به گزارش سایت هک رید؛ تاکنون به کرات در اخبار، به واکاوی و بررسی وضعیت امنیت احراز هویت 2 مرحله ‌ای پرداخته شده و در برخی مواقع، غیرقابل نفوذ بودن این احراز هویت‌ها در بعضی سرویس‌ها مطرح شده است. البته در همه‌ی موارد، با فرض این مسئله که کاربران از دستگاه تلفن همراه خود، به خوبی مراقبت می‌کنند، امنیت احراز هویت 2 مرحله‌ای تأیید شده است.

بیشتر برنامه های رایانه ای، برای افزایش امنیت خود، از تأیید 2 مرحله ای را پیشنهاد می کنند و باور دارند که امکان دور زدن آن وجود ندارد. اما هم اکنون هکرها به روشی دست یافتند که به آسانی از این شیوه حفاظتی از طریق حملات فیشینگ عبور می کنند.

در این زمینه، هکرها به کمک حملات فیشینگ و جانمایی بدافزار «KnowBe4» می توانند اطلاعات مربوط به تأیید 2 مرحله ای را سرقت کرده، فرآیند تشخیص هویت را دور بزنند.

شرکت «Mitnick» -که در زمینه هک و نفوذ فعالیت می نماید- طی یادداشتی اعلام کرد: بدافزار «KnowBe4»، بیش از 17 هزار سازمان و نهاد را تحت تأثیر قرار داده است. این بدافزار، به یاری حملات فیشینگ، وارد دستگاه های رایانه ای می شود.

روش پیشین -که برای دور زدن تشخیص هویت 2 مرحله ای ارائه شد- به این ترتیب بود که اطلاعات با بهره گیری از روش ‌های مهندسی اجتماعی و سایر یورش های سنتی، علیه گذرواژه ‌ها انجام می گرفت و داشتنی های زیر، مورد نیاز بودند:

•    شناسه و گذرواژه‌ی حساب کاربری قربانی
•    شماره‌ تلفن همراه قربانی که سرویس احراز هویت 2 مرحله‌ای روی آن تعریف شده است
•    سرویس جعل شماره‌ی همراه
•    شماره‌ی رایانامه صوتی به منظور دسترسی از راه دور

اما در روشی نوین، هکرها با فرستادن رایانامه های فیشینگ، بدافزار بالا را به سامانه کاربران وارد می کنند و مقدمات سرقت اطلاعات مربوط به تأیید هویت 2 مرحله ای را فراهم می نمایند.

یک تهدید امنیتی دیگر در اکوسیستم باج افزاری به قصد هدف قرار دادن مشاغل و شرکت ها ظاهر شده است. این بدافزار که به نام Lorenz شناخته میشود، یک باج افزار جدید است که از استراتژی باج گیری مضاعف برای درآمدزایی استفاده می کند.

درباره بدافزارLorenz

لیتست هکنیگ نیوز گزارش داده که بلیپینگ کامپیوتر اخیراً جزئیات باج افزار Lorenz (لورنز) را که به تازگی ظاهر و شناسایی شده را به اشتراک گذاشته است. حدود یک ماه از آغاز فعالیت این باج افزار میگذرد و از آن زمان شرکت های زیادی را هدف حملات باج افزاری خود قرار داده است.

به طور خلاصه، این باج افزار درست مانند بقیه، با در اختیار گرفتن شبکه های آنها، از کسب و کارها و شرکت ها باج می گیرد. پس از آلودگی، لورنز به صورت جانبی بر روی شبکه هدف گسترش یافته و پخش میشود تا درنهایت به اعتبارنامه مدیر دامنه ویندوز برسد.

همانطور که این باج افزار گسترش می یابد، داده های رمزگذاری نشده قربانی را مرتباً اضافه و نگهداری می کند و به سرورهای خود می فرستد. به همین سادگی لورنز به لیست باج افزارهای دیگری که باج گیری دو یا سه برابری انجام می دهند، اضافه میشود.

لورنز پس از تثبیت خود و سرقت داده ها، ضمن افزودن پسوند ".Lorenz.sz40" به نام فایل ها، داده ها را رمزگذاری می کند.

گرچه همه اینها برای یک باج افزار معمول و رایج به نظر میرسد اما لورنز نیز برخی از استراتژی های منحصر به فرد را در این زمینه میتواند به نمایش بگذارد.

در ابتدا لورنز یک بدافزار سفارشی سازی شده قابل اجرا برای قربانی هدف خود ارائه داده و در سیستم هدف اجرا میکند. همچنین، گروه بدافزاری برای هر قربانی یک سایت اختصاصی پرداخت بر پایه Tor ایجاد می کند.

علاوه بر این، بدافزار برخلاف سایر باج افزارها، فرایندها یا سرویس های ویندوز را قبل از رمزگذاری از بین نبرده و غیرفعال نمیکند.

در مورد باج نیز، این باند معمولاً تقاضای زیادی و بین 500 تا 700 هزار دلار مطالبه میکند. عدم پرداخت این باج، مهاجمان را به سمت آغاز فرایند انتشار اطلاعات سرقت شده در دارک وب هدایت می کند.

در ابتدا گروه لورنز، فروش داده ها به رقبا را در اولویت قرار میدهند. سپس تا پایان مهلت پرداخت باج، شروع به بایگانی داده های محافظت شده با رمز عبور می کنند. بعد از پایان مهلت، آنها به راحتی رمز عبور را نیز منتشر می کنند و به طبع آن داده ها را در دسترس عموم قرار می دهند.

باز هم، آنچه لورنز را منحصر به فرد می کند این است که آنها نه تنها اطلاعات سرقت شده را فاش می کنند. بلکه آنها دسترسی به شبکه داخلی قربانی را نیز نشت داده و افشا میکنند.

ظاهرا این بدافزار نوعیThunderCrypt است

در حالی که لورنز رفتار تا حدودی متمایز از خود نشان می دهد، به نظر می رسد که این باج افزار اساساً نوع دیگری از باج افزار ThunderCrypt است.

در حال حاضر تاکنون با ادامه تجزیه و تحلیل این باج افزار، جزئیات زیاد و جدیدی در مورد لورنز در دسترس قرار نگرفته است. با این وجود در مدت زمان کوتاهی، سایت نشت و افشای اطلاعات متعلق به آنها نشان می دهد که باج افزار تا کنون حدود 12 قربانی مختلف را هدف قرار داده است. در این میان، آنها اطلاعات سرقت شده از 10 مورد را فاش و منتشر کرده اند!

محققان روز سه شنبه یک بدافزار جدید را شناسایی کردند که با استفاده از ترفندهای مختلف، در حالی که به طور پنهانی قادر به اجرای دستورات دلخواه بر روی سیستم های آلوده است، از شناسایی در امان مانده و فرار می کند.

بر اساس تحلیلی که امروز توسط تراست ویو منتشر شده است، بدافزار ویندوزی با نام "Pingback" از تونل پروتکل پیام کنترل اینترنت یا ICMP برای ارتباطات مخفی بات استفاده می کند و به مهاجم اجازه می دهد تا از پکت های ICMP برای کد کردن حمله پیگی بک استفاده کند.

به گزارش هکر نیوز، بدافزار Pingback (oci.dll) با بارگیری از طریق یک سرویس قانونی موسوم به MSDTC (Microsoft Distributed Transaction Coordinator)، (مولفه ای که مسئولیت رسیدگی به عملیات پایگاه داده را در چندین ماشین توزیع می کند) با استفاده از روشی به نام سرقت دستورات جستجوی DLL که شامل استفاده از یک برنامه اصلی برای بارگیری مجدد یک فایل DLL مخرب است، به این مهم دست می یابد.

