خدمات شبکه و پشتیبانی شبکه

ناتوانی آنتی‌ویروس‌ها در مقابله با نفوذ بدافزارهای ارز دیجیتالی

آذر ۵, ۱۳۹۷/در arz digital, bad afzar, badware, امنیت, فناوری اطلاعات /توسط ادمین

به گفته محققان امنیتی، بسیاری از برنامه‌های آنتی ویروس نیز از مقابله با نفوذ بدافزارهای مرتبط با سرقت ارزهای دیجیتال رمزپایه به رایانه کاربران ناتوان و عاجز مانده‌اند.

ارزهای دیجیتالی رمزنگاری شده خیلی زودتر از آن‌چیزی که تصور می‌شد، در میان مردم و کاربران در فضای اینترنت به محبوبیت و شهرت بالایی دست یافتغ به گونه‌ای که بسیاری از کاربران و سازمان‌ها از این طریق توانستند ثروت بسیاری را بدست بیاورند.

این روزها که بازار ارزهای دیجیتالی رمزنگاری شده بسیار داغ شده، وب‌سایت‌ها، حساب‌های کاربری و پلت‌فرم‌های بسیاری برای استخراج بیت‌کوین یا بیت‌کوین ماینینگ ایجاد شده است تا بتوانند با استفاده از آن‌ها به خرید و فروش و مبادلات تجاری کلان اقدام کنند.

هم‌زمان با استقبال بی‌نظیری که از استخراج این ارزهای دیجیتال شد، بسیاری از هکرها و مجرمان سایبری نیز به‌منظور استخراج بیت کوین ماینینگ، از حساب‌های کاربری، مرورگرهای اینترنتی و دستگاه‌های متصل به اینترنت کاربران (گوشی همراه و رایانه) به رایانه و دستگاه‌های الکترونیکی آن‌ها نفوذ یافته و از اطلاعات شخصی آن‌ها سوءاستفاده کرده و به سرقت ارزهای دیجیتال استخراج شده می‌پردازند.

حالا به تازگی محققان فعال در حوزه امنیت سایبری عنوان کرده‌اند که بسیاری از آنتی ویروس‌های قدرتمند موجود در بازار ابزارهای الکترونیکی نیز قادر نیستند به مبارزه و مقابله با شناسایی و سرقت ارزهای دیجیتال رمزپایه توسط هکرها بپردازند.

بر اساس گزارش وب سایت زد دی نت، به نظر می‌رسد که هکرها و مجرمان سایبری به منظور کسب درآمد و ثروت‌اندوزی از طریق سرقت ارزهای دیجیتال تمامی پروتکل‌های امنیتی مربوط به شناسایی نفوذ بدافزار در برنامه‌های آنتی ویروس را دور می‌زنند و بدین ترتیب هیچ کدام از آن‌ها نمی‌توانند سرقت ارزهای مجازی هم‌چون بیت کوین را شناسایی کرده و به کاربران اطلاع دهند. بدین ترتیب هکرها با خیال آسوده قادر خواهند بود به سرقت خود ادامه دهند و کسی هم متوجه این اقدام آن‌ها نشود.

محققان و پژوهشگران در موسسه پروف پوینت، پیش‌تر در این باره عنوان کرده‌ بودند که پس از انجام بررسی‌های فراوان مشخص و معلوم شده است که بدافزارهای موجود در بسیاری از پلت‌فرم‌های استخراج ارز دیجیتالی بزرگ و مشهور جهان، در ابتدا به ویندوز یا سیستم‌عامل رایانه کاربران حمله کرده و سپس به‌صورت کاملا محرمانه و مخفیانه ارزهای دیجیتالی رمزنگاری شده را به سرقت می‌برد.

در ماه‌های اخیر حملات سایبری بسیاری به مراکز بزرگ استخراج و سرمایه‌گذاری در ارزهای دیجیتال هم‌چون کوین چک شد که به گفته تحلیلگران، به دلیل همین نفوذ بدافزارهای خطرناک بوده است و گفته شد هکرها موفق شدند ۵۳۲ میلیون دلار از سرمایه‌های این مرکز را به سرقت ببرند. در سال ۲۰۱۴ میلادی هم یکی دیگر از بزرگترین مراکز مبادلاتی بیت کوین در آن زمان، پس از آن‌که ۴۵۰ میلیون دلار از سرمایه‌هایش را از دست داد، اعلام ورشکستگی کرد.

