کشف بدافزار استخراج بیت کوین که روزانه به هزاران هدف حمله می‌کند

/در , , , , /توسط
محققان امنیت سایبری به تازگی موفق به کشف کمپینی شده‌اند که یک بدافزار برای حمله به سرورهای داکر جهت استخراج بیت کوین توسعه داده‌ است. این بدافزار روزانه به هزاران هدف حمله می‌کند.
 
گزارش شرکت «آکوا» که در تاریخ 15 فروردین منتشر شده، به این موضوع اشاره می‌کند که این بدافزار از چندین ماه پیش در حال فعالیت است و روزانه به هزاران سرور برای استخراج بیت کوین حمله می‌کند. محققان هشدار داده‌اند:
 
«با بالاترین آماری که تا به امروز مشاهده کرده‌ایم، روبه‌رو هستیم.»
 
بر اساس تعداد حمله‌ها و جاه‌طلبی‌ آن‌ها، این کمپین باید به منابع و زیرساخت‌های قابل توجهی دسترسی داشته باشد. شرکت آکوا برای شناسایی این بدافزار از ابزارهای تحلیل ویروس خود استفاده کرده‌. این بدافزار که یک عامل لینوکسی مبتنی بر زبان برنامه نویسی گولنگ است، با نام Kinsing شناخته می‌شود.

این بدافزار با استفاده از تنظیمات غلط در API پورت‌های داکر، پخش می‌شود. این بدافزار روی دستگاه مجهز به اوبونتو که Kinsing را دانلود می‌کند، اجرا می‌شود و سپس به سایر هاست‌ها و دستگاه‌ها حمله می‌کند. بر اساس اعلام محققان، هدف نهایی این کمپین با اولین بهره‌برداری از یک پورت باز و سپس اجرای تاکتیک‌های فرار برای استقرار یک ماینر روی هاست در معرض خطر، به دست آمده است.
 
بررسی آکوا، اطلاعات دقیقی از این بدافزار در اختیار افراد قرار می‌گیرد. این شرکت چنین بدافزاری را نمونه‌ای از تهدید رو به رشد برای محیط‌های ابری می‌داند. به اعتقاد محققان، مهاجمان در حال افزایش توانایی‌‌‌های خود هستند و به اهداف جاه‌طلبانه‌تری حمله می‌کنند. برای مقاومت در برابر این حملات، تیم‌های امنیتی شرکت‌ها باید استراتژی قوی‌تری داشته باشند.

آکوا پیشنهاد داده که تیم‌ها تمام منابع ابری را شناسایی کرده و آن‌ها را در یک ساختار منطقی، دسته‌بندی کنند. پس از این کار، باید سیاست‌های تایید اعتبار و مجوز آن‌ها مورد بررسی قرار بگیرد. سیاست‌های امنیتی پایه باید به گونه‌ای تنظیم شوند که کمترین مزیت را داشته باشند. تیم‌ها همچنین باید ورود کاربران را مورد بررسی قرار دهند تا بتوانند فعالیت‌های آن‌ها را شناسایی کنند. ابزارهای امنیتی نیز باید استراتژی خود را تقویت کنند.
 
ماه گذشته میلادی یک استارتاپ سنگاپوری، Acronis نتیجه آخرین نظرسنجی امنیت سایبری خود را منتشر کرد. این نظرسنجی مشخص کرد که 86 درصد از متخصصان حوزه فناوری در رابطه با استفاده از دستگاه‌های دیگران برای استخراج ارزهای دیجیتال که با نام کریپتو جکینگ (Cryptojacking) شناخته می‌شود، ابراز نگرانی می‌کنند.

حمله بدافزاری به نرم افزار داکر

/در , , , , /توسط
محققان از شناسایی بدافزاری خبر داده اند که در ماه های اخیر در حال بررسی و کنترل اینترنت برای شناسایی سرورهای مجهز به نرم افزار داکر بوده است.
 
 
 
به نقل از زددی نت، یک بدافزار در ماه های گذشته برای شناسایی پرت های مختلف رایانه های سرور و نفوذ به آنها در صورت استفاده از نرم افزار داکر تلاش کرده است.
 
هکرها بعد از نفوذ به سرورهای هدف بدافزاری را به منظور سرقت ارز رمزها بر روی آنها نصب کرده اند. این بدافزار کینسینگ نام دارد و بررسی های موسسه امنیتی آکوآ نشان می دهد حملات یادشده از سال ۲۰۱۹ آغاز شده و کماکان ادامه دارد.
 
نرم افزار داکر یک برنامه رایانه ای متن باز است که با شبیه سازی محیط سیستم عامل ها اجرای نرم افزارهای مختلف کاربردی را ممکن می کند. در واقع یکی از کاربردهای مهم این برنامه عبارت است از: نصب سریع یک سیستم عامل، نصب ابزارهای مورد نیاز روی آن و در نهایت آزمایش نرم افزار خود و پس از پایان کار پاک کردن محیط آزمایش. در واقع داکر نسخه ای کوچک از هر سیستم عامل را در خود دارد که بدون نیاز به نصب سیستم عامل های سنگین و پیچیده می توان نرم افزارها را بر روی آن نصب و آزمایش کرد.
 
داکر در سال ۲۰۱۳ شروع به کار کرد و توسط شرکت داکر توسعه داده می‌شود. این خدمات در دو نوع رایگان و پولی در دسترس است. هنوز عوامل این حملات و میزان خسارات ناشی از آن مشخص نشده است.
 

نسخه جدید بدافزار میرای از راه رسید

/در , , /توسط
کارشناسان امنیتی از شناسایی نسخه جدیدی از بدافزار بوت نت میرای خبر داده اند که حافظه های رایانه ای متشکل به شبکه های اینترنتی را هدف قرار می دهد.
 
