URLها، IPها و یا Hashها.
• URLQuery : اسکنر URL رایگان.
• Whois : ابزاری برای جستجوی Whois آنلاین رایگان DomainTools.
• Zeltser’s List : ابزار آنلاین رایگان برای تحقیق در مورد وب‌سایت‌های مخرب، جمع‌آوری شده توسط Lenny Zeltser
• ZScalar Zulu : تحلیلگر ریسک Zulu URL.

 

اسناد و Shellcode

• AnalyzePDF : ابزاری برای تحلیل PDFها و سعی بر تعیین اینکه آیا مخرب هستند یا خیر.
• box:js : ابزاری برای مطالعه‌ی بدافزار JavaScript، با پشتیبانی از JScript و WScript و شبیه‌سازی ActiveX.
• diStorm :یک Disassembler برای تحلیل Shellcode مخرب است.
• JS Beautifier :یک Unpacking و Deobfuscation برای جاوا اسکریپت است.
• JS Deobfuscator :یک Deobfuscate کننده‌ی Javascript ساده است که از Eval یا write برای پنهان کردن کد خود استفاده می‌کند.
• Libemu : ابزار برای شبیه‌سازی x86 Shellcode است.
• Malpdfobj : جدا کننده‌ی PDFهای مخرب در یک نمایش از JSON.
• OfficeMalScanner : اسکن کردن ردهای مخرب در اسناد MS Office.
• olevba : اسکریپتی برای مجزا نمودن اسناد OLE و OpenXML و Extract کردن اطلاعات مفید.
• Origami PDF : ابزاری برای تحلیل PDFهای مخرب و موارد بیشتر.
• PDF X:Ray Lite : ابزاری برای تحلیل PDF، نسخه‌ی Backend:Free از PDF X:RAY.
• peepdf : ابزار Python برای کاوش در PDFهایی که احتمال مخرب بودنشان وجود دارد.
• QuickSand : QuickSand یک چهارچوب Compact C است برای تحلیل اسناد مشکوک بدافزار با هدف شناسایی Exploitها در Streamهایی از Encodingهای متفاوت و همچنین با هدف پیدا کردن و Extract کردن فایل‌های قابل اجرای کارگزاری‌شده.
• Spidermonkey : موتور JavaScript متعلق به Mozilla، برای debug کردن JS مخرب.

 

معرفی کتاب‌ها در زمینه معندسی معکوس

• The IDA Pro Book
• Reverse Engineering for Beginners
• The Art of Assembly Language
• Practical Reverse Engineering
• Reversing: Secrets of Reverse Engineering
• Practical Malware Analysis
• Malware Analyst’s Cookbook
• Gray Hat Hacking
• The Art of Memory Forensics
• Hacking: The Art of Exploitation
• Fuzzing for Software Security
• Art of Software Security Assessment
• The Antivirus Hacker’s Handbook
• The Rootkit Arsenal
• Windows Internals Part 1Part 2
• Inside Windows Debugging
• iOS Reverse Engineering

 

ابزار هوش تهدیدات متن باز

• AbuseHelper : چهارچوبی متن باز برای دریافت و توزیع دوباره‌ی Feedهای مزاحم و هوش تهدیدات.
• AlienVault Open Threat Exchange : ابزاری برای به اشتراک گذاری و همکاری در توسعه‌ی هوش تهدیدات.
• Combine : ابزاری برای جمع‌آوری شاخص‌های هوش تهدیدات از منابعی که به طور عمومی در دسترس می‌باشند.
• Fileintel : ابزاری برای به دست آوردن اطلاعات به ازای File Hash.
• Hostintel : ابزاری برای به دست آوردن اطلاعات به ازای Host.
• IntelMQ : ابزاری برای CERTها به منظور پردازش داده‌های مربوط به رخدادها با استفاده از یک Message Queue.
• OC Editor : ویراستاری رایگان برای فایل‌های XML IOC.
• ioc_writer : کتابخانه متعلق به پایتون برای کار کردن با Objectهای OpenIOC از Mandiant.
• Massive Octo Spice : در گذشته به عنوان Collective Intelligence Framework یا به اختصار CIF شناخته می‌شد و در واقع IOCها را از لیست‌های مختلف کنار هم جمع می‌کند.
• Pulsedive : یک پلتفرم هوش تهدیدات رایگان و مبتنی بر جامعه که IOCها را از Feedهای متن باز جمع‌آوری می‌کند.
• PyIOCe : یک ویراستار OpenIOC متعلق به زبان پایتون است.
• threataggregator : تهدیدات امنیتی را از منابع مختلف، شامل منابعی که در ادامه در بخش «منابع دیگر» فهرست شده‌اند، کنار هم جمع می‌کند.
• ThreatCrowd : یک موتور جستجو برای تهدیدات، همراه با مصورسازی گرافیکی است.
• ThreatTracker : یک اسکریپت مبتنی بر زبان پایتون است که برای ایجاد و مانیتور کردن هشدارها براساس IOCهایی که توسط مجموعه‌ی از Google Custom Search Engines، ایندکس شده‌اند.
• TIQ:test : مصورسازی داده و تجزیه‌و‌تحلیل آماری Feedهای هوش تهدیدات.

 

معرفی منابع دیگر

• APT Notes : مجموعه‌ای از مقالات و یادداشت‌های مربوط به تهدیدات مداوم پیشرفته.
• File Formats posters : مصورسازی خوب از فرمت‌های فایلی که عموما مورد استفاده قرار می‌گیرند (از جمله PE و ELF).
• Honeynet Project : ابزار Honeypot، مقالات و دیگر منابع.
• Kernel Mode : انجمن فعال مختص به تجزیه‌و‌تحلیل بدافزار و توسعه‌ی Kernel.
• Malicious Software : بلاگ و منابع Malware جمع‌آوری‌شده توسط Lenny Zeltser.
• Malware Analysis Search : موتور جستجوی سفارشی Google از Corey Harrell.
• Malware Analysis Tutorials : دوره‌های آموزشی تجزیه‌و‌تحلیل بدافزار توسط Xiang Fu، منبعی عالی برای یادگیری تجزیه‌و‌تحلیل کاربردی بدافزار.
• Malware Samples and Traffic : این بلاگ روی ترافیک شبکه مرتبط آلودگی‌های بدافزار متمرکز است.
• Practical Malware Analysis Starter Kit : این بسته حاوی اکثر ارجاعات نرم‌افزاری در کتاب Practical Malware Analysis می‌باشد.
• Windows Registry specification : مشخصات فرمت فایل Registry ویندوز.