بدافزار مفهومی «دیپ‌لاکر» بر پایه هوش مصنوعی خلق شد

شهریور ۲۹, ۱۳۹۷/در badware, housh masnoee, امنیت, امینت, تلفن همراه, فناوری اطلاعات /توسط ادمین

به تازگی محققین امنیتی و هوش مصنوعی شرکت IBM یک بدافزار اثبات مفهوم را توسعه داده‌اند؛ این بدافزار DeepLocker نام دارد.

DeepLocker به خودی خود یک payload مخرب ندارد بلکه هدف اصلی آن پنهان‌سازی بدافزار و در امان ماندن آن از آنتی‌ویروس‌ها و تحلیل‌گران بدافزار است.

این بدافزار یک روش نوین پنهان‌سازی با استفاده از مدل‌های هوش مصنوعی ارائه داده است.

هدف اصلی توسعه‌دهندگان این بدافزار حمله یا تخریب نبوده است بلکه هدف نشان دادن این قضیه به توسعه‌دهندگان سیستم‌های امنیتی بوده است که به زودی بدافزارهایی مبتنی بر هوش مصنوعی گسترش خواهند یافت و مکانیزم‌ها و ابزارهای موجود توانایی مقابله با آنها را ندارند.

از این رو محققین و شرکت‌های امنیتی باید به فکر راهکارهای جدیدی برای مقابله با اینگونه بدافزارها باشند.

بدافزار DeepLocker روش پنهان‌سازی خود را کاملا متفاوت از دیگر بدافزارهای موجود ارائه کرده است؛ این بدافزار برای پنهان ماندن از دست آنتی‌ویروس‌ها و فایروال‌ها، خود را درون نرم‌افزارهای سالم نظیر نرم‌افزار ویدئو کنفرانس پنهان‌سازی می‌کند.

این شیوه قبلا هم توسط بسیاری از بدافزارها استفاده شده است و چیز جدیدی نیست.

نکته متمایزکننده در رابطه با این بدافزار، استفاده از هوش مصنوعی برای فعال‌سازی شروط حمله است که مهندسی معکوس آن را به شدت سخت و در مواردی فعلا غیر ممکن کرده است.

Payload مخرب این بدافزار فقط در صورتی قفل‌گشایی خواهد شد که شرایط هدف برقرار شود؛ این شرایط توسط یک مدل آموزش دیده هوش مصنوعی شبکه عصبی عمیق بررسی می‌شود.

مدل هوش مصنوعی تولید شده به صورت عادی عمل خواهد کرد و فقط در صورتیکه شروط مورد نظر بر روی سیستم قربانی موجود باشد، فعالیت مخرب را آغاز می‌کند.

در واقع این شبکه عصبی کلید رمزگشایی قسمت مخرب را تولید می‌کند؛ برای تشخیص هدف، این بدافزار از مشخصه‌های مختلفی نظیر ویژگی‌های بصری، صوتی، موقعیت جغرافیایی و ویژگی‌های سطح سیستم استفاده می‌کند.

برای تولید یک مدل هوش مصنوعی نیاز به استفاده از الگوریتم‌های یادگیری ماشین داریم؛ تفاوت الگوریتم‌های عادی و هوش مصنوعی به این صورت است که به جای تعریف فرمول دقیق یا شروط دقیق در یک الگوریتم، این الگوریتم‌ها خود الگو موجود در داده‌ها را آموزش می‌بینند.

برای تولید یک مدل هوش مصنوعی، دو فاز آموزش و تست نیاز است؛ در فاز آموزش تعدادی نمونه آموزشی که هر کدام دارای یک سری ویژگی هستند به ورودی الگوریتم داده می‌شود.

همچنین خروجی صحیح هر یک از ورودی‌ها نیز به آن مدل داده می‌شود؛ مدل به وسیله الگوریتم‌های یادگیری ماشین، نحوه تولید خروجی‌ها از ورودی‌های داده شده را فرا می‌گیرد و مدل را تولید می‌کند؛ سپس می‌توان به مدل تولید شده یک داده دیده نشده و تازه تزریق و خروجی احتمالی آن را مشاهده کرد.

به عنوان مثال در مبحث تشخیص بدافزار با استفاده از هوش مصنوعی، یک مدل یادگیری ماشینی به این صورت آموزش داده می‌شود: تعدادی فایل سالم و تعدادی فایل مخرب به عنوان نمونه آموزشی انتخاب می‌شوند؛ سپس از هر یک از این فایل‌ها تعدادی ویژگی به روش‌های مختلف استخراج می‌شود.

این ویژگی‌ها به عنوان ورودی به الگوریتم داده شده و خروجی الگوریتم مخرب بودن یا سالم بودن نمونه خواهد بود؛ پس از اینکه مدل آموزش دیده شد می‌توان یک فایل جدید را به مدل داد تا مخرب یا سالم بودن آن را تشخیص دهد.