 به نقل از زددی نت، نسخه جدید بدافزار میرای از یک آسیب پذیری قدیمی و شناخته شده در حافظه های متصل به شبکه های رایانه ای برای راه اندازی یک بوت نت برای حمله به سیستم های گوناگون سوءاستفاده می کند.
بدافزار جدید که به موکاشی نیز مشهور شده به خصوص به حافظه های تولیدی شرکت Zyxel حمله می کند، کنترل آنها را در دست می گیرد و این حافظه ها را به شبکه ای متشکل از وسایل مختلف هک شده اضافه می کند تا بعدا از آنها برای اجرای حملات موسوم به دی او اس سوءاستفاده شود.
 
بدافزار یادشده پرت های تی سی پی را برای یافتن اهداف احتمالی خود اسکن می کند و این کار را از مارس سال جاری میلادی تا به امروز انجام داده است. هنوز در مورد خسارات تازه این بدافزار گزارشی در دست نیست.

بازگشت باج‌افزار قدیمی با ترفندی جدید/ لزوم فعالسازی نسخه پشتیبان

/در , , , , /توسط
 
 
مرکز مدیریت راهبردی افتای ریاست جمهوری از بازگشت نسخه جدید باج افزار «پارادایس» که در سال ۲۰۱۷ فعال بود از طریق ایمیل های جعلی (فیشینگ) خبر داد.
 
 به نقل از مرکز مدیریت راهبردی افتای ریاست جمهوری، نسخه جدید باج‌افزار Paradise که تقریباً از سال ۲۰۱۷ فعال بوده، از طریق ایمیل‌های فیشینگ منتشر می‌شود و به دلیل به‌کارگیری فایلی غیرمتداول به سیستم‌ها و شبکه‌ها رخنه می‌کند و محققان بر این باورند که این بدافزار، در حال هدف قراردادن سازمان ها است.
 
فایلی که باج‌افزار Paradise منتشر می‌کند در ظاهر بی‌خطر است؛ این تکنیک به کار گرفته شده سبب می شود که بسیاری از محصولات امنیتی روی سیستم های تحت ویندوز، این فایل را حتی به‌عنوان بالقوه مخرب شناسایی نمی‌کنند.
 
پیوست ایمیل‌های فیشینگ ارسالی در کارزار جدید، فایلی با پسوند IQY است. فایل‌های Internet Query با پسوند IQY حاوی متنی ساده و در ظاهر فاقد هرگونه عملکرد مخرب هستند. نقش این فایل در کارزار جدید Paradise دریافت فایل مخرب مورد نظر مهاجمان است.
 
آنچه که این کارزارهای هرزنامه‌ای را بسیار خطرناک می‌کند، عدم بررسی فایل‌های IQY توسط بسیاری از محصولات امنیتی و سازوکارهای بررسی خودکار است.
 
در این باره پایگاه اینترنتی ZDNet نوشت: محققان Lastline که این کارزار را شناسایی کرده‌اند می‌گویند مهاجمان Paradise در حال هدف قرار دادن سازمان‌ها هستند. گردانندگان باج‌افزار همچنان در حال هدف قرار دادن سازمان‌ها در سرتاسر جهان و موفقیت در اخاذی صدها هزار دلار با ارز رمزهایی همچون بیت‌کوین هستند.
 
در این ایمیل‌های فیشینگ با ظاهری تجاری تلاش شده تا کاربر متقاعد به باز کردن فایل IQY پیوست شود. در صورتی که کاربر ناآگاه اقدام به اجرای پیوست کند، فایل IQY به سرور فرماندهی (C۲) متصل شده و در ادامه با اجرای یک فرمان مبتنی بر PowerShell منجر به نصب باج‌افزار روی سیستم می‌شود.
 
به‌محض رمزگذاری شدن فایل‌ها، با نمایش یک اطلاعیه باج‌گیری (Ransom Note ) از کاربر خواسته می‌شود تا در ازای آنچه که این مهاجمان بازگرداندن دسترسی‌ها به حالت اولیه می‌خوانند، مبلغ اخاذی شده را از طریق ارز رمز (Cryptocurrecny ) پرداخت کند.
 
نویسندگان بدافزار معمولاً در مراحلی از توسعه بدافزار، آن را توزیع می‌کنند تا نحوه شناسایی آنها توسط محصولات و راهکارهای امنیتی را ارزیابی کنند.
 
محققان، پیش‌تر موفق به ساخت ابزاری شده بودند که قربانیان Paradise را قادر به رمزگشایی رایگان فایل‌های رمز شده توسط این باج‌افزار می‌کرد. اجرای این کارزار جدید از عقب ننشستن مهاجمان Paradise حکایت دارد.
 
کارشناسان معاونت بررسی مرکز افتا می‌گویند: یکی از اصلی‌ترین راهکارها در برابر این تبهکاران سایبری، تهیه مستمر نسخه پشتیبان از سیستم‌ها است تا در صورت بروز آلودگی به باج‌افزار، امکان باز گرداندن فایل‌ها به حالت اولیه فراهم باشد.
 
همچنین برای جلوگیری از مورد بهره‌جویی قرار گرفتن آسیب‌پذیری‌های موجود در سیستم‌های عامل و نرم‌افزارهای مورد استفاده، کاربران باید از نصب مستمر اصلاحیه‌های امنیتی روی دستگاه‌ها اطمینان حاصل کنند تا از گزند این بدافزارهای مخرب در امان بمانند.

حمله هکرها به یکدیگر!

/در , , , , /توسط
هکرها به اهداف مختلفی حمله می‌کنند و اکثر مواقع افراد عادی و یا سازمان‌ها مورد حمله سایبری قرار می‌گیرند. با وجود چنین موضوعی، اطلاعات جدید از حمله هکرها به یکدیگر توسط بدافزار و آلوده کردن ابزارهای هک به تروجان njRat خبر می‌دهد.
 