شرکت سازنده تجهیزات شبکه SonicWall به مشتریان در مورد یک کمپین باج افزار "قریب الوقوع" هشدار داده است. هدف این کمپین باج افزاری، محصولات Secure Mobile Access (SMA) سری 100 و محصولات Secure Remote Access (SRA) که با سیستم عامل پچ نشده و فریمور از رده خارج 8.x است.

این هشدار بعد از گذشت بیش از یک ماه پس از انتشار گزارشاتی مبنی بر بهره برداری از آسیب پذیری های دسترسی از راه دور در تجهیزات VPN SonicWall SRA 4600 (CVE-2019-7481) به عنوان مسیر دسترسی اولیه برای حملات باج افزاری نقض شبکه شرکت های سراسر جهان، اعلام شده است.

این شرکت افزود: "SonicWall از فعالیت عاملان تهدیدی که برای هدف قرار دادن محصولات Secure Mobile Access (SMA) 100 سری و Secure Remote Access (SRA) محصولات سخت افزاری پچ نشده و فریمور EOL 8.x از طریق یک کمپین باج افزاری قریب الوقوع و با بهره گیری از اعتبار نامه های به سرقت رفته اقدام کرده اند، کاملا آگاه است. این بهره برداری، آسیب پذیری از قبل شناخته شده ای را هدف قرار داده است که در نسخه های جدید فریمور پچ شده است".

به گزارش هکرنیوز، کمپانی SonicWall خاطرنشان كرده است که محصولات سری SMA 1000 تحت تأثیر این نقص قرار نگرفته اند و همچنین از مشاغل مختلف خواست كه فوراً د رهر حالت ممکن بروزرسانی فریمور خود را انجام داده، احراز هویت چند مرحله ای فعال کرده و یا از قطع اتصال وسایلی كه از شرایط end-of-life عبور کرده انند و نمی توانند به فریمور 9.x به روز شوند، اطمینان حاصل كنند.

این شرکت هشدار داد: "دستگاه های آسیب دیده با پایان عمر فریمور 8.x فعلا خطر را به طور موقت از سر گذرانده؛ اما ادامه استفاده از این فریمور یا دستگاه های با پایان عمر، یک خطر امنیتی فعال و بالفعل را به همراه دارد.". به راستای کاهش مخاطرات، SonicWall همچنین به مشتریان توصیه کرده است تمام گذرواژه های مرتبط با دستگاه SMA یا SRA و همچنین هر دستگاه یا سیستم دیگری را که ممکن است از اعتبارنامه مشابه استفاده کنند، تغییر دهند.

این همچنین چهارمین باری است که دستگاه های SonicWall به عنوان مسیری برای حملات بزرگ‌ و پرسود (برای مهاجمین) ظاهر می شوند، عاملان تهدید با سواستفاده از نقایصی که قبلاً فاش نشده بودند، بدافزار را مستقر کرده و در شبکه های هدف خود قرار گرفته اند و این موضوع را به جدیدترین سوژه ای تبدیل کرده اند که این شرکت در ماه های اخیر با آن دست و پنجه نرم کرده است.

در ماه آوریل، FireEye Mandiant فاش کرد که یک گروه هک ردیابی شده به عنوان UNC2447، از نقص روز صفر روز در تجهیزات SonicWall VPN (CVE-2021-20016) قبل از اینکه توسط این شرکت پچ شود، استفاده می کردند تا نوع جدیدی از باج افزار به نام FIVEHANDS را در شبکه های نهادها و سازمان هایی در آمریکای شمالی و اروپا مستقر نمایند.

یک بدافزار شناخته شده که به سرقت اطلاعات حساس از تجهیزات های ویندوزی معروف است، اکنون به یک توانایی جدید دست پیدا کرده و می تواند سیستم عامل MacOS اپل را نیز هدف قرار دهد.

این بدافزار بروزرسانی شده، "XLoader" نام دارد و جانشین دیگری برای بدافزار معروف مبتنی بر ویندوز سرقت اطلاعات به نام Formbook است که با اقداماتی همچون سرقت اعتبارنامه ها مرورگرهای مختلف وب، ضبط تصاویر از صفحه، ضبط اطلاعات کلیدهای ورودی و دانلود و اجرای فایل ها از دامنه های تحت کنترل مهاجمان شناخته شده است.

شرکت امنیت سایبری Check Point در گزارشی که با خبرگزاری ها به اشتراک گذاشته شده است، گفت: "هکرها می توانند با هزینه ای معادل 49 دلار در دارک نت، مجوزهای مربوط به بدافزار جدید را خریداری کنند و امکاناتی نظیر جمع آوری اطلاعات ورود به سیستم، عکسبرداری از صفحه، کلیدهای ورودی سیستم و اجرای فایل های مخرب را برای خود فراهم کنند".

توزیع XLoader از طریق ایمیل های جعلی حاوی اسناد مخرب مایکروسافت آفیس، برای قربانیان آلوده شامل 69 کشور مختلف در بازه زمانی بین اول دسامبر سال 2020 و 1 ژوئن 2021 انجام شده است که 53 درصد از آلودگی ها گزارش شده فقط در ایالات متحده به وقوع پیوسته است و به دنبال آن مناطق ویژه اداری چین (SAR)، مکزیک، آلمان و فرانسه قرار دارند.

در حالی که اولین نمونه های Formbook در ژانویه 2016 در فضای سایبری کشف شد، فروش بدافزار در انجمن های زیرزمینی در اکتبر 2017 متوقف گردید، اما پس از گذشت بیش از دو سال این بدافزار در قالب XLoader، از ماه فوریه سال 2020 دوباره بازگشته است.

چک پوینت اعلام کرد در اکتبر سال 2020، آخرین مورد آن در همان فرومی برای فروش به تبلیغ گذاشته شد که برای فروش بدافزار Formbook استفاده میشد. گفته می شود که هر دو Formbook و XLoader که از مشتقات آن است، با اینکه نسخه جدید شامل تغییرات اساسی است که به آن قابلیت های جدیدی برای به خطر انداختن سیستم های macOS می دهد، اما از یک کد بیس مشترک برخوردارند.