شبکه عصبی معمولی مجموعه‌ای از گره‌هایی است که لایه به لایه قرار گرفته‌اند و به یکدیگر متصل هستند؛ هر شبکه یک لایه ورودی و یک لایه خروجی و صفر یا تعداد بیشتری لایه میانی یا مخفی دارد.

یال‌های متصل‌کننده گره‌ها دارای وزن هستند که این وزن‌ها در مقدار گره‌های سمت چپ ضرب شده و تولید مقدار جدید برای گره سمت راست یال را می‌کند؛ این عملیات تا تولید مقدار برای گره‌های لایه خروجی ادامه پیدا می‌کند.

شبکه عصبی عمیق یک شبکه عصبی است که تعداد لایه‌های درونی آن بسیار زیادتر از یک شبکه عصبی معمولی است؛ تفاوت این دو نوع شبکه را در شکل زیر مشاهده می‌کنید:

در سال‌های اخیر استفاده از این نوع شبکه محبوبیت بسیاری پیدا کرده است؛ طرز کار شبکه به این صورت است که تعداد ویژگی به عنوان ورودی از هر نمونه می‌گیرد همچنین خروجی مورد نظر هم به شبکه تحویل داده می‌شود.

شبکه با توجه به ورودی‌ها و خروجی‌های متناظر آموزش می‌بیند و یک مدل تولید می‌کند.

از این به بعد با دادن یک ورودی جدید می‌توان خروجی احتمالی را از مدل استخراج کرد.

DeepLocker فرآیند فعال‌سازی فاز حمله خود را که شامل قفل‌گشایی محتوای مخرب و اجرای آن می‌شود، به وسیله یک مدل آموزش‌دیده شبکه عصبی عمیق انجام می‌دهد.

این مدل کار تحلیل‌گران و آنتی‌ویروس را بسیار سخت می‌کند زیرا به جای استفاده از تعدادی شرط رایج به صورت if-then-else در کد خود از یک مدل یادگیری ماشینی استفاده کرده است.

مدل مورد نظر تنها تعداد گره و یال وزن‌دار است که هیچ دیدی از نحوه عملکرد درونی خود به ما نمی‌دهد؛ پس تحلیل‌گران حتی نمی‌توانند به طور کامل متوجه حالت‌هایی شوند که بدافزار در آن فعال خواهد شد.

در واقع برای تحلیل‌گران بدافزار دو چیز مهم است: شرایط وقوع یک حمله سایبری و payload مخرب آن؛ DeepLocker هر دوی آن را مورد هدف قرار داده است.

شرایط حمله به صورت یک جعبه سیاه در آمده است و payload نیز در صورت نامعلومی قفل‌گشایی خواهد شد.

پنهان‌سازی دسته مورد حمله: چه اشخاصی یا سازمان‌هایی قرار است مورد حمله قرار گیرند.

پنهان‌سازی نمونه‌های مورد حمله: مشخص نیست که نمونه مورد نظر چه شخص یا سازمانی خواهد بود.

پنهان‌سازی محتوای بدافزار: مشخص نیست که حمله نهایی چگونه شکل خواهد گرفت.

تیم توسعه DeepLocker براساس گزارشی که ماهر منتشر کرده، برای نشان دادن قابلیت‌های منحصر به فرد این بدافزار از بدافزار معروف WannaCry به عنوان payload بدافزار استفاده کرده‌اند و آن را درون یک نرم‌افزار ویدئوکنفرانس سالم جای داده‌اند.

شرایط حمله نیز تشخیص چهره فرد مورد نظر است؛ یعنی فقط در صورتیکه فرد مورد نظر در ویدئوکنفرانس ظاهر شود کامپیوتر آن مورد حمله قرار می‌گیرد.

در نهایت هدف تیم تحقیقاتی امنیتی IBM نه تولید یک بدافزار مخرب بلکه موارد زیر بوده است:

• بالا بردن آگاهی از تهدیدات هوش مصنوعی در بدافزار و اینکه این روش‌ها به سرعت در بین بدافزارنویسان محبوب خواهند شد.

• نشان دادن اینکه چگونه این روش‌ها می‌تواند سیستم‌های دفاعی امروزه را دور بزند.

• ارائه بینش درباره چگونگی کاهش خطرات و اعمال اقدامات مناسب کافی

نهادهای دولتی مستقر در خاورمیانه هدف حمله بدافزاری

شهریور ۱۴, ۱۳۹۷/در AFTA, badafzar, badware, OilRig, امنیت, فناوری اطلاعات /توسط ادمین

یک گروه بدافزاری در حال انجام حملات مداوم سایبری با استفاده از ابزارها و تکنیک های شناخته شده علیه نهادهای دولتی در منطقه خاورمیانه است.