به تازگی یک کمپین بدافزار شناسایی شده که نشان می‌دهد هکرها خود مورد حمله سایر هکرها قرار می‌گیرند. برای این کار ابزارهای معروف مورداستفاده در حمله سایبری، توسط بدافزار آلوده می‌شوند. یکی از اعضای Cybereason، «آمیت سرپر» به این موضوع پی برده که مهاجمان در این کمپین که قدمت بالایی دارد، ابزارهای موجود برای حمله سایبری که برخی از آن‌ها برای جداسازی اطلاعات از دیتابیس جهت کرک کردن و تولید کلید محصول برای دستیابی به نسخه‌های کامل یک نرم افزار Trial طراحی شده‌اند را به تروجان قدرتمند دسترسی از راه دور آلوده می‌کنند. زمانی که یک هکر این ابزارها را اجرا می‌کند، هکر دیگر به اطلاعات کامل سیستم وی دسترسی پیدا می‌کند.
 
به گفته سرپر مهاجمان با انتشار دوباره این ابزارها در فروم‌های هک، طعمه‌های خود را پیدا می‌کنند. این ابزارهای جدید تنها کامپیوتر هکر را مورد حمله قرار نمی‌دهد، بلکه اطلاعات تمام سیستم‌هایی که در گذشته توسط وی مورد حمله سایبری قرار گرفته بودند نیز در اختیار مهاجم جدید قرار می‌گیرد. سرپر در این زمینه اعلام کرده است: «اگر شما و یا تجارت شما مورد حمله قرار بگیرد و برای دسترسی به اطلاعات از ابزارهای آلوده شده به تروجان استفاده شود، فردی که هکر را هدف قرار داده نیز به اطلاعات شما دسترسی پیدا خواهد کرد.»
 
سرپر به این موضوع اشاره کرده که مهاجمان ناشناس ابزارهای هک را به تروجان قدرتمند njRat آلوده می‌کنند که دسترسی کامل به اطلاعات هکر دیگر شامل فایل‌ها، پسوردها و حتی وب‌کم و میکروفن را فراهم می‌کند. تروجان njRat حداقل از سال 2013 مورد استفاده مهاجمان بوده و در آن زمان به صورت مداوم برای حمله به اهدافی در خاورمیانه مورد استفاده قرار گرفته بود.
 
این تروجان اغلب توسط ایمیل‌های فیشینگ و همچنین فلش درایوهای آلوده وارد سیستم قربانی می‌شود، البته اخیرا مهاجمان برای جلوگیری از شناسایی شدن، این تروجان را وارد سایت‌های ناامن می‌کنند. در سال 2017 هکرها از این روش برای میزبانی بدافزار در یک وب‌سایت برای داعش استفاده کردند.
 
بر اساس گفته‌های سرپر، آلودن کردن ابزارهای هک به تروجان njRat به صورت روزانه صورت می‌گیرد و احتمالا این فرایند به صورت خودکار انجام می‌شود. بر این اساس، بدون دخالت مستقیم انسان اهداف مورد حمله قرار می‌گیرند. در حال حاضر دلیل راه اندازی این کمپین و همچنین فردی که آن را ایجاد کرده، برای ما نامشخص است.

حملات سایبری در سال ۲۰۱۹؛ هک بدون بدافزار در صدر لیست

/در , , , , , /توسط
بر اساس ارزیابی‌های وب سایت CrowdStrike از تهدیدات سیستم‌های کامپیوتری در سال گذشته، بسیاری از هکر‌ها از تکنیک‌هایی استفاده می‌کنند که هیچ بدافزاری در آن‌ها وجود ندارد. اکثر این حملات از کشورهای چین و کره شمالی آغاز می‌شوند و به تکنیک «بدون بدافزار» معروف هستند.
 
گزارش‌های وب سایت CrowdStrike نشان می‌دهد که حملاتی تحت عنوان «Malware-free» یا «بدون بدافزار»، ۵۱ درصد از حملات کلی هکرها در سال ۲۰۱۹ به سیستم‌های کامپیوتری را تشکیل می‌دهد. این عدد نسبت به سال ۲۰۱۸ با جهشی ۱۱ درصدی رو به رو بوده است. همچنین بر اساس ارزیابی‌های این وب سایت، علت افزایش درصد این گونه از حملات، هدف قرار گرفته شدن آمریکای شمالی است.
 
از مجموعه حملاتی که ایالات متحده را هدف قرار می‌دهند، ۷۲ درصد آن‌ها حملات بدون بدافزار بوده است. همچنین ارزیابی‌ها از هند نیز نشان می‌دهد ۲۵ درصد حملات به این منطقه نیز از تکنیک بدون بدافزار استفاده شده است. گزارش سالانه وب سایت CrowdStrike به کمک بررسی دقیق و ارزیابی داده‌های ۳ تریلیون رویداد در هفته از ۱۷۶ کشور میسر شده است. تیم‌های مشاوره، ۱۳۱ حمله متخاصم که شامل هکر‌های منطقه‌ای و کشوری می‌شود را شناسایی کرد و علاوه بر آن‌ها گروه‌های ردیابی هکرها به نام Falcon Overwatch نیز در این ارزیابی، همکاری‌هایی داشته‌اند.
 
وب سایت CrowdStrike می‌گوید استفاده از تکنیک‌های بدون بدافزار باعث می‌شود تا سازمان‌ها تنها به استفاده از آنتی ویروس‌ها بسنده نکنند. بر اساس این وب سایت، تکنیک مالور فری یا بدون بدافزار، به تکنیک‌هایی گفته می‌شود که در آن فایل‌ها روی دیسک نوشته نمی‌شوند. در نتیجه این حملات می‌توانند حملاتی باشند که در آن کد‌ها از روی حافظه یا از جایی که پیش از آن گذرواژه‌ها افشا شده‌اند، خوانده شوند.
 