محققان از این بدافزار به عنوان یکی از افزونه هایی که نیازمند بهره گیری و پشتیبانی از اینترفیس Oracle ODBC در MSDTC به عنوان فاکتور اساسی برای حملات است، نام برده اند. در حالی که MSDTC به شکلی پیکربندی نشده است که هنگام راه اندازی سیستم  به صورت خودکار اجرا شود، در یک نمونه ثبت شده در VirusTotal در ماه جولای سال 2020، این نمونه کشف شده برای نصب فایل DLL در دایرکتوری سیستم ویندوز و راه اندازی سرویس MSDTC برای دستیابی به پایداری بوده است که به طبع این احتمال را به وجود آورده است که یک دستور اجرایی جداگانه برای نصب این بدافزار بسیار ضروری و مهم می باشد.

پس از اجرای موفقیت آمیز،Pingback  متوسل به استفاده از پروتکل ICMP برای ارتباطات اصلی خود می شود. ICMP یک پروتکل لایه ای شبکه است که عمدتا برای ارسال پیام های خطا و اطلاعات عملیاتی، مانند هشدار ناموفق بودن هنگام در دسترس نبودن میزبان دیگر استفاده می شود.

به طور ویژه، Pingback از یک درخواست Echo (پیام ICMP نوع 8)، با شماره دنباله پیام 1234، 1235 و 1236 که نوع اطلاعات موجود در بسته را نشان می دهد، استفاده می کند (1234 یک فرمان یا داده است و 1235 و 1236 به عنوان تأییدیه برای دریافت داده ها در نقطه مقابل هستند). برخی از دستورات پشتیبانی شده توسط بدافزار شامل قابلیت اجرای دستورات دلخواه shell، بارگیری و بارگذاری فایل ها از و به هاست مهاجم و اجرای دستورات مخرب بر روی دستگاه آلوده است.

تحقیقات در مورد مسیر نفوذ اولیه بدافزار در حال انجام است.

محققان اعلام کرده اند: "ICMP Tunneling چیز جدیدی نیست، اما این نمونه خاص موجب برانگیختگی علاقه ما به عنوان نمونه واقعی بدافزاری که با استفاده از این روش از شناسایی شدن جلوگیری میکند، شده است. ICMP برای تشخیص و عملکرد اتصالات IP مفید است، اما از طرفی دیگر می تواند توسط سوءاستفاده کنندگان برای اسکن و الگو برداری و مپینگ شبکه هدف بهره برداری شود. اگرچه ما پیشنهاد نمی کنیم ICMP غیرفعال شود، اما پیشنهادمان این است که حتما نظارت لازم برای کمک به شناسایی چنین ارتباطات پنهانی از طریق ICMP را به کار بگیرید".

به گزارش سایت ویروس ریمووا، بدافزاری جدید یافت شده که با سوء استفاده از سیستم های کامپیوتری آنها را به یک بات نت، برای گسترش بیشتر خود تبدیل می نماید.

نام این بدافزار «MyloBot» بوده است و در بازه زمانی برگزاری انتخابات آمریکا گسترش یافته است.

از طرفی این بدافزار بیشتر از طریق فضای دارک وب منتشر شده، زیرا بیش از 50 هزار سایت تبهکاری، جاسوسی و... در دارک وب وجود دارد که جولانگاه مناسبی برای بدافزارها است.

به طور معمول بدافزار های مختلفی در سطح جهان وجود دارد، اما پیچیدگی در طراحی و عملکرد این بدافزار ها آنها را متفاوت می کند.

بات نت «botnet MyloBot» سیستم قربانیان را به بردگی گرفته و علاوه بر آلوده کردن خود سیستم از رایانه قربانی برای انتشار بیشتر خود، سوء استفاده می کند.

به طور کلی هدف قرار گرفت سامانه کامپیوتری عبارت اند از: در اختیار گرفتن میزبانی، سرقت اطلاعات، نصب باج افزار، نصب بدافزار، غیر فعال کردن آنتی ویروس و....

بات نت یاد شده علاوه بر توانایی های فوق، سیستم قربانی را به یک منتشر کننده بات نت تبدیل می کند. این امکان بسیار منحصر به فرد بوده و گسترش این بات نت را هموار می سازد.

این بات نت پس از ورود به سیستم کاربر «Windows Defender» را غیر فعال کرده، به روز رسانی ها را میبندد، درگاه های خاص فایروال ویندوز را غیر فعال کرده و سپس در پوشه ای به نام « %APPDATA%» بدافزار قرار می دهد.

سیستم رایانه ای قربانی همانند بات نت زامبی به دنبال آلوده کردن سیستم های دیگر است.

این بدافزار در دارک وب منتشر شده و به سرعت گسترش یافته است، زیرا برخی هکرها از این نوع بات نت ها برای تخریب طیف گسترده ای از سیستم ها استفاده می کنند. به طور مثال هکرها با آلوده کردن چند سیستم رایانه ای در یک نهاد یا سازمان و تبدیل آن به زامبی برای آلوده کردن سامانه های دیگر بهره می برند.

بدافزارهای مخرب جاسوسی
محققان امنیتی، یک کمپین جاسوسی سایبری بسیار هدفمند کشف کرده اند که گفته می شود با یک گروه هک شده در پس تروجان KHRAT همراه است و سازمان ها را در جنوب شرق آسیا هدف قرار داده است.به گفته محققان از Palo Alto، این گروه هک که RANCOR نامیده می شوند، با استفاده از دو خانواده جدید بدافزار PLAINTEE و DDKONG پیدا شده است که هدف اصلی آنها در سنگاپور و کامبوج قرار دارد.با این حال، در سال های گذشته، تهدید کنندگان تروجان KHRAT با یک گروه جاسوسی سایبری چینی، شناخته شده به عنوان DragonOK لینک شده اند.
محققان در حالی که مشغول نظارت بر زیرساخت های C&C مرتبط با تروجان KHRATبودند، انواع مختلفی از این دو خانواده بدافزار را شناسایی کردند، به نظر می رسد PLAINTEE آخرین سلاح در زرادخانه این گروه است که از یک پروتکل UDP سفارشی برای ارتباط با سرور کنترل و کنترل از راه دور استفاده می کند.برای تحویل هر دو PLAINTEE و DDKONG، مهاجمان از پیام های فیشینگ صریح با بردارهای آلوده مختلف استفاده می کنند، از جمله ماکروهای مخرب در فایل Microsoft Office Excel، HTA Loader و DLL Loader، که شامل فایل های فریبنده است.
محققان توضیح می دهند: "این دزدی ها حاوی جزئیاتی از مقالات خبری عمومی است که عمدتا در مورد اخبار و رویدادهای سیاسی متمرکز شده است و علاوه بر این، این اسناد دزدی در وب سایت های قانونی شامل وب سایت دولتی متعلق به دولت کامبوج و حداقل یک بار در مورد فیس بوک میزبانی می شوند. "علاوه بر این، PLAINTEE افزونه های اضافی را با استفاده از یک پروتکل UDP سفارشی که داده ها را در فرم رمزگذاری می کند، از سرور C&C خود بارگیری و نصب می کند.محققان می گویند: "این خانواده از بدافزارها از ارتباطات شبکه سفارشی برای بارگیری و اجرای پلاگین های مختلفی که توسط مهاجمان میزبانی شده اند، استفاده می کنند." "قابل توجه است که برنامه خرابکاری PLAINTEE" از یک پروتکل UDP سفارشی استفاده می کند و در هنگام تشخیص هویت های ناشناخته برای بدافزار ناشناخته ارزش دارد. "
از سوی دیگر، DDKONG از فوریه 2017 توسط گروه هک استفاده شده است و هیچ پروتکل ارتباطی سفارشی مانند PLAINTEE ندارد.طبق تحقیقات، میزان بار نهایی هر دو خانواده مخرب نشان می دهد که هدف از هر دو بدافزار، به جای سرقت پول از اهداف خود، جاسوسی سایبری سیاسی از آنهاست. از آنجایی که RANCOR به طور عمده کاربرانی غیر تکنولوژیک را هدف قرار می دهد، همیشه توصیه می شود که هر سند ناخواسته ارسال شده از طریق ایمیل را اجرا نکرده و هرگز بر روی لینک های درون آن اسناد کلیک نکنید، مگر اینکه منبع دقیق را تأیید کنید.علاوه بر این، مهمتر از همه، استفاده از نرم افزار ضد ویروس مبتنی بر رفتار است که می تواند چنین نرم افزارهای مخرب را قبل از اینکه دستگاه شما را آلوده کند شناسایی و بلوک کند و همیشه آن را حفظ کرده و برنامه های دیگر را به روز نگه می دارد.