به گزارش مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاست جمهوری، گروه OilRig همچنان در حال انجام حملات مداوم با استفاده از ابزارها و تکنیک‌های شناخته شده علیه نهادهای دولتی در منقطه خاورمیانه است.

در این حملات از ایمیل‌های فیشینگ استفاده شده و قربانی با روش‌های مهندسی اجتماعی، وادار به اجرای یک پیوست مخرب می‌شود. در پیوست‌ها نیز از تروجان OopsIE که در فوریه ۲۰۱۸ شناسایی شده، استفاده شده است.

در حملات گروه OilRig، قابلیت‌های OopsIE مشابه نسخه‌های قبلی این تروجان است، اما برخی قابلیت‌های مقابله با تحلیل و شناسایی ماشین مجازی در آن بکار گرفته شده است تا سیستم‌های دفاعی خودکار دور زده شوند.

پژوهشگران Palo Alto Networks، در جولای ۲۰۱۸ موجی از حملات گروه OilRig را گزارش کردند که با کمک ابزاری به نام QUADAGENT، یک آژانس دولتی مستقر در خاورمیانه را مورد هدف قرار گرفته بود. در این حملات ایمیل‌های فیشینگی از آدرس‌های به سرقت رفته از سازمان مورد هدف مشاهده شد که به جای QUADAGENT، تروجان OopsIE به عنوان بدنه در آنها منتقل شده است. موضوع ایمیل‌ها با زبان عربی نوشته شده که حاصل ترجمه آن عبارت «آموزش مدیریت مداوم کسب‌وکار» است.

با توجه به بررسی‌های انجام شده، گروه‌های مورد هدف شامل افرادی هستند که اسناد و مقالاتی را بصورت عمومی در موضوع مدیریت مداوم کسب‌وکار منتشر کرده‌اند.

تروجان OopsIE حملات خود را با اجرای چندین عملگر ضدتحلیل و سندباکس آغاز می‌کند. تروجان عملگرهای بررسی فن پردازنده، بررسی دما، بررسی نشانه‌گر موس، بررسی دیسک سخت، بررسی مادربورد، بررسی Sandboxie DLL، بررسی VBox DLL، بررسی VMware DLL، بررسی منطقه زمانی (که اطمینان حاصل شود منطقه زمانی قربانی در مناطق خاورمیانه (UTC+۲)، عربی (UTC+۳)، ایران (UTC+۳,۵) و غیره باشد و بررسی تعامل انسان را اجرا می‌کند. در صورتی که بررسی‌ها مطابق پارامترهای تعیین شده در بدافزار نباشد، تروجان بدون انجام فعالیتی خارج می‌شود.

تروجان OopsIE منتقل شده در این حملات دارای قابلیت‌های مشابه نسخه قبلی این بدافزار است. تشابه اصلی استفاده از فعالیت‌های زمان‌بندی شده برای اجرای دستورات به صورت پایدار در سیستم است. همچنین فرایند کلی ارتباط با سرور C&C نیز مشابه نسخه قبلی است. علاوه‌بر این، مشابه نسخه قبلی، تروجان استفاده شده در این حمله نیز از اشیا مرورگر اینترنت اکسپلورر برای دریافت دستورها استفاده می‌کند.

با این حال، چندین تفاوت نیز بین این نسخه و نسخه قبلی مشاهده می‌شود. در نگاه اول، در این نسخه تعداد زیادی از رشته‌ها مبهم‌سازی شده‌اند. مورد دیگر، تکنیک‌های مقابله با محیط‌های تحلیل است. برخی تفاوت‌های جزئی نیز در کد نسخه جدید مشاهده شده است.

یک تفاوت بارز در مقایسه با نسخه قبلی، نحوه نمایش آدرس سرور C&C است که در این نسخه آدرس سرورها یا پارامترهای موجود در آنها معکوس شده‌اند، به دین صورت که chk به khc، what به tahw و resp به pser تبدیل شده است.

در نهایت باید اشاره کرد که گروه OilRig همچنان یک تهدید فعال در منطقه خاورمیانه است. این گروه در تلاش است تا در عین حال که از تکنیک‌های مشابه و تکراری استفاده می‌کند، ابزارهای خود را توسعه دهد و به آنها قابلیت‌های بیشتری را اضافه کند. در این موج حمله نیز آن‌ها قابلیت‌های ضدتحلیل را به بدافزار خود اضافه کردند. با این حال تاکتیک‌های استفاده شده توسط آنها به طور کلی پیشرفته نیست و سازمان‌ها با پیاده‌سازی رویکردهای ساده امنیتی می‌توانند خود را در برابر این تهدید محافظت کنند.