طبق آماری که اوایل ژانویه توسط چک پوینت منتشر شد، Formbook در دسامبر سال 2020 در میان خانواده های بدافزار رایج در جایگاه سوم بود که 4٪ از سازمان های سراسر جهان را تحت تأثیر خود قرار داده بود. لازم به ذکر است که بدافزار تازه کشف شده XLoader برای رایانه های شخصی و Mac با XLoader برای Android که برای اولین بار در آوریل 2019 شناسایی شد، یکسان نبوده و متفاوت است.

یانیو بالماس، رئیس تحقیقات سایبری در چک پوینت بیان داشت: "XLoader بسیار پیشرفته تر و تکامل یافته تر از مدل های قبلی خود است و از سیستم عامل های مختلف، به ویژه کامپیوترهای macOS پشتیبانی می کند. اگر به گذشته و تاریخ بنگریم، میبینیم که هیچ بدافزار macOS بدین شکل رایج نبوده است. آنها معمولاً در گروه جاسوس افزارها قرار می گیرند و آسیب زیادی را به سیستم وارد نمی کنند".

بالماس خاطرنشان کرد: "اگرچه ممکن است بین بدافزارهای ویندوز و MacOS تفاوت و فاصله وجود داشته باشد، اما به تدریج این فاصله در حال کاهش است. حقیقت این است که روند رشد بدافزارهای macOS در حال بزرگتر شدن، بیشتر شدن و خطرناک تر شدن است".

 

یک کمپین بدافزار مک (Mac)، با هدف قرار دادن توسعه دهندگان Xcode جهت افزودن امکان پشتیبانی از تراشه های جدید M1 اپل و گسترش ویژگی های آن برای سرقت اطلاعات محرمانه از برنامه های رمزارزها، مجدداً مورد استفاده قرار گرفته است.

به نقل از هکر نیوز، XCSSET در آگوست سال 2020 و پس از اینکه از طریق پروژه های تغییر Xcode IDE، که در طی فرایند ساخت برای اجرای بارگیری اطلاعات تنظیم شده بودند، مورد توجه قرار گرفت. این بدافزار برای تقلید از برنامه های مجاز مَک، که بطور کامل مسئول آلوده کردن پروژه های محلی Xcode و تزریق اطلاعات اصلی برای اجرا در هنگام ایجاد پروژه در معرض خطر است، ماژول های اطلاعات را مجددا بارگیری می کند.

ماژول های XCSSET دارای قابلیت سرقت گواهی ها، گرفتن اسکرین شات، تزریق جاوا اسکریپت مخرب به وب سایت ها، سرقت داده های کاربر از برنامه های مختلف و حتی رمزگذاری فایل ها برای باجگیری است.

سپس در ماه مارس 2021، محققان کسپرسکی نمونه های XCSSET را كه برای تراشه های جدید Apple M1 جمع آوری شده بود، کشف كردند و این کشف حاكی از آن بود كه فعالیت این بدافزار نه تنها تاکنون ادامه داشته است، بلكه مهاجمان نیز به طور فعال اقدامات اجرایی خود را با آن تطبیق می داده اند و آنها را برای اجرا بر روی مک های جدید سیلیکون اپل، بومی سازی می كرده اند.

 

آخرین تحقیقات ترند میکرو نشان می دهد که XCSSET برای اعمال بک دور جاوا اسکریپت به وب سایت ها با استفاده از حملات Universal Cross-Site Scripting (UXSS) همچنان از نسخه در دست توسعه مرورگر سافاری سوءاستفاده می کند.

محققان ترند میکرو، در تحلیلی که روز جمعه منتشر شد، اعلام کردند: "این بدافزار، بسته های بروزرسانی سافاری را در سرور command-and-control میزبانی می کند، سپس بسته را بسته به نسخه سیستم عامل کاربر دانلود و نصب می کند. همچنین برای سازگاری با نسخه تازه منتشر شده Big Sur ، بسته های جدیدی برای سافاری 14، اضافه شده است".

این بدافزار علاوه بر تروجان سازی سافاری به منظور نفوذ به داده ها، با سوءاستفاده از حالت اشکال زدایی از راه دور در مرورگرهای دیگر مانند گوگل کروم، مرورگر بِرِیو، مایکروسافت اِج، موزیلا فایرفاکس، اوپرا، مرورگر کیهو 360 و مرورگر یاندکس برای انجام حملات UXSS شناخته می شود.

بعلاوه این بدافزار حتی سعی در سرقت اطلاعات حساب از چندین وب سایت از جمله سیستم عامل های معاملات ارزهای رمزنگاری هیوبی، بایننس، NNCall.net، اِنواتو و 163.com دارد که توانایی جایگزینی آدرس کیف پول رمزارز کاربر را با موارد تحت کنترل مهاجم دارد.

نحوه انتشار XCSSET از طریق پروژه های تحقیقاتی Xcode، تهدیدی جدی قلمداد می شود، زیرا توسعه دهندگانی که آلوده شده اند، ناخواسته کار خود را در GitHub به اشتراک می گذارند و می توانند بدافزار را در قالب پروژه های Xcode که در معرض خطر هستند، به کاربران خود منتقل کنند و به متعاقب آن منجر به سلسله حملاتی مانند حملات زنجیره تامین بشوند و کاربرانی را که به این دیتابیس ها در پروژه های خود وابستگی و اعتماد دارند، بشدت در معرض خطر و آلودگی قرار دهند.

 

یک حمله جدی دیگر در زنجیره تأمین به صورت آنلاین به وقوع پیوسته است که به طور بالقوه هزاران کاربر و مشتری را تحت تأثیر قرار داده است. این بار قربانی، غول مدیریت رمز عبور Passwordstate Click Studios است که خود این مجموعه، حمله سایبری را تأیید کرده است. ممکن است مهاجمان رمزهای ورود کاربران را از مدیریت رمز عبور هک شده نیز جمع آوری کرده باشند.

 

 

حمله سایبری بهمدیریت رمز عبورPasswordstate

گفته می شود شرکت نرم افزاری استرالیایی کلیک استودیوز، که در پس سیستم مدیریت رمز عبور Passwordstate است، حمله سایبری به سیستم های خود را تایید کرده است.

به نقل از لیتست هکینگ نیوز، همانطور که در گزارش آنها شرح داده شده است، این شرکت دچار حمله در زنجیره تأمین شده است، چرا که مهاجمان از طریق یک بروزرسانی مخرب، موفق به تخریب و آسیب رسانی به ساختار مدیریت رمز عبور شدند. برای این منظور، مهاجمان عملکرد بروزرسانی در محل وب سایت اصلی آنها را به خطر انداخته اند.