کمپانی مایکروسافت روز پنجشنبه در مورد یک کمپین گسترده ایمیل هشدار داد که یک بدافزار مبتنی بر جاوا با نام STRRAT، در حالی که خود را به عنوان یک باج افزار نشان میدهد، برای سرقت اطلاعات محرمانه از سیستم های آلوده مورد استفاده قرار میگیرد.

تیم اطلاعات امنیتی مایکروسافت در یک رشته توییت عنوان کرد: "این RAT به دلیل اینکه اقدام به افزودن پسوند نام .crimson به فایل ها کرده و  آنها را رمزگذاری نمیکند، به رفتار شبیه به باج افزار معروف است".

به گزارش هکر نیوز، موج جدیدی از حملاتی که این شرکت هفته گذشته مشاهده کرده است، با ایمیل های هرزنامه ارسال شده از حساب های ایمیل در معرض خطر با عنوان "Outgoing Payments" که در عنوان موضوع درج شده است آغاز شده و گیرندگان را به گشودن فایل PDF مخرب که ادعا می کنند یک حواله است، ترغیب می کند اما در اصل با این کار به دامنه اصلی برای بارگیری بدافزار STRRAT متصل میشود.

این بدافزار علاوه بر برقراری ارتباط با سرور command-and-control در حین اجرا، دارای طیف وسیعی از ویژگی ها است که به آن امکان می دهد رمزهای عبور مرورگر را جمع آوری کند، لاگ کلیدهای ورودی را گردآوری کند و دستورات از راه دور و اسکریپت های PowerShell را اجرا کند.

STRRAT برای اولین بار در ژوئن سال 2020 توسط تیم امنیت سایبری G Data به عنوان یک تهدید بدافزاری ویندوز (نسخه 1.2) در ایمیل های فیشینگ حاوی پیوست های مخرب Jar (یا Java Archive)، مشاهده شد.

کارستن هان، تحلیلگر بدافزار G Data، توضیح داد: "این RAT متمرکز بر سرقت اطلاعات مرورگرها و سرویس گیرنده های ایمیل و رمزهای عبور از طریق ورود به سیستم است. این بدافزار از مرورگرها و سرویس گیرنده های ایمیل شامل فایرفاکس، اینترنت اکسپلورر، کروم، فاکس میل، اوت‌لوک و تاندربرد پشتیبانی می کند."

قابلیت های باج افزار آن در ابتدایی ترین حالت ممکن قرار دارد، زیرا مرحله رمزگذاری فقط تغییر نام و افزودن پسوند ".crismon" بر روی فایل ها انجام میپذیرد. کان افزود: "در صورت حذف این پسوند، می توان به طور معمول به فایل ها دسترسی پیدا کرد".

مایکروسافت همچنین یادآوری کرده است که نسخه 1.5 نسبت به نسخه های قبلی گیج کننده تر و ماژولارتر است، که نشان می دهد مهاجمان این عملیات به طور فعال در حال بهبود مجموعه ابزارهای خود هستند. اما این واقعیت که رفتار جعلی رمزگذاری توسط این بدافزار همچنان بدون تغییر باقی مانده است، نشان دهنده این هدف است که این گروه قصد دارند با استفاده از اخاذی، به سرعت از طریق کاربران ناآگاه سوءاستفاده و کسب درآمد کنند.

با کلیک کردن بر روی تبلیغات، کاربر به وب سایت جعلی برنامه کلاب هاوس (Clubhouse) هدایت می شود که به ظاهر کاملاً معتبر به نظر می رسد اما لینک بارگیری آن باعث دریافت بدافزار می شود.

سال گذشته، در دو حادثه جداگانه و مجزا، هکرها با سوءاستفاده از تبلیغات فیسبوک به 615000 گواهی کاربری دسترسی پیدا کردند. سپس گروه معروف باج افزار Ragnar Locker با استفاده از تبلیغات فیسبوک شروع به اخاذی از قربانیان کرد.

اکنون گزارش ها حاکی از آن است که مجرمان سایبری و تهدیدکنندگان در حال ارائه تبلیغاتی در فیسبوک هستند که برنامه کلاب هاوس را برای رایانه شخصی جهت بارگیری یک بدافزار ارائه دهد. باز هم، مهاجمان از همان روش قدیمی استفاده کرده اند، زیرا نسخه رایانه های شخصی برنامه کلاب هاوس هنوز منتشر نشده است.

شایان ذکر است که مهاجمان همیشه به دنبال سوءاستفاده از محبوبیت کسب شده توسط برنامه های خاص برای جلب کاربران ناآگاه و بی گناه برای بارگیری و دانلود بدافزارها هستند. برنامه کلاب هاوس تاکنون بیش از 8 میلیون بار دانلود شده است. بنابراین ، این مورد علاقه فعلی مجرمان اینترنتی شده است.

همین چند هفته پیش در مورد بدافزار BlackRock که به عنوان نسخه اندروید از برنامه گفتگوی صوتی کلاب هاوس منتشر شده بود، گزارشاتی منتشر شد، در حالی که محققان ESET عنوان کردند هیچ نسخه اندرویدی از این برنامه منتشر نشده است و این برنامه فقط در تلفن های همراه آیفون در دسترس است.

کمپین تبلیغات مخرب جدید در فیس بوک

تک کرانچ گزارش داده است که از چندین صفحه فیس بوک برای ارسال تبلیغات مرتبط با برنامه کلاب هاوس استفاده می شود. وقتی کاربر روی تبلیغ کلیک می کند، وب سایت جعلی کلاب هاوس باز می شود که تصویری از نسخه PC موجود برای برنامه و لینکی برای بارگیری را نشان می دهد.

به طور معمول کاربران بی اطلاع، بر روی لینک کلیک می کنند و تصور میکنند که نسبت به دریافت نسخه قانونی برنامه اقدام کرده اند. به محض باز شدنش، برنامه با سرور C&C خود ارتباط برقرار می کند و دستورالعمل هایی را برای اقدامات بعدی دریافت می کند. طبق آنالیز تی باکس کرانچ بر روی این بدافزار، این نرم افزار مخرب، یک باج افزار را در دستگاه آلوده بارگیری میکند.

تاکنون نُه آگهی مختلف منتشر شده است

در مجموع نه تبلیغ از طریق پروفایل های جعلی فیسبوک بین سه شنبه و پنجشنبه گذشته ارسال شده است. در اکثر آگهی ها عنوان مشابهی ذکر شده بود که نوشته بودند: "کلاب هاوس اکنون برای رایانه نیز در دسترس است". برخی از آنها عکسی از پاول دیویدسون و روهان ست از بنیانگذاران برنامه را نیز به نمایش می گذاشتند!

بعداً این تبلیغات از مجموعه تبلیغات فیسبوک حذف شده اند اما چگونگی ورود آنها به پروفایل های کاربران و دور زدن مراحل احراز هویت فیسبوک هنوز نامشخص باقی مانده است.