شناسایی روش‌های هک بدون بدافزار معمولا تکنیک‌های مختلف ردیابی و دخالت را می‌طلبد و عموما باید از روش‌هایی استفاده شود که در آن، انسان مستقیما به دنبال تهدید بگردد و آن را پیدا کند. علاوه بر این در گزارش سال ۲۰۲۰ وب سایت CrowdStrike می‌بینیم که باج افزارها و باج گیری‌های سایبری نیز بسیار زیاد شده و مجرمین سایبری نسبت به گذشته استخراج داده بیشتری انجام داده و بیشتر به صنایع مختلف به منظور سرقت داده‌های معنوی و داده‌های رقابتی سری حمله کرده‌اند.
 
همچنین صنعتی که در ایالات متحده حداکثر ضرر را از این حملات دیده، صنعت ارتباطات رادیویی است. بیشترین حمله به این صنعت از سوی چین و کره شمالی بوده و بر اساس گفته‌های این وب سایت، دولت چین علاقه بیشتری به سرقت اسرار محرمانه دولتی نشان داده است. همچنین هکر‌های چینی هدف خود را روی زنجیره‌های تامین آمریکا گذاشته‌اند تا قربانی‌های بیشتری را هک کنند.
 
گزارش این وب سایت نشان می‌دهد که بیشتر اهداف هکر‌های چینی، صنایع مختلف زیرساخت آمریکا، مثل انرژی‌های پاک، سلامت و بهداشت، بیوفناوری و دارویی بوده که برای استراتژی‌های تجارتی چین بسیار حیاتی هستند. این وب سایت مدعی شده که حملات فوق به احتمال زیاد ادامه داشته باشند. علاقه کره شمالی به مبادلات ارز دیجیتال نیز نشان‌دهنده نیت خرابکارانه این دولت به منظور جمع‌آوری ارز‌های دیجیتال کاربران است. وب سایت CrowdStrike می‌گوید به احتمال زیاد دولت کره شمالی برای دور زدن تحریم‌های اقتصادی، از ارز دیجیتال استفاده کند و تحرکات این دولت در این بخش نیز نشان دهنده علاقه آن‌ها به رمزارزهاست.
 
با تمام این وجود ارزیابی‌ها نشان می‌دهد که دژ‌های امنیتی نسبت به سال گذشته مستحکم‌تر شده‌اند و به طور معمول چیزی بین ۹ ساعت طول می‌کشد تا فرو بریزند. این عدد نسبت به سال گذشته که ۴ ساعت و ۳۷ دقیقه بود، پیشرفت چشمگیری داشته است.

بدافزار سارق اطلاعات صدها هزار رایانه را آلوده کرد

/در , , , , /توسط
 
بدافزار سارق اطلاعات با نام «Raccoon » با دسترسی به اطلاعات حدود ۶۰ برنامه نرم افزاری، صدها هزار رایانه را در سراسر جهان آلوده کرده است.
 
 به نقل از مرکز افتای ریاست جمهوری، یک بدافزار سارق اطلاعات جدید به نام Raccoon در تالارهای گفتگو مجرمین سایبری شناخته شده که می‌تواند داده‌های حساس را از حدود ۶۰ برنامه در رایانه هدف استخراج کند.
 
این بدافزار سارق اطلاعات اولین بار حدود یک سال گذشته مشاهده شد که به دلیل قیمت پایین و امکانات زیاد خود محبوبیت بالایی کسب کرد.
 
این بدافزار که با نام‌های Legion، Mohazo و Racealer نیز شناخته می‌شود، اولین بار در آوریل ۲۰۱۹ مشاهده شد که تحت مدل بدافزار به عنوان سرویس یا (MaaS (Malware-as-a-Service توزیع می‌شود.
 
خریدار این بدافزار به یک پنل دسترسی پیدا می‌کند که می‌تواند بدافزار را شخصی‌سازی و داده‌های به سرقت رفته را مشاهده کند. این مدل امروزه به طور گسترده مورد استفاده قرار می‌گیرد، زیرا باعث می‌شود بسیاری از مشتریان فاقد دانش فنی مناسب بتوانند از آن استفاده کنند که منجر به سودآوری برای تولیدکنندگان بدافزار می‌شود.
 
براساس تحلیلی که توسط پژوهشگران امنیتی انجام شده است، این بدافزار در زبان ++C نوشته شده و می‌تواند اطلاعات محرمانه و حساس را از حدود ۶۰ برنامه کامپیوتری (مرورگر، کیف رمزارز، برنامه‌های ایمیل و FTP) به سرقت ببرد.
 
همه مرورگرهای شناخته شده (Google Chrome،Mozilla Firefox ،Microsoft Edge ،Internet Explorer ، Opera و غیره) در فهرست اهداف این بدافزار قرار دارند و کوکی‌ها، تاریخچه و اطلاعات مربوط به فرم‌های ورود آن‌ها، مورد هدف بدافزار هستند.
 
از بین نرم‌افزارهای مدیریت ایمیل نیز Thunderbird، Outlook و Foxmail در بین اهداف بدافزار Raccoon به چشم می‌خورند.
 
قابلیت دیگر در این بدافزار جمع‌آوری جزئیات سیستم (نسخه سیستم عامل و معماری، زبان، اطلاعات سخت‌افزاری، تعداد برنامه‌های نصب شده) است. مهاجمان همچنین می‌توانند فایل پیکربندی Raccoon را برای تهیه عکس از صفحه سیستم‌های آلوده تنظیم کنند. علاوه بر این، این بدافزار می‌تواند به عنوان یک منتقل‌کننده برای نرم‌افزارهای مخرب دیگر عمل کند، در واقع آن را به یک ابزار حمله مرحله اول تبدیل می‌کند.
 