اگرچه این حمله نسبتاً کوتاه مدت بود و به مدت 28 ساعت ادامه پیدا کرد ولی مهاجمان موفق به وارد کردن خسارت شدند.

کلیک استودیوز جزئیات مربوط به حمله را به اشتراک گذاشته است: "هرگونه ارتقا در محل که بین 20 آوریل در ساعت 8:33 بعد از ظهر به وقت آمریکا تا 22 آپریل ساعت 0:30 صبح به وقت آمریکا انجام شده باشد، امکان دارد که یک فایل بدافزار با نام Passwordstate_upgrade.zip را بارگیری کرده باشد. این فایل zip از یک شبکه بارگیری که توسط Click Studios کنترل نمی شود، بارگیری شده است".

این بروزرسانی مخرب طبق بررسی های انجام شده، بدافزار را در سیستم دریافت کننده های بروزرسانی رمز عبور، نصب میکند. این بدافزار که "Moserware" نامیده می شود، اطلاعات مربوط به سیستم هدف را سرقت کرده و برای مهاجمان ارسال میکند.

هنگامی که قابلیت  بروزرسانی در محل پردازش و آغاز می شود، Passwordstate_upgrade.zip مخرب، یک moserware.secretsplitter.dll طراحی شده با اندازه 65 کیلوبایت را بارگیری می کند. سپس این فایل اضافی، فایل upgrade_service_upgrade.zip را از شبکه CDN عاملین حمله بارگیری می کند، یک تهدید جدید را در پس برنامه ها آغاز می کند و upgrade_service_upgrade.zip را به یک ساختار .NET که فقط در مموری نگهداری میشود تبدیل کرده و شروع به پردازش می نماید.

 

رفع سریع و کاهش خطر

با کشف این حادثه، تامین کنندگان از ارائه این بروزرسانی ها در محل مخرب جلوگیری کردند. همچنین آنها از مشتریان و کاربران خواسته اند که وجود فایل 65 کیلوبایتی moserware.secretsplitter.dll را در دایرکتوری c:\inetpub\passwordstate\bin خود مورد بررسی قرار دهند.

در صورت یافتن این فایل، آنها باید "فهرست خروجی دایرکتوری c:\inetpub\passwordstate\bin را که حاوی فایلی به نام PasswordstateBin.txt است، برای کلیک استودیوز ارسال کنند تا برای دریافت دستورالعمل های اصلاح این مشکل، راهنمایی های لازم را دریافت نمایند.

در حالی کلیک استودیوز تأیید کرد که این حادثه برخی از مشتریان را تحت تأثیر قرار داده است، اما جزئیات تعداد این حمله بسیار کم است. با این حال ، با روشن شدن اوضاع، این تعداد ممکن است به طور بالقوه افزایش یابد.

در حال حاضر کلیک استودیوز دارای بیش از 29،000 مشتری از بخشهای مختلف، از جمله برخی از 500 شرکت معرفی شده توسط مجله معروف فورچون است.

بدافزاری که توسط محققان با عنوان Vigilante مطرح شده است، از ورود سیستم های کاربران به سایتهایی که توزیع نرم افزار و داده های غیرقانونی و کرک شده را برعهده دارند، جلوگیری می کند.

به نقل از هک رید، محققان امنیت فناوری اطلاعات در SophosLabs در مورد یک بدافزار جدید غیرمعمول با عنوان vigilante گزارشی ارائه داده اند. محققان ادعا می کنند که عملکرد این بدافزار در مقایسه با نمونه های نسبتا مشابه خود، کاملاً متفاوت است.

محققان به آن لقب "Vigilante" داده اند زیرا این بدافزار به عنوان یک عملگر هوشیار عمل می کند و از ورود سیستم ها به سایتهایی که مرکز توزیع نرم افزارهای کرک شده و سرقتی و داده های دزدی هستند، جلوگیری می کند. این بدان معناست که از دسترسی قربانیان به سیستم عامل های نرم افزاری دزدی و کرک شده جلوگیری می کند.

بدافزار Vigilante چگونه کار می کند؟
طبق گفته اندرو برانت، محقق ارشد SophosLabs، بدافزار Vigilante پس از اینکه کسی نرم افزار یا بازی کرک شده یا غیرقانونی ای را بارگیری و اجرا کند، به سیستم حمله می کند. این بدافزار را می توان در سرویس های چارت بازی در Discord یا URLهای BitTorrent یافت.

برانت در مقاله خود نوشت: "با دقت بیشتر در بررسی این فایل هایی که با فایل نصب کننده همراه هستند، روشن میشود که آنها فایده عملی دیگری ندارند، جز اینکه به آرشیو شکل و ظاهر فایل هایی که معمولاً از طریق BitTorrent به اشتراک گذاشته می شوند را بدهند و با افزودن داده های تصادفی مقادیر هش را اصلاح کنند".

بدافزار نام فایل اجرا شده به همراه آدرس IP دستگاه را به سروری که توسط مهاجم کنترل می شود ارسال میکند تا شرایط را برای حملات آینده فراهم باقی بگذارد. Vigilante همچنین تغییراتی در دستگاه ایجاد می کند تا قربانی با ایجاد تغییر در فایل HOSTS دستگاه، نتواند به بیش از 1000 وب سایت از جمله ThePirateBay.com دسترسی پیدا کند.

 

علاوه بر این، فایل مد نظر حاوی چندین وب سایت شناخته شده دیگر است که به دلیل محتوای خود، غیرقانونی شناخته میشوند و این سایت ها را به آدرس IP لوکال‌هاست 127.0.01 که آدرس رایانه شخصی آنها است، بازهدایت می کند و به همین خاطر سایت ها برای کاربر دیگر قابل دسترسی نخواهند بود.

 

آیا توسعه دهندگان بدافزار سعی در محافظت از مردم دارند؟
تعیین هدف اصلی تولید بدافزار Vigilante مشکل است. این روش، یک تکنیک غیرمعمول برای محافظت از کاربران در برابر دسترسی به نرم افزارهای غیرقانونی و نهایتا گرفتار شدن در دام تهدید کلاهبرداری های مهاجمان و مجرمان سایبری است.

عموماً، عاملان تهدید از نرم افزارهای سرقت شده برای توزیع بدافزار در قالب جدیدترین بازی یا فیلم تازه منتشر شده، استفاده می کنند. چنین بدافزاری معمولاً سرقت کننده اطلاعات، استخراج کننده رمزارز یا باج افزار است. برندت در توییتر خود نوشت: یک چیز مسلم است و آن اینکه این یک بدافزار معمول نیست.