وب سایت های جعلی کلاب هاوس در حال حاضر آفلاین هستند

تک کرانچ همچنین اعلام کرد که وب سایت های جعلی برنامه کلاب هاوس، که در روسیه میزبانی می شدند در طی فرایندی جالب آفلاین شدند و بدافزار نیز پس از دریافت خطا از سرور، دیگر از کار افتاد. اما این جمله به هیچ وجه به معنی عدم امکان بازگشت چنین بدافزاری با ساختار و شکلی جدید جهت اجرای باج افزار نمیباشد.

محققان نقاط ضعف امنیتی قابل ملاحظه ای را در برنامه های نرم افزاری مشهور شناسایی کرده اند که می تواند برای غیرفعال کردن ساختار محافظتی از آنها سوءاستفاده شود و کنترل برنامه های مجاز در سیستم کاربر را با بهره گیری از بدافزار برای عبور از سد ساختار دفاعی ضد باج افزارها، برای انجام اقدامات خطر آفرین در دست بگیرند.

این حملات دوگانه که توسط اعضای دانشگاه لوکزامبورگ و دانشگاه لندن شرح داده شده اند، با هدف دور زدن امکان محافظت از فولدرها که توسط برنامه های آنتی ویروس ارائه شده، رمزگذاری فایل ها (معروف به "Cut-and-Mouse") و غیرفعال کردن محفاظت از آنها با شبیه سازی اعمال کلیک ماوس (معروف به "Ghost Control")، انجام میشود.

پروفسور گابریل لنزینی، دانشمند ارشد مرکز بین رشته ای امنیت، اتکا و اطمینان در دانشگاه لوکزامبورگ، گفته است: "ارائه دهندگان نرم افزار آنتی ویروس همیشه سطح بالایی از امنیت را ارائه می دهند که آنها را تبدیل به یک عنصر اساسی در مبارزه روزمره با مجرمان سایبری کرده است. اما آنها در حال رقابت با جنایتكارانی هستند كه هم اكنون منابع، قدرت و همچنین تعلق خاطر بیشتری دارند".

به بیان دیگر، کمبودهای موجود در نرم افزار کاهش مخاطرات بدافزاری نه تنها نمی تواند به کد غیر مجازی اجازه دهد که ویژگی های محافظتی آنها را غیرفعال کند، بلکه نقص طراحی در امنیت فولدرهای محافظت شده که توسط تامین کنندگان و سازندگان آنتی ویروس عرضه شده است، میتواند توسط عواملی مورد سوءاستفاده واقع شود؛ مثلاً باج افزار محتویات فایل ها را با استفاده از امکان تغییر در ساختار نگارش از پیش دیده شده برای دسترسی به فولدر و رمزگذاری داده های کاربر تغییر میدهد، یا از یک ابزار پاک کننده برای از بین بردن غیرقابل بازگشت فایل های شخصی قربانیان استفاده میکند.

فولدرهای محافظت شده به کاربران این امکان را می دهند تا فولدرهایی را که به یک لایه محافظت اضافی در برابر نرم افزار مخرب نیاز دارند، مشخص کرده و بدین ترتیب دسترسی غیر ایمن به فولدرهای محافظت شده را مسدود کنند.

محققان اعلام کرده اند: "به مجموعه كمی از برنامه های موجود در لیست سفید، امتیاز تغییرات در فولدرهای محافظت شده اعطا می شود. با این حال، برنامه های موجود در لیست سفید از سوءاستفاده توسط برنامه های دیگر در امان نمیمانند. بنابراین، اعتماد کردن به این ساختار معقول نیست، زیرا یک بدافزار می تواند با استفاده از برنامه های لیست سفید به عنوان واسطه، روی فولدرهای محافظت شده، عملیات مد نظر خود را انجام دهد".

یک سناریوی حمله که توسط محققان کشف شد، نشان داد که می توان از یک کد مخرب برای کنترل یک برنامه معتبر مانند Notepad برای انجام عملیات نوشتن و رمزگذاری فایل های قربانی که در فولدرهای محافظت شده ذخیره شده است، استفاده کرد. برای این منظور، باج افزار پرونده های موجود در پوشه ها را بررسی کرده، در حافظه خود رمزگذاری کرده و در کلیپ بورد سیستم کپی می کند و به دنبال آن، باج افزار Notepad را راه اندازی می کند تا محتوای پوشه را با داده کلیپ بورد بازنویسی و جایگزین نماید.

محققان دریافتند که حتی در موارد بدتر، توالی حمله فوق الذکر می تواند برای بازنویسی و جایگزینی فایل های کاربر با یک تصویر تصادفی ایجاد شده توسط نرم افزار Paint (به عنوان یک برنامه قابل اعتماد)، برای از بین بردن و حذف دائمی و قطعی فایل های کاربر استفاده شود.

از طرف دیگر، حمله Ghost Control می تواند عواقب جدی و خاص خود را به همراه داشته باشد، زیرا با غیرفعال کردن حفاظت قطعی در مقابل بدافزار بوسیله شبیه سازی اقدامات کاربر قانونی که مشخصا روی رابط کاربری یک نرم افزار آنتی ویروس انجام می شود، می تواند به مهاجم و عامل حمله اجازه دهد هر برنامه غیرقانونی و مخربی را از یک سرور کنترل از راه دور مهاجم، وارد و اجرا کند.

از 29 نرم افزار آنتی ویروس ارزیابی شده در طول مطالعه، 14 مورد از آنها در برابر حمله Ghost آسیب پذیر تشخیص داده شدند؛ از سویی نیز مشخص شد که همه 29 برنامه آنتی ویروس آزمایش شده در مقابل حمله Cut-and-Mouse آسیب پذیر هستند. محققان از تامین کنندگان و سازندگان این برنامه های آنتی ویروس که تحت تاثیر این آزمایشات قرار گرفته اند، نام نبرده اند.

اگر چنین چیزی صحت داشته باشد، نتایج یادآور این نکته حائز اهمیت است که حتی راه حل های امنیتی که به وضوح برای محافظت از دارایی های دیجیتال یک مجموعه در برابر حملات بدافزار طراحی شده اند، می توانند از ضعف هایی رنج ببرند و به طبع هدف نهایی آنها را که همانا محافظت و تامین امنیت است، با شکست مواجه میشود. حتی در حالی که ارائه دهندگان نرم افزار آنتی ویروس به ارتقا ساختار دفاعی خود ادامه می دهند، طراحان بدافزار با بهره گیری تاکتیک های فرار و مبهم سازی، از چنین موانعی عبور کرده اند. نیازی به ذکر نیست اما حتی با استفاده از ورودی های آلوده و از طریق حملات آلوده کننده، تشخیص رفتاری نرم افزارهای تامین امنیت را سردرگم کرده و آنها را دور می زنند.

محققان اعلام کرده اند: "سازگاری و ترکیب پذیری ایمن، یک مشکل شناخته شده در مهندسی امنیت است. اجزا وقتی که جدا از هم در نظر گرفته شوند، سطح حمله مشخصی را پوشش می دهند و در مقابل هنگامی که در یک سیستم ادغام می شوند، سطح وسیع تری ایجاد می کنند. اجزا با یکدیگر تعامل دارند و با سایر قسمتهای سیستم پویایی ایجاد می کنند و از طرفی اگر توسط طراح این تدبیر پیش بینی نشده باشد، یک مهاجم نیز می تواند با آن ها در تعامل باشد".