بدافزار مجهز به هوش مصنوعی برای تشخیص چهره طراحی شد

مرداد ۲۳, ۱۳۹۷/در badware, housh masnoee, tashkhis chehre, امنیت, فناوری اطلاعات /توسط ادمین

پژوهشگران امنیتی IBM یک بدافزار قدرت گرفته از هوش‌مصنوعی را با نام DeepLocker توسعه دادند که برای هدف قرار دادن قربانی بسیار قدرتمند است و قابلیت زیادی در جلوگیری از شناسایی دارد.

به گزارش مرکز افتای ریاست جمهوری، این کلاس از بدافزارهای مجهز به هوش‌مصنوعی می‌توانند تا رسیدن به قربانی هدف، فعالیت خود را ادامه دهند و پس از رسیدن به مقاصد مدنظر، فعالیت‌های مخرب را متوقف کنند. این‌گونه بدافزارها قربانی هدف را از طریق شناسایی چهره، موقعیت جغرافیایی و تشخیص صدا شناسایی می‌کنند.

به گفته پژوهشگران IBM، بدافزار DeepLocker قادر به جلوگیری از شناسایی و فعال شدن خود پس از رخ دادن شرایط ویژه ای است. نکته منحصر به فرد در مورد DeepLocker این است که استفاده از هوش‌مصنوعی برای شروع حمله باعث می‌شود مهندسی معکوس آن غیرممکن شود. اگر قربانی مورد نظر شناسایی شده باشد، بدنه بدافزار فعال می‌شود. این امر با استفاده از مدل شبکه عصبی عمیق (DNN) حاصل می‌شود.

پژوهشگران کد اثبات مفهومی (PoC) این بدافزار را با مخفی کردن باج‌افزار WannaCry در یک برنامه کنفرانس ویدئویی ارائه کردند. بدافزار بدین گونه عمل می‌کند که اگر چهره کاربر در کنفرانس ویدئویی با چهره فرد مورد نظر (با مقایسه با تصاویر موجود او در اینترنت) یکسان تشخیص داده شود، باج‌افزار شروع به فعالیت می‌کند.

در صورتی که چنین بدافزار مجهز به هوش مصنوعی در سراسر اینترنت و برنامه‌های تصویری مشابه منتشر شود، میلیون‌ها کاربر را تهدید خواهد کرد.

حمله گسترده بدافزارها به مسیریاب‌های اینترنتی

مرداد ۱۶, ۱۳۹۷/در badware, maher, router, امنیت, فناوری اطلاعات /توسط ادمین

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای اعلام کرد: تعداد زیادی از مسیریاب‌های داده اینترنتی در کشور (روترهای میکروتیک) به دلیل به روز رسانی نشدن، مورد حمله‌های گسترده بدافزارها قرار گرفته‌اند.

روتر یا مسیریاب، دستگاهی است که داده‌های اینترنتی را در شبکه مسیریابی می‌کند. روتر را می‌توان کلیدی‌ترین دستگاه ارتباطی در دنیا شبکه نامید که با اتصال شبکه‌‌های محلی کوچک به یکدیگر و مسیریابی بسته‌های اطلاعاتی، شبکه‌ای از شبکه‌ها که امروزه به آن اینترنت می‌گوییم را شکل می‌دهد.

چطور روتر (مسیر‌یاب) کار می‌کند؟

بنا بر اعلام مرکز مدیریت امداد و هماهنگی عملیات رخداد‌های رایانه‌ای کشور، به رغم هشدار پیشین این مرکز در اوایل اردیبهشت ماه امسال در خصوص آسیب‌پذیری گسترده‌ی روترهای ‫میکروتیک در سطح شبکه کشور، بسیاری از کاربران و مدیران این تجهیزات هنوز نسبت به بروزرسانی و رفع آسیب‌پذیری این تجهیزات اقدام نکرده‌اند.

آشنايي با روش‌هاي ايمن ماندن در فضاي سايبر

مرکز ماهر اعلام کرد: رصد شبکه کشور در روزهای اخیر نشان‌دهنده حملات گسترده به پورت 23 (telnet) از مبداء روترهای میکروتیک آسیب‌پذیر آلوده شده در سطح کشور است؛ آلودگی این روترها به صورت عمده از طریق آسیب‌پذیری اشاره شده اخیر (آسیب‌پذیری پورت 8291 مربوط به سرویس winbox) صورت گرفته است.