مانند سایر بدافزارها، Raccoon نیز با رفع مشکلات مختلف و افزودن قابلیت‌های جدید به طور فعال در حال بهبود و توسعه است.
 
Raccoon از تکنیک خاصی برای سرقت اطلاعات از برنامه‌های مورد هدف خود بهره نمی‌برد، اما یکی از محبوب‌ترین بدافزارهای سارق اطلاعات در تالارهای گفتگو زیرزمینی است. با این حال، با وجود سادگی بدافزار، صدها هزار رایانه را در سراسر جهان آلوده کرده است.
 
این نوع بدافزار سارق اطلاعات می‌تواند خسارات زیادی را به افراد و سازمان‌ها وارد کند. مهاجمان با استفاده از آن می‌توانند اطلاعات احراز هویت را به سرقت ببرند و برای حملات بعدی سطح دسترسی خود را افزایش دهند.
 
اینگونه اقدمات که پیش‌تر برای عوامل حرفه‌ای در دسترس بود، اکنون با ارائه چنین بدافزارهایی برای مهاجمان تازه‌کار نیز فراهم شده که می‌توانند با خرید Raccoon و سرقت داده‌های حساس سازمان‌ها، از آن‌ها سوءاستفاده کنند.
 
با اینکه Raccoon ابزار پیشرفته‌ای نیست اما در میان مهاجمان سایبری بسیار محبوب است.
 
مرکز افتا به منظور محافظت در مقابل این بدافزار، راهکارهایی چون استفاده از راه‌حل‌های ضدویروس به روزرسانی شده، به‌روزرسانی برنامه‌ها و سیستم‌عامل، جلوگیری از بازکردن پیوست‌های مشکوک در ایمیل و جلوگیری از کلیک روی URLهای ناشناخته را توصیه کرده است.

ارائه پلتفرمی برای تشخیص بدافزارها/ امکان شناسایی منشا انتشار ویروس‌ها در کشور فراهم شد

/در , , , , /توسط
 
 
گروهی از محققان کشور پلتفرمی را طراحی کردند که از طریق آن علاوه بر آنکه می‌توان بدافزارهایی که از طریق شبکه‌های اجتماعی منتشر می‌شود را شناسایی کرد، با کمک آن امکان منشا انتشار بدافزارها نیز برای کاربران فراهم می‌شود.
 
امیرگوران اوریمی از محققان این طرح در این باره گفت: در این پروژه پلتفرم تحلیل بدافزار طراحی و پیاده‌سازی شد که قادر است یک فایل را در سطوح مختلف از لحاظ ماهیت فایل (بدافزار یا سالم بودن) مورد ارزیابی قرار دهد.
 
وی بخش اصلی این پلتفرم را هسته آن دانست که شامل پنج زیر سامانه  "ضد بدافزار مرکب" (Multi AV)، "تحلیل ایستا" (Static Analysis)، "تحلیل پویا" (Dynamic Analysis)، "تحلیل تخصصی دستی" (Expert Analysis) و "شناسایی منشا انتشار بدافزار" (Malware Origins) است.
 
گوران اوریمی به بیان مکانیزم عملکردی این پلتفرم اشاره کرد و یادآور شد: فرض کنید که در یک شبکه اجتماعی به فایل مشکوک برخورد کردید که نمی‌دانیم این فایل یک بدافزار است یا خیر. برای بررسی، این فایل به سامانه MALAB.ir ارسال می‌شود و در این سامانه فایل ارسال شده از طریق ۵۹ آنتی ویروس مورد بررسی قرار می‌گیرد.
 
این محقق با بیان اینکه در بخش ضد ویروس مرکب (Multi AV) فایل‌های ارسالی توسط ابزارهای ضد بدافزار مختلف مورد تحلیل و بررسی قرار می‌گیرد، خاطر نشان کرد: یکی از مشکلات موجود در این بخش تحریک ایران توسط شرکت‌های تحلیل بدافزار و عدم ارائه API است که برای رفع این مشکل با مهندسی معکوس ابزارهای ضد بدافزار این API از آنها استخراج شد.
 
وی با تاکید بر اینکه اگر فایل توسط ضدویروس مرکب، مخرب تشخیص داده نشد، فایل در بخش بعدی به صورت ایستا و پویا تحلیل خواهد شد، ادامه داد: پس از آنکه بدافزار بودن این فایل رد شد، به مدت چند دقیقه در محیط ایزوله‌شده اجرا می‌شود و رفتار آن مورد بررسی قرار خواهد گرفت و پس از آن رفتار این فایل اگر همانند رفتار بدافزارها باشد، به عنوان بدافزار معرفی می‌شود.
 
به گفته گوران اوریمی، در این بخش با طراحی و پیاده‌سازی یک جعبه شن (Sand Box) بر اساس فناوری Intel-VT بدافزار در محیط ایزوله، اجرا شده و رفتار آن مورد تحلیل قرار می‌گیرد.
 
وی اضافه کرد: در فرآیند تحلیل فایل، ممکن است ضد ویروس مرکب و جعبه شن قادر به شناسایی آن نباشند؛ از این رو تحلیل توسط متخصصان انسانی صورت می‌گیرد. در این بخش تیمی از تحلیلگران بدافزار جمع‌آوری شده و این تیم می‌توانند تحلیل‌های دستی و نظر خود را درباره فایل‌های ارسالی، ارائه دهند.
 