عاملان حملات و تهدیدات سایبری از Microsoft Build Engine (MSBuild) برای به کارگیری تروجان های دسترسی از راه دور و بدافزارهای سرقت كننده رمز عبور سواستفاده میکنند تا در سیستم های ویندوزی هدف، آن بدافزارها و تروجان ها را بدون فایل ارائه داده و انتقال دهند.

به گزارش هکرنیوز، محققان شرکت امنیت سایبری آنومالی، روز پنجشنبه اعلام کردند که این کمپین به صورت فعال در حال انجام است و ماه گذشته اعلام وجود کرده است. آنها اضافه کردند که فایل های مخرب ساخته شده با دستور اجرایی رمزگذاری شده و شِل‌کدی که بَک‌دور را نصب می کند، به مهاجمان این امکان را می دهد تا کنترل دستگاه های قربانیان را بدست گرفته و اطلاعات حساس را سرقت کنند.

مایکروسافت Build، ابزاری متن باز برای .NET و ویژوال استودیو است که توسط مایکروسافت ساخته شده و امکان تدوین سورس کد، پکیجینگ، تست و استقرار برنامه ها را فراهم می کند.

در صورت استفاده از MSBuild برای به خطر انداختن دستگاه ها به شکل بدون فایل، ایده بر این مبنا استوار است که از هرگونه شناسایی در امان مانده و حتی آنرا خنثی کنید، زیرا چنین بدافزاری برای بارگذاری کد حمله در حافظه از یک برنامه قانونی و شناخته شده استفاده می کند، بنابراین هیچ اثری از آلودگی بر روی سیستم قربانی باقی نمی گذارد و به مهاجمان امکان حمله با سطح پیشرفته ای از پنهان کاری در سرقت را ارائه میدهد.

نرم افزار Remcos (Remote Control and Surveillance Software)، پس از نصب، دسترسی کامل از راه دور برای مهاجم، شامل ویژگی هایی مانند ضبط کلیدها تا اجرای دستورات خودسرانه و ضبط میکروفون ها و وب کم، فراهم مینماید؛ در حالی که Quasar یک RAT متن باز مبتنی بر .NET است که توانایی هایی از جمله ورود به سیستم، سرقت رمز عبور، و غیره را دارد. Redline Stealer، همانطور که از نام آن بر‌می‌آید، یک نوع بدافزار است که علاوه بر سرقت رمزهای عبور و کیف پول های مرتبط با برنامه های ارزهای رمزپایه، از مرورگرها، V-P-N ها و مشترکان پیام رسان ها نیز اطلاعات کاربری را گردآوری و سرقت می کند.

محققان آنومالی، تارا گولد و گیج میل افزودند: "عوامل تهدید کننده این کمپین از ارسال و تحویل بدون فایل به عنوان راهی برای دور زدن اقدامات امنیتی استفاده کردند و این روش توسط عاملان برای اهداف مختلف و با انگیزه های متفاوتی استفاده می شود. این کمپین این نکته را عیان می کند که اتکا به نرم افزار آنتی ویروس به تنهایی برای دفاع سایبری کافی نیست و استفاده از کدهای مجاز برای پنهان کردن بدافزارها از فناوری های آنتی ویروس موثر واقع شده است و این مسئله به طور تصاعدی در حال رشد و افزایش است".

به گفته محققان ، عوامل مهاجم از فایل های زیپ شده برای فریب کاربران لینکدین (LinkedIn) برای اجرای More_eggs Backdoor استفاده می کنند.

رسانه اجتماعی متعلق به مایکروسافت برای افراد متخصص با نام لینکدین، دارای بیش از 740 میلیون کاربر از 200 کشور در سراسر جهان می باشد. همین امر، آن را تبدیل به هدفی سودآور برای مجرمان و اخاذان اینترنتی می کند. در جدیدترین مورد، فعالان لینکدین توسط یک کمپین فیشینگ مورد هدف قرار می گیرند که اقدام به اجرای More_eggs Backdoor می نماید.

واحد واکنش تهدیدات سایبری (TRU) در ای سنتایر که یک شرکت امنیت سایبری مستقر در واترلو شهر انتاریو کانادا میباشد، یک کلاهبرداری غیرقانونی در حال انجام با استفاده از مشاغل جعلی را کشف کرده است که سیستم های رایانه ای کاربران لینکدین را با More_eggs Backdoor بسیار خطرناک و مخرب، آلوده می کند.

چگونهMore_eggs Backdoor پخش میشود؟

در ماه فوریه سال 2020، محققان چک پوینت چگونگی استفاده مهاجمان از More_eggs Backdoor برای هدف قرار دادن مسئولین مبارزه با پولشویی را گزارش دادند و اعلام کردند که آنها از خدمات پیام رسانی لینکدین برای ارائه فرصت های شغلی جعلی برای گسترش بدافزار مدنظرشان سوءاستفاده می کنند.

در آن بازه زمانی، مهاجمان به عنوان شرکت های نیازمند کارمند، به عنوان محلی برای ارسال پیوندهای وب سایت در معرض خطر و مخرب به افراد جویای کار ظاهر می شدند و بعداً از طریق ایمیل آنها، پیگیری می کردند. در هر دو مورد، هدف آلوده کردن دستگاه قربانیان با استفاده Backdoor با نام More_eggs برای سرقت اطلاعات بوده است.

با این حال، این بار طبق پست وبلاگ ای سنتایر، عوامل مهاجم از فایل های زیپ شده برای هدف قرار دادن قربانیان بر اساس توضیحات وظایف و جایگاه شغلی موجود در پروفایل لینکدین کاربر، استفاده می کنند.

ای سنتایر توضیح داد که اگر به عنوان مثال شغل کاربر عضو لینکدین به عنوان "مدیر ارشد حسابداری – پوزیشین بین المللی" ذکر شده باشد ، فایل زیپ مخرب با عنوان "مدیر ارشد حسابداری – پوزیشین بین المللی" نامگذاری می شود.

پس از باز شدن فایل زیپ، دستگاه قربانی با بکدور More_eggs که در حال حاضر دستگاه های ویندوز را هدف قرار می دهد، آلوده می شود.

پس از آلوده شدن، بدافزار کنترل کامل دستگاه هدف را در اختیار می گیرد که به طبع آن، به هکرها اجازه می دهد از راه دور از دستگاه برای اهداف مخرب خود از جمله ارسال، دریافت، حذف و اجرای فایل ها استفاده کنند.

خطر آلودگی به باج افزار

علاوه بر این، هکرها می توانند بدافزارهای جدیدی را نیز روی سیستم بارگذاری کنند که می تواند باعث آلودگی دستگاه به باج افزار شود و در نتیجه فایل های قربانی را قفل کرده و برای رمزگشایی آن، درخواست باج نماید. محققان هشدار می دهند که بکدور More_eggs همچنین می تواند داده ها را از دید دستگاه پنهان کرده و حساب های رسانه های اجتماعی، ایمیل ها، تاریخچه مرورگر و حتی کیف پول های رمزنگاری شده شما را در معرض خطر سرقت قرار دهد.

راب مک لئود ، مدیر ارشد واحد واکنش تهدیدات سایبری شرکت ای سنتایر در گزارشی اعلام کرده است که: "آنچه که به طور ویژه در مورد فعالیت More_eggs نگران کننده است، این سه عنصر است که آن را به تهدیدی جدی برای مشاغل و افراد فعال در زمینه تجارت تبدیل می کند".