"دیدن چنین چیزی واقعاً غیرمعمول است زیرا معمولاً تنها یک انگیزه در پشت بیشتر بدافزارها وجود دارد: سرقت چیزها؛ حتی اگر این چیز، رمزهای عبور، دکمه های ورودی، کوکی ها، مالکیت معنوی، دسترسی و یا حتی سیکل پردازنده برای استخراج رمزارز باشد، انگیزه اصلی سرقت است. اما در این مورد، اینطور نیست. در این نمونه فقط چند کار انجام دادند که هیچ یک منطبق با انگیزه معمول و رایج مجرمان بدافزار نبوده است”.

 

مقامات مجری قانون به همراه اینترپل عامل تهدیدی که مسئول حملات گسترده به هزاران قربانی طی چندین سال و حملات بدافزاری به شرکت های مخابراتی، بانک های بزرگ و شرکت های چند ملیتی در فرانسه را که بخشی از یک برنامه کلاهبرداری فیشینگ و کارت اعتباری در سطح جهانی بود، دستگیر کرده اند.

شرکت امنیت سایبری Group-IB امروز در گزارشی که با خبرگزاری ها به اشتراک گذاشته، افشا کرده که تحقیقات دو ساله ای که توسط سازمان بین دولتی و بین المللی عملیات ملقب به Lyrebird انجام شد، منجر به دستگیری یک شهروند مراکشی ملقب به Dr HeX گردید.

به گفته این شرکت امنیت سایبری، Dr HeX حداقل از سال 2009 فعال بوده و مسئول تعدادی از جرایم اینترنتی از جمله فیشینگ، جعل هویت، توسعه بدافزار، کلاهبرداری و کاردینگ است که منجر به قربانی شدن هزاران فرد ناآگاه شده است.

این حملات سایبری شامل استقرار یک کیت فیشینگ متشکل از صفحات وب بوده که موجب سواستفاده از نهادهای بانکی کشور میشده و به دنبال آن با ارسال ایمیل های گسترده با جعل هویت شرکت های هدف قرار گرفته، باعث میشد که گیرندگان ایمیل اطلاعات ورود به سیستم را در وب سایت مخرب وارد کنند.

اعتبارنامه های قربانیان ناآگاهی در صفحه وب جعلی وارد شده و سپس به ایمیل مجرم هدایت می شود. حداقل سه کیت فیشینگ مختلف که احتمالاً توسط عامل تهدید استفاده و اعمال شده اند، کشف شده است.

 

اینترپل در بیانیه ای گفت: "این کیت های فیشینگ از طریق فروم های آنلاین به افراد دیگر فروخته شده تا امکان اقدامات مشابه مخرب علیه قربانیان را برای آنها تسهیل کنند. اینترپل افزود: "این موارد بعداً برای جعل تسهیلات بانکی آنلاین مورد استفاده قرار گرفت و به مظنون و دیگران اجازه داد اطلاعات حساس را بدزدند و از افراد معتمد جهت سواستفاده مالی، کلاهبرداری کنند. آنها با انتشار آنلاین اقدامات مخرب خود و ضررهای تحمیلی به افراد و شرکت ها، در راستای تبلیغات این خدمات مخرب بهر میجستند.

اسکریپت های موجود در کیت فیشینگ حاوی نام Dr HeX و آدرس ایمیل ارتباطی فرد بوده است که با استفاده از آن مجرم سایبری سرانجام شناسایی و از نامش استخراج شده است. در این روند یک کانال YouTube و همچنین نام دیگری که توسط مهاجم برای ثبت و عضویت حداقل دو دامنه کلاهبرداری دیگر که در حملات استفاده شده بود، شناسایی شد.

علاوه بر این، Group-IB اعلام کرد که آنها همچنین توانستند ارتباط بین آدرس ایمیل با زیرساخت های مخربی که متهم در کارزارهای مختلف فیشینگ، شامل پنج آدرس ایمیل، شش نام مستعار و حساب های او در اسکایپ، فیس بوک، اینستاگرام و YouTube به کار گرفته است، کشف و شناسایی کنند.

در مجموع، ردپای دیجیتال دکتر هکس در طی یک بازه زمانی بین 2009 و 2018، در طول زمانی که از عامل تهدید کمتر از 134 صفحه وب، همراه با پست های ایجاد شده توسط مهاجم در فروم های مختلف غیرقانونی مختص تجارت بدافزار برجا مانده بود، کشف شد، دلالت بر فعالیت های مخرب وی میداشت. همچنین شواهد حاکی از دست داشتن وی در حمله به شرکت های فرانسوی جهت سرقت اطلاعات مالی است.

دیمیتری ولکوف (CTO) از Group-IB اعلام کرد: "مظنون، بخصوص به اصطلاح Zombi Bot را ترویج میکرده، که ادعا میشود شامل 814 سواستفاده، از جمله 72 مورد خصوصی، یک brute-forcer، اسکنرهای بک‌دور و webshell، و همچنین اقدام برای انجام حملات DDoS بوده است".

 

مهاجمان سایبری به طور فزاینده ای از تلگرام (Telegram) به عنوان یک سیستم command-and-control برای توزیع بدافزار در سازمان هایی سوءاستفاده می کنند، که بعدا می توانند جهت ضبط اطلاعات حساس از سیستم های هدف استفاده شوند.

محققان شرکت امنیت سایبری چک پوینت که طی سه ماه گذشته حدود 130 حمله را شناسایی کرده اند که از یک تروجان جدید از راه دور چند منظوره (RAT) به نام "ToxicEye" استفاده می کنند. در پی این مورد، آنها اعلام کرده اند: "حتی در زمان نصب یا استفاده از پیامرسان تلگرام، این سیستم به هکرها اجازه می دهد تا دستورات و عملیات مخرب را، از راه دور و از طریق این برنامه ارسال پیام، ارسال کنند".

به گزارش هکر نیوز، استفاده از تلگرام برای تسهیل فعالیت های مخرب چیز جدیدی نیست. در ماه سپتامبر سال 2019، یک سارق اطلاعات به نام ماساد استیلر پیدا شد که اطلاعات و کیف پول رمزارزها را از رایانه های آلوده با استفاده از پیامرسان تلگرام به عنوان یک کانال استخراج اطلاعات، غارت می کرد. سپس سال گذشته، گروه های مِیجکارت از همان روش برای ارسال جزئیات پرداخت هایی که سرقت شده بودند، از طریق وب سایت های در معرض خطر به مهاجمان استفاده کردند.