گوران اوریمی یکی از چالش‌های موجود در این فناوری را نبود گروه تحلیل در شرکت‌ها و یا سربار مالی زیاد آنها در ایران ذکر کرد و گفت: برای حل این مشکل در این پلتفرم تمام تحلیلگران بدافزار سراسر دنیا امکان ثبت‌نام، درج گزارش تحلیل فایل و دریافت مبلغ را دارند. به عبارت دیگر این پلتفرم بستری برای حضور و درآمدزایی تحلیلگران تهیه کرده است.
 
وی با تاکید بر اینکه در این پلتفرم امکان شناسایی منشا انتشار بدافزار پیش‌بینی شده است، ادامه داد: در این بخش پروفایلی برای کانال‌های شبکه‌های اجتماعی همانند تلگرام و غیره، تهیه و از این طریق مشخص می‌شود که منشا انتشار بدافزار کجا بوده است.
 
گوران اوریمی با اشاره به ایجاد یکسری "کراولر" و "هانی‌پات" (Honeypot) در این پلتفرم، یادآور شد: این بخش هر روز شبکه‌های اجتماعی مانند گپ، آی گپ و تلگرام، پیام‌رسان‌ها و مارکت‌ها را مورد بررسی قرار می‌دهد و فایل‌هایی که در این شبکه‌ها منتشر می‌شود، به این سامانه ارسال می‌کنند تا در صورتی که این فایل‌ها حاوی بدافزار باشند، قبل از آنکه از طریق این شبکه‌ها بیشتر منتشر شوند، اطلاع رسانی خواهد شد تا کاربران از طریق این بدافزارها آلوده نشوند.
 
وی با تاکید بر اینکه این سامانه، پلتفرمی برای شناسایی و تحلیل بدافزارها است، اظهار کرد: این سامانه دارای دو حالت است؛ در حالت اول اگر تعداد کاربران کم باشد و نیازی به اسکن بیش از ۱۰ فایل در روز نباشد، کاربران می‌توانند از خدمات رایگان این سامانه بهره‌مند شوند. 
 
این محقق افزود: ولی اگر نیاز به اسکن بیشتر از ۱۰ فایل در روز باشد، نسخه‌های تجاری این سامانه در دسترس است.
 
به گفته وی سرور این پلتفرم در اختیار کاربران قرار می‌گیرد و آنها می‌توانند این سرور را در سازمان مربوطه نصب کنند.
 
گوران اوریمی، عدم وابستگی این سامانه به سیستم عامل خاصی را از مزایای این پلتفرم دانست و گفت: این پلتفرم قابل نصب برای انواع سیستم عامل تلفن همراه و ویندوز است؛ ولی بخش کراول آن بیشتر برای شناسایی بدافزارهای اندروید فعال شده است.
 
وی بدافزارها و یا ویروس‌ها را فایل‌هایی توصیف کرد که با هدف نفوذ به کامپیوتر مورد استفاده قرار می‌گیرند و ادامه داد: زمانی که این بدافزارها وارد کامپیوتری می‌شوند، آسیب‌هایی را به دستگاه وارد می‌کنند، به گونه‌ای که ممکن است فایلی را پاک و یا "رمز" کنند و برای باز کردن رمز فایل‌ها پولی را دریافت کنند و یا از سیستم کاربر برای نفوذ به سیستم دیگری بهره‌برداری کنند.
 
گوران اوریمی با بیان اینکه اینها مواردی از آسیب‌هایی است که یک بدافزار می‌تواند به سیستم کامپیوتری وارد کند، افزود: بدافزارها انواع مختلفی دارند که از جمله آنها می‌توان به ویروس‌ها، کرم‌ها و یا تروجان‌ها اشاره کرد.
 
به گفته محقق این طرح، این سامانه فعال شده است و نسخه رایگان این پلتفرم قابل دسترسی است.

ارائه پلتفرمی برای تشخیص بدافزارها/ امکان شناسایی منشا انتشار ویروس‌ها در کشور فراهم شد

/در , , , , /توسط
 
 
گروهی از محققان کشور پلتفرمی را طراحی کردند که از طریق آن علاوه بر آنکه می‌توان بدافزارهایی که از طریق شبکه‌های اجتماعی منتشر می‌شود را شناسایی کرد، با کمک آن امکان منشا انتشار بدافزارها نیز برای کاربران فراهم می‌شود.
 
امیرگوران اوریمی از محققان این طرح در این باره گفت: در این پروژه پلتفرم تحلیل بدافزار طراحی و پیاده‌سازی شد که قادر است یک فایل را در سطوح مختلف از لحاظ ماهیت فایل (بدافزار یا سالم بودن) مورد ارزیابی قرار دهد.
 
وی بخش اصلی این پلتفرم را هسته آن دانست که شامل پنج زیر سامانه  "ضد بدافزار مرکب" (Multi AV)، "تحلیل ایستا" (Static Analysis)، "تحلیل پویا" (Dynamic Analysis)، "تحلیل تخصصی دستی" (Expert Analysis) و "شناسایی منشا انتشار بدافزار" (Malware Origins) است.
 
گوران اوریمی به بیان مکانیزم عملکردی این پلتفرم اشاره کرد و یادآور شد: فرض کنید که در یک شبکه اجتماعی به فایل مشکوک برخورد کردید که نمی‌دانیم این فایل یک بدافزار است یا خیر. برای بررسی، این فایل به سامانه MALAB.ir ارسال می‌شود و در این سامانه فایل ارسال شده از طریق ۵۹ آنتی ویروس مورد بررسی قرار می‌گیرد.
 
این محقق با بیان اینکه در بخش ضد ویروس مرکب (Multi AV) فایل‌های ارسالی توسط ابزارهای ضد بدافزار مختلف مورد تحلیل و بررسی قرار می‌گیرد، خاطر نشان کرد: یکی از مشکلات موجود در این بخش تحریک ایران توسط شرکت‌های تحلیل بدافزار و عدم ارائه API است که برای رفع این مشکل با مهندسی معکوس ابزارهای ضد بدافزار این API از آنها استخراج شد.
 