این سه عنصر شامل موارد زیر میباشند:

1. این بدافزار از فرایندهای عادی ویندوز برای اجرا استفاده می کند؛ بنابراین معمولاً توسط برنامه های امنیتی آنتی ویروس و مسدود کننده های خودکار به عنوان عامل مشکوک یا خطرساز شناخته نمی شود، بنابراین کاملاً پنهانی عمل میکند.
2. گنجاندن موقعیت شغلی هدف از طریق پروفایل لینکدین در این پیشنهاد کاری مخرب، احتمال آلوده شدن کاربر به بدافزار را افزایش می دهد.
3. از زمان شیوع بیماری کرونا و آغاز پاندمی، نرخ بیکاری به طرز چشمگیری افزایش یافته است و طبیعتا زمان مناسبی برای سوءاستفاده از افراد جویای کاری است که از یافتن شغل ناامید هستند. بنابراین جذابیت بک شغل ایده آل کاربر، بخصوص در این مقطع حساس و پرتنش، جذابیتی دو چندان پیدا میکند.

چرا کاربران لینکدین؟

لینکدین تقریباً از هر حرفه شناخته شده ای شامل 740 میلیون کاربر از جمله افراد مهم و دارای جایگاه های شغلی حساس مانند دانشمندان، نظامیان، مجریان قانون، فعالین صنایع دفاعی، پرسنل خطوط هوایی، پرسنل سیستم بانکداری و امور مالی و افراد سیاسی و غیره را در خود جای داده است. برای مجرمان سایبری و هکرهای مورد حمایت دولت ها، دسترسی به سیستم رایانه ای مورد استفاده توسط هر یک از این متخصصان، مانند یک معدن طلا است که میتوانند از آن برای سریعتر رسیدن به پول نقد از طریق فروش دسترسی سیستم های آنها به سایر مجرمان یا استفاده از آن برای نظارت و بررسی یا سرقت اسرار یا اطلاعات و داده های حساس، بهره برداری و سوءاستفاده کنند.

کاربران لینکدین چه کاری باید انجام دهند؟

شرکت توسعه امن کیان (تاکیان) به عنوان اولین و مهمترین نکته توصیه میکند که از کلیک کردن روی لینک های ارسال شده توسط افراد در شبکه های اجتماعی، خصوصاً کاربران ناشناس و مجهول، خودداری کنید. اگر مجبور و ملزم شده اید که بر روی فایل زیپ شده یا اجرایی کلیک کنید، باید به هر قیمتی از آن اجتناب کنید. اما اگر از قبل فایلی را دریافت کرده اید، حتماً آن را با یک ضد بدافزار مطمئن اسکن نمایید.

مضاف بر این، همچنین می توانید لینک ها و فایل های مخرب را در ویروس توتال اسکن کنید. در هر صورت امنیت شما در دستان خودتان است. تاکیان اکیداً توصیه می کند درباره امنیت سایبری و تهدیداتی که در پس اتصال به فضای اینترنت ممکن است شما را تهدید کند، کسب اطلاعات کرده و حساسیت بخرج دهید.

مهاجمان با بهره‌وری از یک تکنیک جدید، روشهایی را برای استفاده از Microsoft Background Intelligent Transfer Service (BITS) به منظور جایگذاری پنهانی داده های مخرب بر روی دستگاه های دارای سیستم عامل ویندوز را کشف کرده اند.

به گزارش سایت هکرنیوز، در سال ۲۰۲۰، بیمارستانها، سازمان های بازنشستگی و مراکز درمانی زیادی، متحمل آسیب و ضررهای بسیار شدیدی بابت یک کمپین فیشینگ همیشه متغیر که از روش Backdoor شخصی سازی شده مانند KEGTAP استفاده میکرده است، قرار گرفته اند، که در نهایت زمینه حملات باج افزار RYUK را فراهم میکرده است.

اما تحقیقات جدید شاخه امنیت سایبری شرکت FireEye اکنون مکانیسم پایداری ناشناخته ای را شناسایی کرده است که نشان می دهد مهاجمان از BITS برای راه اندازی Backdoor استفاده کرده اند.

فناوری BITS در ویندوز XP معرفی شد، که یکی از سرویس های مایکروسافت ویندوز است که از پهنای باند خالی شبکه برای تسهیل در انتقال ناهمگام فایل ها بین دستگاه ها استفاده می کند. این امر با ایجاد یک عملگر (فضایی که شامل فایل های بارگیری یا بارگذاری است) حاصل می شود.

فناوری BITS معمولاً برای ارائه به روزرسانی های سیستم عامل به کاربران و همچنین توسط اسکنر آنتی ویروس Windows Defender برای دریافت به روزرسانی های شناسایی علائم بدافزار استفاده می شود. علاوه بر محصولات خود مایکروسافت، این سرویس توسط برنامه های دیگری مانند موزیلا فایرفاکس نیز استفاده می شود تا امکان دریافت اطلاعات در پس زمینه حتی در صورت بسته بودن مرورگر نیز فراهم گردد.

محققان FireEye گفتند: "وقتی برنامه های مخرب عملگر BITS را ایجاد می کنند، فایل ها در چارچوب روند خدمات سرویس کاربر میزبان، روند دریافت یا بارگذاری را انجام می دهند". آنها افزودند: "این امکان می تواند برای جلوگیری از فایروال هایی که ممکن است فرایندهای مخرب یا ناشناخته را مسدود کنند کاربردی باشد و همچنین کمک می کند که مشخص شود کدام برنامه درخواست انتقال اطلاعات را داده است".

بخصوص حوادث مخاطره آمیز قبل که شامل آلوده سازی از طریق Ryuk برای استفاده از سرویس BITS برای ایجاد یک عملگر جدید تحت عنوان "به روزرسانی سیستم" که برای راه اندازی یک فایل اجرایی با نام "mail.exe" برنامه ریزی و پیکربندی شده است، پس از تلاش برای بارگیری URL نامعتبر، باعث ایجاد Backdoor برای KEGTAP شده است.

محققان اظهار داشتند: "عملگر مخرب BITS جهت تلاش برای انتقال HTTP یک فایل موجود از localhost تنظیم شده است. و از آنجا که این فایل هرگز وجود نخواهد داشت، BITS حالت خطا را ایجاد کرده و دستور notify را اجرا می کند، که در این مورد، این دستور به معنی اجرای KEGTAP می باشد".

سازوکار جدید یادآور این نکته است که چگونه استفاده از یک ابزار مفید مانند BITS به نفع مهاجمان میتواند خطرساز باشد. همچنین برای کمک به پاسخگویی سریعتر به این دست حوادث و تحقیقات تیم امنیتی، محققان یک ابزار پایتون به نام BitsParser را در دسترس عموم قرار داده اند، که هدف آن تجزیه فایل های پایگاه داده BITS و استخراج عملگر و اطلاعات فایل ها جهت تجزیه و تحلیل بیشتر است.

شرکت های کوچک و متوسط ​​یا به اصطلاح SME، ستون فقرات اقتصاد اکثر کشورها هستند. براساس آمار سازمان تجارت جهانی، در اقتصادهای توسعه یافته، شرکت های کوچک و متوسط بیش از 90% از جمعیت تجاری، 60 تا 70% از اشتغال و 55% از تولید ناخالص داخلی را به خود اختصاص می دهند. در حال حاضر این سازمان ها زیر ابری تاریک و مملو از تهدید قرار دارند، زیرا به طور فزاینده ای هدف حملات پیچیده سایبری قرار می گیرند. چه چیزی تغییر کرده است؟ و چگونه شرکت های کوچک و متوسط باید با این تهدید جدید سازگار شوند؟

یک تغییر ناگهانی برایSME ها، تهدیدهای جدید برای حمله سایبری

به گزارش اینفو سکیوریتی مگزین، در طول دوران، مجرمان مجازی حرفه ای به دنبال نام های بزرگ بودند: شرکت های بزرگ با موفقیت هدف قرار گرفتند و منجر به "نفوذهای کلان" شدند. در مورد باج افزارها، فیشینگ ها و انواع دیگر تهدیدها، تا همین اواخر، شرکت های کوچک و متوسط معمولاً از گزند مجرمان سایبری در امان بودند. یک گزارش نگران کننده که به تازگی چاپ شده است، نشان داده است که 43% از کل حملات سایبری، شرکت های کوچک و متوسط را هدف قرار می دهند. علاوه بر این، طبق گزارش سازمان امنیت سایبری پونمون در SMBs Report منتشر شده است، دو سوم شرکت های کوچک و متوسط در سال گذشته حداقل یک حمله سایبری را تجربه کرده اند و 63% آنها قربانی نشت داده ها در این بازه زمانی شده اند.