این استراتژی به روش های مختلف نیز جواب داده و قابل انجام است. برای شروع، تلگرام نه تنها توسط موتورهای شرکتهای تولیدکننده آنتی ویروس مسدود نمی شود، بلکه این برنامه پیامرسان به روند ناشناس ماندن کمک میکند؛ زیرا فرایند ثبت نام فقط به یک شماره تلفن همراه احتیاج دارد و در نتیجه از هر مکان در سراسر جهان به دستگاه های آلوده دسترسی می یابد.

 

در آخرین کمپین کشف شده توسط شرکت امنیت اطلاعات چک پوینت، هیچ تغییر و تفاوت جدیدی دیده نشده است. ToxicEye از طریق ایمیل های فیشینگ تعبیه شده در یک فایل اجرایی مخرب ویندوز پخش شده و از تلگرام برای ارتباط با سرور command-and-control (C2) استفاده می کند و داده ها را در آن بارگذاری می نماید. این بدافزار همچنین شامل انواع سوءاستفاده هایی است که به آن امکان می دهد داده ها را سرقت نموده، فایل ها را انتقال داده و حذف کند، فرآیندها را متوقف کند، keylogger را اجرا کند، میکروفون و دوربین رایانه را برای ضبط صدا و تصویر در اختیار بگیرد و حتی فایل ها را برای باجگیری از کاربر رمزگذاری کند.

به طور ویژه زنجیره حمله با ایجاد یک ربات تلگرام توسط مهاجم آغاز می شود و قبل از اینکه آن را در یک فرم اجرایی (مثل paypal checker توسط saint.exe) وارد کند، در فایل پیکربندی RAT جاسازی می شود. سپس این فایل .EXE به یک فایل Word جهت فریب مخاطب تزریق می شود (solution.doc) که با باز شدن آن، تلگرام RAT را بارگیری و اجرا می کند (C:\Users\ToxicEye\rat.exe).

ایدان شرابی، مدیر گروه تحقیق و توسعه چک پوینت اعلام کرد: "ما یک روند رو به رشد را کشف کرده ایم که نویسندگان بدافزار از پلت فرم پیامرسان تلگرام به عنوان روند و روش جدیدی از یک سیستم command-and-control برای توزیع بدافزار در سازمان ها استفاده می کنند. ما اعتقاد داریم که مهاجمان از این موقعیت که تلگرام تقریباً در همه سازمانها مورد بصورت مجاز مورد استفاده قرار می گیرد بهره برداری کرده و از این امکان برای انجام حملات سایبری سوءاستفاده می کنند که در پی آن می توانند محدودیت های امنیتی را دور بزنند".

به گزارش سایت هکرید، این بدافزار سایت های مورداعتماد گوگل را هدف قرار داده است.
فیلدهای متادیتای عکس های آپلود شده در CDN گوگل، از طریق هکرها مورد سواستفاده قرار گرفته است تا با استفاده از کدهای مخرب، امنیت وب سایت ها را به خطر بیاندازند. این روش از سوءاستفاده،در واقع نوعی آسیب پذیری است زیرا کاربران هرگز تصاویر را به‌منظور کشف نرم افزارهای مخرب اسکن نمیکنند.
این بدافزار تزریق شده از فرمت EXIF (فایل عکس قابل تغییر) برای مخفی کردن کد استفاده می کند و تصاویر خطرناک در سایت های رسمی گوگل از جمله شبکه اجتماعی Google+، سایت های GoogleUserContent و وبلاگنویسان مانند Blogger.com در دسترس هستند.
حمله مشابهی قبلا در GitHub و Pastebin دیده شده بود، جایی که مجرمان سایبری قادر به پنهان کردن نرم افزارهای مخرب در تصاویر آپلود شده بودند.این موضوع توسط شرکت امنیتی سایبری Sucuri کشف شد و یافته ها در روز پنج شنبه منتشر شد. 
یکی از محققان امنیتی به نام Dennis Sinegubko در Sucuri طرح توزیع بدافزار را شناسایی کرد که از GoogleUserContent CDN برای میزبانی یکی از تصاویر آلوده استفاده کرد. بنابراین هنگامی که چنین تصویری دانلود می شود، بدافزار بلافاصله سایت را آلوده می کند. مهاجم فقط باید منتظر دریافت یک گزارش از سمت تصویر آلوده باشد و سپس اقدام به راه اندازی حمله برعلیه این سایت ها میکند.
Sinegubko در گزارش خود که در روز چهارشنبه منتشر شد، اظهار داشت که تمرکز شناسایی این کمپین بر سرقت توکن های امنیتی PayPal با هدف جلوگیری از فرآیند تأیید پی پال است.
هکرها با لود کردن تصویری که توسط گوگل میزبانی شده بود و با استفاده از تکنیک استگانوگرافی (steganography) میزبانی میگردید، توانستند بدافزار را در سرور نصب کنند. آنچه در steganography اتفاق می افتد این است که هکرها فایل را استخراج کرده و کد مخرب را در فیلد متادیتای کاربر EXIF ​​پنهان می کنند. کد مورد استفاده در این کمپین یک رشته کدگذاری Base64 است.
هنگامی که این رشته بیش از یک بار رمزگشایی می شود، آن را به یک اسکریپت تبدیل می کند که می تواند یک Shell از پیش تعریف شده بر روی سرور هدف را با دیگر فایل ها آپلود کند. این Shell در حال حاضر قادر به خرابکاری سرور است و مهاجم می تواند آدرس های سایت هایی را که با موفقیت مورد سوء استفاده قرار گرفته اند دریافت کنند.
Sinegubko ادعا می کند که پنهان کردن نرم افزارهای مخرب به فایل های EXIF ​​برای او خیلی هم نگران کننده نیست؛ نگران کننده ترین چیز این بود که هکرها از GoogleUserContent CDN برای تحقق اهداف نابکار خود استفاده می کردند. این کاملا یک ایده جدید است که مطمئنا شبهای پرسر و صدا را به محققان امنیتی تحمیل می کند.
دلیل اصلی برای نگرانی این است که هیچ راه استانداردی برای اطلاع گوگل در مورد تصویر آلوده شده وجود ندارد، زیرا این شرکت یک فرآیند گزارش دهی برای نقض حق نسخه برداری و نه مسائل مرتبط با امنیت را اجرا کرده است. Sinegubko می نویسد:

"گوگل ابزارهای بسیاری برای حذف محتوا دارد، اما مشخص نیست که چگونه بدافزار موجود در تصاویر را میخواهد گزارش دهد. اکثر ابزارهای آنها نیاز به ارائه پیوندهایی به پستهای اصلی، صفحات یا نظرات حاوی محتوای نقض‌کننده دارند. تصویر در اینجا جزء برخی از محتوای عمومی شناخته شده نیست. "

محققان نمی توانند منبع آپلود بدافزار را شناسایی کنند. محققان در Sucuri اذعان کرده اند که:

"دشوار است بگوییم که منبع اصلی تصاویر کجاست، زیرا URL های آنها ناشناس هستند و فرمت مشابعی دارند."