وی با تاکید بر اینکه اگر فایل توسط ضدویروس مرکب، مخرب تشخیص داده نشد، فایل در بخش بعدی به صورت ایستا و پویا تحلیل خواهد شد، ادامه داد: پس از آنکه بدافزار بودن این فایل رد شد، به مدت چند دقیقه در محیط ایزوله‌شده اجرا می‌شود و رفتار آن مورد بررسی قرار خواهد گرفت و پس از آن رفتار این فایل اگر همانند رفتار بدافزارها باشد، به عنوان بدافزار معرفی می‌شود.
 
به گفته گوران اوریمی، در این بخش با طراحی و پیاده‌سازی یک جعبه شن (Sand Box) بر اساس فناوری Intel-VT بدافزار در محیط ایزوله، اجرا شده و رفتار آن مورد تحلیل قرار می‌گیرد.
 
وی اضافه کرد: در فرآیند تحلیل فایل، ممکن است ضد ویروس مرکب و جعبه شن قادر به شناسایی آن نباشند؛ از این رو تحلیل توسط متخصصان انسانی صورت می‌گیرد. در این بخش تیمی از تحلیلگران بدافزار جمع‌آوری شده و این تیم می‌توانند تحلیل‌های دستی و نظر خود را درباره فایل‌های ارسالی، ارائه دهند.
 
گوران اوریمی یکی از چالش‌های موجود در این فناوری را نبود گروه تحلیل در شرکت‌ها و یا سربار مالی زیاد آنها در ایران ذکر کرد و گفت: برای حل این مشکل در این پلتفرم تمام تحلیلگران بدافزار سراسر دنیا امکان ثبت‌نام، درج گزارش تحلیل فایل و دریافت مبلغ را دارند. به عبارت دیگر این پلتفرم بستری برای حضور و درآمدزایی تحلیلگران تهیه کرده است.
 
وی با تاکید بر اینکه در این پلتفرم امکان شناسایی منشا انتشار بدافزار پیش‌بینی شده است، ادامه داد: در این بخش پروفایلی برای کانال‌های شبکه‌های اجتماعی همانند تلگرام و غیره، تهیه و از این طریق مشخص می‌شود که منشا انتشار بدافزار کجا بوده است.
 
گوران اوریمی با اشاره به ایجاد یکسری "کراولر" و "هانی‌پات" (Honeypot) در این پلتفرم، یادآور شد: این بخش هر روز شبکه‌های اجتماعی مانند گپ، آی گپ و تلگرام، پیام‌رسان‌ها و مارکت‌ها را مورد بررسی قرار می‌دهد و فایل‌هایی که در این شبکه‌ها منتشر می‌شود، به این سامانه ارسال می‌کنند تا در صورتی که این فایل‌ها حاوی بدافزار باشند، قبل از آنکه از طریق این شبکه‌ها بیشتر منتشر شوند، اطلاع رسانی خواهد شد تا کاربران از طریق این بدافزارها آلوده نشوند.
 
وی با تاکید بر اینکه این سامانه، پلتفرمی برای شناسایی و تحلیل بدافزارها است، اظهار کرد: این سامانه دارای دو حالت است؛ در حالت اول اگر تعداد کاربران کم باشد و نیازی به اسکن بیش از ۱۰ فایل در روز نباشد، کاربران می‌توانند از خدمات رایگان این سامانه بهره‌مند شوند. 
 
این محقق افزود: ولی اگر نیاز به اسکن بیشتر از ۱۰ فایل در روز باشد، نسخه‌های تجاری این سامانه در دسترس است.
 
به گفته وی سرور این پلتفرم در اختیار کاربران قرار می‌گیرد و آنها می‌توانند این سرور را در سازمان مربوطه نصب کنند.
 
گوران اوریمی، عدم وابستگی این سامانه به سیستم عامل خاصی را از مزایای این پلتفرم دانست و گفت: این پلتفرم قابل نصب برای انواع سیستم عامل تلفن همراه و ویندوز است؛ ولی بخش کراول آن بیشتر برای شناسایی بدافزارهای اندروید فعال شده است.
 
وی بدافزارها و یا ویروس‌ها را فایل‌هایی توصیف کرد که با هدف نفوذ به کامپیوتر مورد استفاده قرار می‌گیرند و ادامه داد: زمانی که این بدافزارها وارد کامپیوتری می‌شوند، آسیب‌هایی را به دستگاه وارد می‌کنند، به گونه‌ای که ممکن است فایلی را پاک و یا "رمز" کنند و برای باز کردن رمز فایل‌ها پولی را دریافت کنند و یا از سیستم کاربر برای نفوذ به سیستم دیگری بهره‌برداری کنند.
 
گوران اوریمی با بیان اینکه اینها مواردی از آسیب‌هایی است که یک بدافزار می‌تواند به سیستم کامپیوتری وارد کند، افزود: بدافزارها انواع مختلفی دارند که از جمله آنها می‌توان به ویروس‌ها، کرم‌ها و یا تروجان‌ها اشاره کرد.
 
به گفته محقق این طرح، این سامانه فعال شده است و نسخه رایگان این پلتفرم قابل دسترسی است.

ویروس KBOT، بدافزاری جدید با رفتاری کلاسیک

/در , , , , /توسط
بیش از یک دهه از شناسایی ویروس ILOVEYOU که صنعت فناوری اطلاعات در کل جهان را به یکباره دچار اختلال کرد، می‌گذرد. MyDoom با روش انتشار مبتنی بر Email، در آن زمان به کابوسی برای کاربران تبدیل شد و ویروس Slammer نیز در عرض دقایقی ده‌ها هزار دستگاه را آلوده کرد.
 