تهدید بزرگ دیگر برای شرکت های کوچک و متوسط، باج افزار است. نه تنها یک بار هزینه مالی، تهدیدکننده این شرکت ها است (برای نهادهای با کمتر از 500 کارمند، متوسط ​​هزینه حمله باج افزار 2.5 میلیون دلار است)، بلکه هزینه های مربوط به زمان از دسترس خارج شدن مجموعه و از دست دادن بهره وری به دلیل زمانبر بودن بهبودی بعد از حمله که در پی آن حملات حاصل میشود نیز برای سازمان ها مخرب است. تحقیقات نشان می دهد شرکت های کوچک و متوسط همچنان هدف اصلی حملات باج افزار هستند.

سوال اساسی این است که چرا این تغییر حاصل شده است؟ با توجه به اینکه شرکت های کوچک و متوسط هدف آسان تری هستند، چرا این مدت طول کشید تا مجرمان سایبری با این شدت آنها را هدف قرار دهند؟ پاسخ این سوالات در فناوری بکار رفته توسط مهاجمان نهفته است.

اتوماسیون: فقط برای کاربری مثبت نیست!

اتوماسیون باعث شده است که مشاغل بتوانند کارهای نیازمند به کاربر را کاهش دهند و فرآیندها را کارآمدتر، سریعتر و با هزینه کمتری انجام دهند. طولی نکشید که دقیقاً به همان دلایل مجرمان سایبری شروع به استفاده از اتوماسیون در حملات کردند.

چرا اتوماسیون تبدیل به چنین مشکل بزرگی شده است؟ راه حل های سنتی امنیت سایبری (به ویژه راه حل های امنیتی ایمیل) ابتدا باید با تهدید روبرو شوند، سپس آن را تجزیه و تحلیل کنند، سپس اعتبار آن را تأیید کنند، سپس آن را طبقه بندی کنند، و فقط در این صورت است که دفعه دیگر که چنین تهدیدی را مشاهده می کنند، می توانند آن را تشخیص دهند و آن را حل کنند. اکنون می توان حملات را به صورت خودکار انجام داد تا به طور مداوم پیشرفت کنند، به این معنی که راه حل های امنیتی حمله مشابهی را دو بار مشاهده نمی کنند. بنابراین چنین حملاتی راه حل های امنیتی که اکنون درگیر مشکلات حل این معضلات هستند، دور میزنند.

علاوه بر این، اتوماسیون فرایندی را آغاز کرده است که بعداً ایجاد چنین حملاتی را ارزان تر میکند. در نتیجه پخش و توزیع این حملات نسبتاً پیچیده به طور گسترده آسان تر شده است. در گذشته این امکان وجود نداشت؛ حملات پیچیده باید بسیار هدفمند می بودند و نیاز به تحقیقات دقیق و تنظیمات دستی داشتند، بنابراین تولید آنها نیز مستلزم هزینه بیشتر بود.

با تشکر از اتوماسیون و هوش مصنوعی (که توسط مهاجمین برای کسب اطلاعات در مورد رفتار آنلاین اهداف و ایجاد کمپین های خودکار فیشینگ مورد استفاده قرار می گیرد)، حملات پیچیده اکنون با کمترین هزینه می توانند بسیار هدفمند و در مقیاس گسترده انجام شوند. قربانیان متمول کمتری را می توان هدف قرار داد و شرکت های کوچک و متوسط را کاملاً در معرض تیررس مجرمان سایبری قرار داده است.

هدف قرار دادن شرکت های کوچک و متوسط بازار بالقوه این حملات را بسیار بزرگتر و داغ تر می کند، بنابراین تعجب آور نیست که مهاجمان به سمت هدف قرار دادن شرکت های کوچک و متوسط سوق پیدا کرده اند.

آنچه باید شرکت های کوچک و متوسط در مورد حمله خودکار سایبری بی اندیشند

یک مطالعه اخیر در موسسه فورستر نشان داده است که 88% از متخصصان امنیتی انتظار دارند که حملات مبتنی بر هوش مصنوعی در آینده نزدیک تبدیل به جریان اصلی حملات بشوند.

حملات اتوماسیون شده، تکنیکی جدید با پتانسیل بسیار زیاد برای ایجاد چالش های جدید هستند و بنابراین باید به گونه ای دیگر با آنها برخورد شود. روش قدیمی انجام کارها دیگر مهم نیست و واضح است که یک رویکرد تازه و موثر بسیار ضروری به نظر میرسد.

حملات جدید و پیچیده ای که بر علیه شرکت های کوچک و متوسط انجام می شود به صورت روزانه یا حتی ساعتی تولید می شوند و تحقیقات نشان می دهد راه حل های امنیتی که صرفا بر مبنای شهرت زیاد از آنها استفاده میشوند، بسیاری از حملات را تشخیص نمیدهند. اکنون زمان مناسبی برای تغییر رویکرد برای حفظ امنیت نهادهای تجاری و شغلی است؛ نگرشی که فارغ از دانش حملات گذشته باشد و بتواند امکانات و امنیتی به روز و جدید به کاربران خود ارائه دهد.

جای امیدواری است که صنعت امنیت سایبری روش‌های مختلفی را برای تجزیه‌وتحلیل بدافزارها توسعه داده است و البته هرکدام مجموعه نقاط قوت و ضعف خود را دارند. این به این معنی است که درحالیکه استفاده از فقط یک روش تجزیه‌وتحلیل بدافزار می‌تواند یک شبکه را در معرض خطر قرار دهد، اجرای روش‌های تجزیه‌وتحلیل‌ متعدد با ترتیب درست، می‌تواند با احتمال بالاتری از نفوذ بدافزارها به شبکه جلوگیری کند.

یک گروه امنیتی میتواند با اجرای متوالی روش های مختلف تحلیل بدافزار، تقریباً اکثر تهدیدات را بصورت خودکار تشخیص دهد در صورتی که بدون استفاده از مدل های اجرایی موفق و کسب اطلاعات کافی در مورد تهدید، ممکن است تنها به یک بازی حدش و گمان بسنده کنند که در نهایت نیز محکوم به شکست است.در محیط های تحلیل بدافزار ما با 3 نوع تحلیل مواجه هستیم:

1 - تحلیل ایستا (Static Analysis): تجزیه‌وتحلیل ایستا، خط اول دفاع است که شامل شکستن یک پرونده‌ی ناشناخته به مولفه‌هایی برای بررسی آن و بدون خراب شدن پرونده است و یک‌راه فوق‌العاده سریع و دقیق برای تشخیص بدافزارهای شناخته‌شده و انواع دیگر است که بخش عمده‌ای از حملاتی که معمولاً در سازمان‌ها دیده‌شده را تشکیل می‌دهد.