 

بدافزاری که با نام Purple Lambert معرفی شده است، توسط کسپرسکی شناسایی شد؛ این بدافزار بطور پنهانی ترافیک شبکه را رصد میکند و در پی"magic packet" در سیستم ها میگردد.

تیم تحقیق و تجزیه و تحلیل جهانی (GReAT) در آزمایشگاه کسپرسکی بدافزار جدیدی را کشف کرده است که این شرکت ادعا می کند توسط آژانس اطلاعات مرکزی آمریکا (CIA) ساخته شده است.

 

به گزارش هک رید، غول امنیت سایبری مستقر در مسکوی روسیه گفته است که این بدافزار را در "مجموعه ای از نمونه های بدافزار" متعلق به چندین گروه APT  مشاهده کرده است. این نمونه ها در فوریه 2019 به دست کسپرسکی و سایر شرکت های امنیت سایبری رسیده است.

به گفته محققان، این نمونه ها در سال 2014 جمع آوری شده و بر این اساس، احتمالاً در سال 2014 و احتمالاً تا اواخر سال 2015 از آن استفاده شده است.

 

بدافزارPurple Lambert

محققان کسپرسکی به این بدافزار لقب پرپل لمبرت داده اند. این بدافزار به قابلیت Backdoor مجهز است که به آن امکان می دهد بصورت پنهانی و غیرفعال ترافیک شبکه را رصد کرده و به دنبال "magic packet" باشد.

علاوه بر این، بدافزار ذکر شده می تواند همراه با اجرای بسته ای که از اپراتورهای خود دریافت می کند، اطلاعات بنیادی و اساسی را از سیستمی که هدف قرار گرفته است، استخراج کند.

کسپرسکی در 27 آوریل در گزارش APT Trends - Q1 2021 این جزئیات را به اشتراک گذاشته است.

 

خانواده بدافزارهایCIA، ویکیلیکس،Vault7 وLambert

اگرچه در گزارش کسپرسکی نام CIA مستقیما ذکر نشده است، اما ذکر این بدافزار در دسته بندی خانواده بدافزار لمبرت، ارتباط آن با آژانس اطلاعات مرکزی آمریکا را نشان می دهد.

اما چطور؟ در سال 2017، روزهایی که نهاد افشاگری ویکی لیکس توانایی های هک گسترده CIA را در مجموعه ای به نام Vault7 افشا کرد، شرکت امنیت سایبری سیمانتک یک پست وبلاگ در مورد بدافزاری به نام Longhorn منتشر کرد و از طرف دیگر محققان کسپرسکی همان بدافزار را از خانواده بدافزار لمبرت نام برده اند.

بعلاوه پس از تجزیه و تحلیل دقیق نمونه ها، کسپرسکی شباهت های زیادی بین بدافزار و موارد استفاده شده توسط CIA در گذشته مانند Gray Lambert شناسایی کرد و به این ترتیب آن را Purple Lambert نامگذاری نمود.

همچنین از نظر مورد استفاده قرار گرفتن این بدافزار نیز، این شرکت معتقد است هیچ مدرکی مبنی بر استفاده از بدافزار در فضای کاربری، حداقل برای چند سال اخیر وجود ندارد.

کسپرسکی نتیجه گیری کرده است که: اگرچه ما هیچ کد مشترکی با بدافزار شناخته شده دیگری پیدا نکرده ایم، اما این نمونه ها دارای نقاط مشترکی از الگوهای کدگذاری، سبک و روش هایی هستند که در بدافزارهای مختلف خانواده های لمبرت دیده شده است.

بدافزار پیچیده و ناشناخته ای که سیستم عامل های ویندوز را هدف قرار می دهد، در تازه ترین بررسی های کارشناسان مرکز افتا، شناسایی شد .

به گزارش روابط عمومی مرکز مدیریت راهبردی افتا، این بدافزار کاملا منحصر به فرد، که توسط این مرکز کشف و Norxa نامیده شده ؛ با هدف جاسوسی و جمع آوری اطلاعات طراحی شده است. 
این بدافزار دارای قابلیت دریافت دستور از سرور C&C و  اجرای عملیات های خرابکارانه در سیستم قربانی نیز هست.
کارشناسان مرکز افتا، پس از مشاهده ناهنجاریهای ترافیکی در یکی از سازمان ها، موفق به شناسایی این بدافزار جاسوسی پیشرفته شدند . 
ساختار و قابلیت های این بدافزار، که بسیار خاص و هدفمند طراحی شده، به نحوی است که کمترین حساسیت را در سیستم عامل ایجاد می‌کند.
با توجه به تاریخ ایجاد فایل های مشکوک در سیستم‌های مورد بررسی که سال ۲۰۱۴ است، حداقل زمان فعالیت این بدافزار حدود ۴ سال تخمین زده می شود.
متخصصان مرکز مدیریت راهبردی افتا، این بدافزار را در تعداد کمی از سازمان ها شناسایی کرده اند . 
گفتنی است تحقیقات تکمیلی برای کشف تمامی اهداف این بدافزار همچنان در دستور کار مرکز افتاست و گزارش های تکمیلی متعاقبا منتشر خواهد شد . 
باتوجه به مخاطرات تاثیرگذار و مخرب این بدافزار، اطلاعات مربوط به آن به صورت عمومی به اشتراک گذاشته شده است، تا دستگاه‌ها و قربانیان بتوانند محافظت‌ها و اقدامات لازم را در خصوص شناسایی و حذف آن به عمل آورند.
کارشناسان مرکز افتا توصیه می کنند تا در صورت تشخیص ماژول های بدافزار، سیستم آلوده با سیستم امن‌سازی شده دیگری جایگزین شود.
برای شناسایی و مقابله با این بدافزار در سیستم های آلوده می توانید، ابزارزیر را از حالت فشرده خارج کرده و سپس فایل Norxa_Detector_Loki.exe با سطح دسترسی مدیر (Run as administrator) اجرا وسپس فایل لاگ تولید شده را در همان مسیر بررسی کنید.
ابزار شناسایی بدافزارNorxa
اطلاعات فنی و تخصصی درباره مشخصات این بدافزار، در فایل پیوست قابل دسترسی است .
فایل پیوست:اطلاعات فنی بدافزارNorxa