مرکز ماهر برای حفاظت از روترهای میکروتیک، توصیه کرد در اسرع وقت بروزرسانی سیستم عامل و مسدودسازی پورت‌های مدیریت تجهیز روی اینترنت اجرا شود.

بر اساس این گزارش، مشاهدات حسگرهای مرکز ماهر در شبکه کشور، در روزهای گذشته حجم حمله‌های ثبت شده به پورت 23(telnet) افزایش چشمگیری داشته است. براساس بررسی‌های انجام شده، منشاء این حمله‌ها به طور عمده تجهیزات اینترنت اشیا (hot) آلوده نظیر مودم های خانگی و به ویژه روترهای میکروتیک بوده و هدف آن نیز شناسایی و آلوده سازی تجهیزات مشابه است.

مرکز ماهر مهمترین راهکار پیشگیری و مقابله با این تهدید را بروزرسانی(firmware) تجهیزات و مسدودسازی دسترسی به پورت‌های کنترلی از جمله پورت 23و 22 اعلام کرد.

بدافزار «سام سام» ۵ میلیون دلار باج گرفته است

مرداد ۱۰, ۱۳۹۷/در badware, baj afzar, SamSam, security, امنیت, فناوری اطلاعات /توسط ادمین

بدافزار « سام سام» که از سال ۲۰۱۵ کشف شده، تاکنون ۵.۹ میلیون دلار از قربانیان خود باج گرفته است. این بدافزار با تسلط بر سیستم رایانه، در مقابل دریافت مبلغی اطلاعات آن را آزاد می کند.

به گزارش دیجیتال ترندز، طبق گزارش شرکت امنیتیSophos خسارت مالی بدافزار SamSam به شرکت ها بسیار بیشتر از تخمین های کارشناسان بوده است. این بدافزار که نخستین بار در دسامبر ۲۰۱۵آشکار شد، از آن زمان تاکنون ۵.۹ میلیون دلار از قربانیان خود باج گرفته است. طبق گزارش شرکت سوفوس، روزانه یکبار از این باج افزار برای حمله استفاده می کنند. اما یک کاربر معمولی اینترنت ممکن است هیچ گاه با آن روبرو نشود زیرا SamSam قربانیان خود را هدف می گیرد.

این باج افزار سیستم رایانه را گروگان می گیرد و در مقابل دریافت مبلغی اطلاعات آن را آزاد می کند.

بدافزار ها به طور کلی در ایمیل های اسپم ناشناس ارائه می شوند و حاوی فایل یا لینک آلوده هستند. هنگامیکه کاربر روی فایل یا لینک موجود در ایمیل کلیک کند، باج افزار کنترل رایانه را به دست می گیرد. این حمله ایمیل های ناخواسته(اسپم) افراد خاصی را هدف نمی گیرد بلکه به هزاران آدرس ایمیل ارسال می شود.

اما بدافزارSamSam شیوه متفاوتی دارد.به طوری کلی یک هکر یا گروهی از هکرها وارد یک شبکه می شوند، آن را اسکن می کنند و سپس به طور دستی باج افزارSamSam را اجرا می کنند. این حملات تخصصی هستند تا بیشترین خسارت را وارد و بیشترین باج را دریافت کنند.

پیش از این تصور می شد SamSam در حملات به سازمان های دولتی ، خدمات درمانی و آموزشی به کار می رود. اما تحقیقی عمیق تر نشان می دهد شرکت های بخش خصوصی نیز قربانی حملات آن شده اند.

طبق این تحقیق ۵۰ درصد قربانیان از شرکت های خصوصی، ۲۶ درصد از بخش خدمات درمانی، ۱۳ درصد از سازمان های دولتی و ۱۱ درصد از موسسات آموزشی بوده اند.

هکرهای چینی با سی دی آلوده به رایانه ها حمله می کنند

مرداد ۹, ۱۳۹۷/در badware, china, hacker, امنیت, فناوری اطلاعات /توسط ادمین

هکرهای چینی سعی دارند با ارسال سی دی های حاوی بدافزار وارد رایانه های سازمان های ایالتی آمریکا شوند.

به گزارش انگجت، مرکز تحلیل و اشتراک گذاری اطلاعات ایالتی آمریکا (Multi-State Information Sharing and Analysis) به مقامات این کشور هشدار داده هکرهای چینی سعی دارند با ارسال سی دی هایی حاوی بدافزار به رایانه های آنان نفوذ کنند.

چند موسسه ایالتی پاکت هایی از چین دریافت کرده اند که حاوی فایل های های ورد حاوی ویروس و همچنین نامه هایی بوده اند.

البته هنوز هدف این هکرها مشخص نیست اما به نظر می رسد هکرها قصد دارند با ارسال این سی دی ها حمله خود را به طور گسترده نشان دهند.