 
 
 به گزارش مرکز افتا، به نقل از پایگاه اینترنتی ZDNet، گرچه زمانی ویروس‌ها و کرم‌های کامپیوتری سهم قابل توجهی از آلودگی‌ها را به خود اختصاص می‌دادند، اما مدت‌هاست که انواع دیگر از بدافزارها نظیر استخراج‌کنندگان رمزارز، اسب‌های تروا، باج‌افزارها و جاسوس‌افزارها به مراتب حضوری فعال‌تر در صحنه تهدیدات سایبری دارند. اما همچنان بدافزارهای جدیدی هستند که به نوعی یادآور دوران تاریک گذشته باشند. 
 
در یکی از تازه‌ترین نمونه‌ها، شرکت کسپرسکی از شناسایی بدافزار جدیدی با عنوان KBOT خبر داده که قابلیت آن در تزریق کد مخرب به فایل‌های اجرایی در سیستم‌عامل ویندوز موجب شده که این شرکت آن را نخستین ویروس زنده در سال‌های اخیر توصیف کند.
 
KBOT قادر است از طریق سیستم‌های قابل دسترس در سطح اینترنت، شبکه‌های محلی و حافظه‌های جداشدنی (Removable Drives) منتشر شود. به‌محض آلوده شدن سیستم با قرار دادن خود در بخش Startup، در کنار بهره‌گیری از فرامین زمانبندی‌شده (Scheduled Tasks) خود را بر روی دستگاه ماندگار کرده و در ادامه سبب آلوده شدن تمامی فایل‌های اجرایی ذخیره‌شده بر روی درایوها و پوشه اشتراکی بر سر راهش می‌شود.
 
همزمان با پویش درایوها، ویروس کدی چندشکلی (Polymorphic) را در فایل‌های اجرایی کپی کرده و توابع IWbemObjectSink را که قابلیتی در Win۳۲ است رونویسی می‌کند. همچنین KBOT رویدادهای ارتباطی بر روی درایوها را رصد کرده و از توابع NetServerEnum و NetShareEnum برای شناسایی مسیرها و منابع شبکه‌ای با هدف توزیع خود بر روی آنها بهره می‌گیرد.
 
همانند بسیاری دیگر از ویروس‌ها، KBOT با دست‌درازی به بخش تعیین‌کننده نقطه شروع اجرا (Entry Point) در کد فایل غیرآلوده موجب اجرای کد چندشکلی خود در زمان اجرای آن فایل می‌شود. در نتیجه آن نقطه شروع کد اصلی که پیش از آن در فایل قرار داشت از بین رفته و به همین خاطر عملکرد فایل پس از آلوده شدن حفظ نخواهد شد.
 
KBOT با استفاده از مجموعه‌ای از ابزارها و تکنیک‌های مبهم‌سازی (Obfuscation) از قبیل رمزگذاری رشته‌های مبتنی بر RC۴، پویش فایل‌های DLL مرتبط با محصولات ضدویروس و از کاراندازی آن‌ها، تزریق کد مخرب به پروسه‌های معتبر اجراشده، خود را از دید کاربر و محصولات امنیتی مخفی می‌کند.
 
ویروس به دست‌درازی به فایل‌های اجرایی بسنده نکرده و در ادامه با هدف سرقت داده‌های شخصی قربانی نظیر اصالت‌سنجی‌های استفاده‌شده در جریان ورود به سرویس‌های مالی و بانکی اقدام به تزریق وب می‌کند.
 
جعل (Spoofing) صفحات وب، اولویت اصلی KBOT است و بدین‌منظور ویروس توابعی از مرورگرهایی همچون گوگل کروم و فایرفاکس را در کنار توابع سیستمی مربوط به مدیریت ترافیک مورد دست‌درازی قرار می‌دهد.
 
قبل از آنکه سرقت قابل‌توجهی صورت بپذیرد بدافزار با برقرای ارتباط با با سرور فرماندهی (C۲) خود، فایل hosts.ini را که در آن نام دامنه‌های مورد نظر مهاجمان درج شده است به‌روزرسانی می‌کند. پیکربندی‌ها و مشخصه‌های ارتباط، رمزگذاری شده و موجب ارسال شناسه، نام و عنوان سیستم عامل دستگاه تسخیرشده و فهرستی از کاربران محلی و نرم‌افزارهای امنیتی آن را به سرور فرماندهی می‌شود.
 
فرامین ارسالی از سوی سرور فرماندهی شامل به‌روزرسانی فایل‌ها از جمله به‌روزرسانی ماژول‌های بدافزار و حذف فایل‌ها نظیر از کار انداختن ویروس (Self-destruction) است. همچنین KBOT قادر به دریافت ماژول‌های بدافزاری دیگر برای استخراج اطلاعات اصالت‌سنجی، فایل‌ها، اطلاعات سیستمی و داده‌های مرتبط با کیف‌های رمزارز (Cryptocurrency Wallet) است.
 
KBOT به سبب توانایی آن در توزیع سریع بر روی سیستم‌ها و شبکه محلی و آلوده‌سازی فایل‌های اجرایی بدون امکان بازگردانی آنها تهدیدی بسیار جدی تلقی می‌شود. این ویروس به‌طور محسوسی سیستم را در نتیجه تزریق کد مخرب به پروسه‌های سیستمی کند کرده و گردانندگان خود را قادر به دسترسی یافتن به سیستم آلوده از طریق نشست‌های Remote Desktop، استخراج داده‌های شخصی قربانی و سرقت اطلاعات بانکی او – با استفاده از تزریق‌های وب – می‌کند.