به گزارش سایت ambcrypto.com، یک کارشناس امنیتی مستقل با نام James Quinn خانواده جدیدی از ماینرهای ارز دیجیتالی را کشف کرده است. این ماینرکه ZombieBoy نام گذاری شده است، طبق تحلیل‌های این کارشناس، دارای سرعت کاوش 43 KH/s 43000) Hash در ثانیه) است که قادر به استخراج 1000 دلار در ماه است. این ماینر یا همان کاوشگر از زبان چینی استفاده می‌کند که از این رو احتمالا در کشور چین توسعه داده شده است.
Quinn در بلاگ خود توضیح داده است که این کاوشگر مشابه massminer است که در اوایل ماه می معرفی شد. بدلیل استفاده این بدافزار از ZombieBoyTools، آنرا ZombieBoy نامگذاری کرده‌اند. باید اشاره کرد که ZombieBoyTools دارای ارتباطاتی با IronTigerAPT است و یک ویرایش از تروجان Gh0st است.
بدافزار به کمک این ابزار اولین فایل dll خود را در سیستم قربانی قرار می‌دهد. علاوه بر این، Quinn ادعا می‌کند که این کرم از اکسپلویت‌های مختلف برای گسترش در سیستم استفاده می‌کند. تفاوتی که بین massminer و ZombieBoy وجود دارد در استفاده از ابزار اسکن میزبان است که ZombieBoy به جای MassScan از WinEggDrop استفاده می‌کند. نکته قابل توجه و البته نگران کننده این بدافزار بروزرسانی آن بصورت مداوم است. علاوه بر این، بدافزار می‌تواند از CVEهای مختلفی برای دور زدن برنامه‌های امنیتی بهره ببرد. این CVEها شامل یک آسیب‌پذیری RDP یعنی CVE-2017-9073 و اکسپلویت‌های CVE-2017-0143 و CVE-2017-0146 هستند.
بدافزار از اکسپلویت‌های DoublePulsar و EternalBlue برای ایجاد در پشتی استفاده می‌کند. از آنجایی که بدافزار می‌تواند چندین درپشتی ایجاد کند، بنابراین راه ورود سایر برنامه‌های مخرب مانند keyloggerها، باج‌افزارها و بدافزارهای دیگر باز می‌شود.

 

یک بدافزار لینوکس با قابلیت backdoor که تاکنون ثبت نشده بوده است، موفق شده است حدود سه سال بدون شناسایی از زیر رادار محققان امنیتی عبور کند، و به عامل تهدیدات امنیتی اجازه دهد تا اطلاعات حساس را از سیستم های آلوده جمع آوری کرده و از بین ببرند.

این backdoor که توسط محققان Qihoo 360 NETLAB، به نام RotaJakiro اعلام شده است، دستگاههای Linux X64 را هدف قرار می دهد و به این دلیل اینگونه نامگذاری شده است که "این دسته هنگام رمزگذاری، از رمزگذاری چرخشی استفاده می کنند و برای حساب های روت و غیر روت رفتار متفاوتی دارند".

این یافته ها بر مبنای تجزیه، تحلیل و آنالیز یک نمونه بدافزار است که در تاریخ 25 ماه مارس شناسایی شده است، اگرچه به نظر می رسد نسخه های اولیه آن از اوایل ماه مه سال 2018 در VirusTotal بارگذاری شده اند. در مجموع چهار نمونه تاکنون در پایگاه داده ها پیدا شده است که همه آنها توسط اکثر موتورهای ضد بدافزار ، شناسایی نشده، باقی مانده اند. از زمان نوشتن این مقاله، فقط هفت تامین کننده امنیتی آخرین نسخه بدافزار را به عنوان مخرب اعلام و علامتگذاری کرده اند.

 

بنا به گفته محققین: "در سطح عملکردی، RotaJakiro ابتدا با استفاده از پالیسی های مختلف اجرا برای حساب های مختلف، مشخص می کند که کاربر مد نظر، کاربر روت یا میباشد یا غیر روت؛ سپس منابع حساس مربوطه را با استفاده از AES& ROTATE رمزگشایی می کند تا در صورت مقاومت، از فرآیندهای آتی و استفاده از نمونه محافظ کند، و سرانجام ارتباط با C2 برقرار می شود و منتظر اجرای دستورات صادر شده توسط C2 میماند".

 

RotaJakiro با تکیه بر ترکیبی از الگوریتم های رمزنگاری برای رمزگذاری ارتباطات خود با یک سرور command-and-control (C2) و علاوه بر آن، پشتیبانی از 12 عملکرد که برای جمع آوری فراداده های دستگاه و سرقت اطلاعات حساس، انجام عملیات مربوط به فایل ها و بارگیری و اجرای افزونه ها از سرور C2 پشتیبانی می کنند، بر مبنای اصل عملیات پنهانی طراحی شده است.

اما هدف واقعی این کمپین بدافزار بدون هیچ مدرکی جهت روشن کردن ماهیت افزونه ها، همچنان نامشخص است. جالب اینجاست که زمان ثبت برخی از دامنه های C2 ثبت شده تقریباً به ماه دسامبر سال 2015 بر می گردند، همچنین محققان هم پوشانی را بین RotaJakiro و بات نتی با نام Torii را مشاهده کردند.

همچنین محققان گفتند: "از منظر مهندسی معکوس، RotaJakiro و Torii سبک های مشابهی دارند: استفاده از الگوریتم های رمزگذاری برای پنهان کردن منابع حساس، اجرای یک سبک تلاش برای ماندگاری نسبتاً قدیمی، ترافیک شبکه و غیره. ما پاسخ را دقیقی برای آن نداریم، اما به نظر می رسد RotaJakiro و Torii ارتباطاتی با یکدیگر دارند".