البته به نظر می رسد دریافت کنندگان این سی دی ها هدف اصلی عملیات های هک نیستند. آرشیو های ایالتی، بنیادهای تاریخی و سازمان روابط فرهنگی همه چنین سی دی هایی را دریافت کرده اند.

مرکز تحلیل و اشتراک گذاری اطلاعات ایالتی آمریکا اعلام نکرده آیا دریافت کنندگان این سی دی ها را داخل رایانه قرار داده اند یا خیر. در گذشته هکرهای چینی برای مقاصد سوءاستفاده جویانه سازمان ها هدف می گرفتند و دزدی اطلاعات مطرح نبود.

حمله بدافزاری به مرکز خدمات پس از فروش سامسونگ

تیر ۲۷, ۱۳۹۷/در badware, cyber attack, samsung, security, امنیت, فناوری اطلاعات /توسط ادمین

پژوهشگران امنیتی به تازگی دریافته‌اند که در طول سال گذشته مراکز خدمات پس از فروش سامسونگ در ایتالیا بارها مورد حمله سایبری و بدافزاری قرار گرفته‌اند.

به گزارش bleepingcomputer، آمار حملات سایبری و هک در سال ۲۰۱۷ به اوج خود رسیده و برآوردها نیز حاکی است که رکورد حملات سایبری در سال آینده میلادی ۲۰۱۸ شکسته خواهد شد.

بدافزارها، باج‌افزارها و حملات DDOS از جمله تهدیدهای امنیتی بودند که از سال ۲۰۱۶ کاربران فضای مجازی را در معرض خطر حملات سایبری قرار داده‌اند و موجب لو رفتن اطلاعات شخصی و محرمانه آن‌ها شده است.

با اینکه حملات سایبری و بدافزاری بسیاری تاکنون در جهان رخ داده است و خیل عظیمی از کاربران را تاکنون با مشکلات متعددی مواجه ساخته است، تازه‌ترین گزارش‌های منتشره از سوی محققان و پژوهشگران امنیتی نشان می‌دهد که در طول یک سال اخیر، مراکز پس از فروش شرکت کره‌ای سامسونگ در کشور ایتالیا بارها مورد حملات بدافزاری و سایبری قرار گرفته است که البته به نظر آن‌ها این مساله جدیدی نیست بلکه مدت‌ها قبل در کشور روسیه نیز مجرمان سایبری به چنین مراکزی حمله کرده بودند.

به گفته آن‌ها، این حملات با ارسال ای‌میل‌های آلوده به حملات فیشینگی به کارمندان و کارکنان فعال در مراکز خدمات پس از فروش شرکت‌های مختلف از جمله آغاز می‌شود و پس از آنکه قربانیان موردنظر به لینک‌های آلوده مندرج در ای‌میل‌های خود مراجعه کنند، این هکرها و مجرمان سایبری قادر خواهند بود کنترل و مدیریت دستگاه موردنظر را در دست گرفته و به اهداف شوم خود دست یابند.

با توجه به گستردگی این نوع از حملات، شرکت سامسونگ نیز از علت و منبع حملات بدافزاری و فیشینگی موردنظر اعلام ناآگاهی کرده است. معمولا هویت هکرها و مجرمان سایبری که با انتشار بدافزار قصد دارند به اطلاعات مهم و حیاتی دست پیدا کنند، مشخص نمی‌شود بنابراین شرکت سامسونگ نیز از این قاعده مستثنی نخواهد بود.

این حملات بدافزاری و سایبری با سوءاستفاده از آسیب‌پذیری و حفره‌های امنیتی موجود در وب‌سایت‌های این شرکت صورت گرفته است. طبق گزارش‌ها، مدتی پیش بود که حمله بدافزاری مشابه دیگری در مراکز پس از فروش سامسونگ در روسیه رخ داد و هویت مجرمان سایبری که در آن مشارکت داشتند، هرگز افشا و شناسایی نشد.

بدافزار روسی کیف پول بیت کوین را سرقت می کند

تیر ۱۶, ۱۳۹۷/در badware, Bitcoin, russia, امنیت, تجارت الکترونیک, فناوری اطلاعات /توسط ادمین

یک بدافزار در حال تکامل روسی رصد شده که با توجه به شرایط رایانه، سعی می کند کیف پول بیت کوین آن را سرقت کند و در صورت نبود کیف پول یک فایل استخراج ارز مجازی روی دستگاه نصب می شود.

به گزارش سی نت، یک بدافزار در حال تکامل، تاکتیک جدیدی را برای سوءاستفاده از رایانه های کاربران به کار می گیرد. این بدافزار با توجه به شرایط قربانی به طور گزینشی باج افزار یا یک رمزگشا را روی دستگاه او نصب می کند.

اگر رایانه مبتلا به بدافزار حاوی کیف پول بیت کوین باشد، بدافزار فایل باج افزار رمزگذار(encrypting ransomware )را نصب می کند. اما اگر در رایانه فرد هیچ فولدری مرتبط با ارز مجازی نباشد، یک برنامه استخراج ارز مجازی روی دستگاه نصب می شود تا با استفاده از قدرت رایانه ارز مجازی تولید کند.

فایل استخراج کننده ارز مجازی آخرین افزودنی به تروژان Rakhni است. این یک خانواده بدافزار است که از ۲۰۱۳ وجود دارد و به طور مداوم طی این سال ها تکامل یافته است.به نظر می رسد سازندگان این بدافزار روش های سنتی حمله به رایانه را با موج استخراج ارز مجازی ترکیب کرده اند.

اورخان مامدوف تحلیلگر بدافزار در کسپراسکای می گوید: این نمونه دیگری از نگرش مجرمان به قربانیان خود است. آنها در هر حال سعی می کنند به طور مستقیم یا غیر مستقیم از قربانی باج بگیرند.

محققان کسپراسکای از روز ظهور این بدافزار تاکنون روند تکامل آن را بررسی کرده اند. بدافزار مذکور مانند نمونه های دیگر فرایند تبهکارانه خود را با ارسال یک ایمیل فیشینگ به قربانیان احتمالی آغاز می کند.

این حمله به خصوص بیشتر در روسیه متمرکز است، به طوری که بیش از ۹۵ درصد قربانیان در این کشور هستند و ایمیل های فیشینگ نیز در روسیه نوشته شده اند.

شناسایی بدافزار حمله‌کننده به تجهیزات اینترنت اشیا

تیر ۱۲, ۱۳۹۷/در badware, Internet of Things, IOT, امنیت, فناوری اطلاعات /توسط ادمین

بات کاوشگر ارز دیجیتالی که برخی از دستگاه‌های اینترنت اشیا را هدف قرار می‌داد، کشف شد.

به گزارش مرکز مدیریت راهبردی افتای ریاست جمهوری، بدافزارهای کاوشگر از منابع سیستم کاربران، برای کاوش ارز دیجیتالی بدون اجازه کاربر استفاده می‌کنند و به کاوش ارزهایی از قبیل Monero و Ethereum می‌پردازند.

این حمله کاوشگر ارز دیجیتالی در تمام دستگاه‌های متصل و سرورهای تحت سرویس SSH (فراهم کننده اتصال امن برای دستگاه های IoT) رخ می‌دهد.

این بات به طور عمده به دنبال دستگاه‌هایی می گردد که روی آنها پروتکل RDP (Remote Desktop Protocol) فعال باشد، سپس از آنها سوء استفاده کرده و اسکریپتی را اجرا می کند تا بدافزار کاوشگر دانلود و نصب شود.

بات نت، فایل‌هایی را از آدرس hxxps://www[.]yiluzhuanqian[.]com/soft/Linux/yilu_۲_[.]tgz دانلود می‌کند و آنها را در پوشه temp قرار می دهد. سایتی که اسکریپت از آن دانلود می شود یک سایت مخرب در حوزه مالی است که مهاجم به کمک تکنیک‌های پیشرفته‌ای در صورت مسدود شدن لینک‌ها، دامنه آن را تغییر می دهد تا عملیات مخرب ادامه یابد.

پس از دانلود اسکریپت و اجرای آن، ابتدا اتصال سیستم به اینترنت و سایت Baindu.com و سپس سیستم عامل آن بررسی می‌شود. اسکریپت پس از راه اندازی اولیه، کاوشگر را دانلود می کند و از مکانیزمی برای پایداری در سیستم استفاده می‌کند تا با راه‌اندازی سیستم بتواند به فعالیت خود ادامه دهد.

کارشناسان مرکز افتا توصیه می‌کنند برای در امان ماندن از این بات کاوشگر ارز دیجیتالی سیستم‌ها را همیشه و به صورت مناسب بروزرسانی، سرویس های غیر ضروری سیستم ها را غیرفعال و دسترسی به سرویس‌های فعال مانند RDP را محدود و همیشه مانیتور کنید.

بر اساس این توصیه‌ها، کاربران نباید نسبت به کند شدن یا هنگ کردن سیستم رایانه‌ای خود بی تفاوت باشند، بلکه باید دنبال علت آن باشند، زیرا ممکن است علت آن وجود کاوشگر ارز دیجیتالی در سیستم باشد.