2 - تحلیل با استفاده از یادگیری ماشین (Machine Learning Analysis):  یادگیری ماشین شامل ایجاد و خودکارسازی یک سامانه برای طبقه‌بندی رفتارهای مخرب به گروه‌های متفاوت است. این گروه‌ها می‌توانند برای شناسایی محتوای مخرب در آینده بدون نیاز به ساخت الگوی دستی مورداستفاده قرار گیرند و هرچه نمونه بدافزارهای بیشتری مورد بررسی قرار گیرد و فهرست شود، توانایی سامانه برای تشخیص حملات در طول زمان رشد می‌کند

3 - تحلیل های پویا (Dynamic Analysis): آنچه عموماً به‌عنوان تحلیل پویا شناخته می‌شود معمولاً شامل ارسال یک نمونه مشکوک به یک محیط مبتنی بر ماشین مجازی و سپس فعال کردن آن در یک محیط کاملاً کنترل‌شده (بانام مستعار Sand box یا جعبه شنی) است که رفتار آن مشاهده می‌شود و از آن اطلاعاتی استخراج می‌شود.
ازآنجا که تجزیه‌وتحلیل ایستا و یادگیری ماشین هر دو نیاز به درجه‌ای از آشنایی قبلی با بدافزار دارند، برای آن‌ها شناسایی فعالیت‌های مخرب کاملاً جدید دشوار است. چالش تجزیه‌وتحلیل پویا مقیاس‌پذیری آن است که نیاز به محاسبات عظیم، ذخیره‌سازی و خودکارسازی دارد. گفته می‌شود اگر هر دو تجزیه‌وتحلیل ایستا و یادگیری ماشین انجام‌شده باشد آن‌ها به‌ احتمال ‌زیاد  بخش عمده‌ای از بدافزارها را شناسایی کرده‌اند.
برای اینکه بتوانید اقدامات اصلی را برای تحلیل بدافزار انجام دهید نیاز به ابزارهایی دارید که در اینجا به معرفی برخی از مهم‌ترین ابزار‌ها، کتاب‌ها و منابعی پرداخته خواهد شد که در تجزیه و تحلیل بدافزار و مهندسی معکوس مورد استفاده قرار می‌گیرد.

استفاده از ویراستار‌های Hex

یک ویراستار‌ Hex (یا ویراستار فایل باینری یا Byteeditor) نوعی برنامه‌ی کامپیوتری است که به کاربر توانایی دستکاری داده‌های باینری اساسی را می‌دهد و یک فایل کامپیوتری را تشکیل می‌دهند. نام «Hex» از واژه‌ی «Hexadecimal» می‌آید، فرمت استاندارد عددی برای نمایش داده‌های باینری است. در زیر چند برنامه ویراستار به همراه لینک توضیحات آن ارائه شده است.

• HxD
• 010 Editor
• Hex Workshop
• HexFiend
• Hiew

معرفی Disassemblerها

Disassembler یک برنامه‌ی کامپیوتری است که زبان ماشین را به زبان اسمبلی ترجمه می‌کند (عملیات معکوس نسبت به Assembler). لازم به ذکر است که Disassembler با Decompiler متفاوت است زیرا هدف Decompiler زبانی در سطح بالا است و نه یک زبان اسمبلی. فرمت Disassembly که خروجی Disassembler است، معمولا برای خواندن توسط انسان‌ها تعیین می‌شود، نه برای ورودی یک Assembler و این امر باعث می‌شود که این ابزار اساسا مبتنی بر مهندسی معکوس باشد.

• IDA Pro
• Binary Ninja
• Radare
• Hopper
• Capstone
• objdump
• fREedom
• plasma

ابزارهای شناسایی و طبقه‌بندی

• Assemblyline: چهارچوبی مقیاس‌پذیر برای تجزیه‌و‌تحلیل فایل توزیعی است.
• BinaryAlert: یک AWS Pipeline متن باز و بدون سرور که براساس مجموعه‌ای از قوانین YARA فایل‌های آپلودشده را اسکن کرده و درموردشان هشدار می‌دهد.
• chkrootkit: ابزاری برای شناسایی Rootkit مربوط به Local Linux است.
• ClamAV: نوعی موتور آنتی‌ویروس متن باز است.
• Detect:It:Easy : برنامه‌ای برای تعیین نوع فایل‌ها است.
• ExifTool: فراداده‌ی (Metadata) مربوط به خواندن، نوشتن و ویرایش فایل است.
• File Scanning Framework: راهکاری ماژولار و بازگشتی(Recursive) برای اسکن کردن فایل‌هاست.
• hashdeep: ابزاری برای محاسبه‌ی Hash Digestها با الگوریتم‌های مختلف به شمار می رود.
• Loki: نوعی اسکنر مبتنی بر Host برای IOCها است.
• Malfunction: فهرست اطلاعات یا کاتالوگ است و به مقایسه‌ی بدافزار در سطح عملکرد می‌پردازد.
• MASTIFF: چهارچوب تجزیه‌و‌تحلیل استاتیک است.
• MultiScanner: چهارچوبی ماژولار است که برای اسکن و یا تجزیه‌و‌تحلیل فایل استفاده می شود.
• nsrllookup: ابزاری برای جستجوی Hashها در دیتابیس National Software Reference Library متعلق به NIST است.
• packerid: یک پلتفرم مبتنی بر پایتون است که جایگزینی برای PEiD محسوب می‌گردد.
• PEV: یک Multiplatform Toolkit برای کار کردن با فایل‌های PE، که ابزار‌هایی با ویژگی‌های متنوع را برای تجزیه‌و‌تحلیل باینری‌های مشکوک فراهم می‌نماید.
• Rootkit Hunter: ابزاری است که Rootkitهای Linux را شناسایی می‌نماید.
• ssdeep: ابزاری که Hashهای مبهم (Fuzzy) را محاسبه می‌کند.
• TrID: شناسه‌ی (Identifier) فایل.
• YARA: ابزاری برای تطابق الگو (Pattern Matching) برای تحلیل‌گران است.
• Yara rules generator : ابزاری که بر اساس مجموعه‌ای از نمونه‌های بدافزار، قواعد Yara را ایجاد می‌کند. همچنین حاوی یک DB مناسب است که منجر به اجتناب از خطا در اعلام هشدار می‌گردد.

ابزارهای دقیق  Dynamic Binary

در زیر به معرفی ابزارهای باینری داینامیک دقیق یا در اصطلاح Dynamic Binary Instrumentation می‌پردازیم.

• Pin
• DynamoRio
• frida
• dyninst

ابزارهای رمزگشایی Mac

ابزار Mac Decrypting به شرح زیر می باشند:

• Cerbero Profiler
• AppEncryptor : ابزاری برای رمزگشایی
• Class:Dump : قابلیت استفاده از گزینه‌ی Deprotect
• readmem

معرفی ابزارهای شبیه سازی (Emulator)

• Qemu
• unicorn

معرفی ابزارهای آنالیز مستندات

• Ole Tools
• Didier’s PDF Tools
• Origami

تجزیه‌و‌تحلیل داینامیک

این مبحث، توضیحاتِ مقدماتی در زمینه‌ی تجزیه‌و‌تحلیل بدافزادها به صورت پویا می‌باشد و برای کسانی کاربرد دارد که در زمینه‌ی آنالیز بدافزار (Malware) شروع به کار کرده‌اند و یا می‌خواهند از مشکلاتی که بدافزار‌ها به جا می گذارند با ابزارهای مختلف مطلع شوند.

• ProcessHacker
• Process Explorer
• Process Monitor
• Autoruns
• Noriben
• API Monitor
• iNetSim
• Wireshark: یکی از قویترین ابزارها برای تجزیه و تحلیل پکت ها
• Fakenet
• Volatility
• Dumpit
• LiME
• Cuckoo
• Objective:See Utilities
• XCode Instruments : ابزار‌هایی برای مانیتورینگ فایل‌ها و فرایند‌ها.
• fs_usage : فراخوان‌های سیستمی و مشکلات صفحات را که مرتبط با فعالیت‌های Filesystem بصورت Realtime گزارش می‌دهد.
• Triton

معرفی ابزارهای XOR معکوس و دیگر روش‌های سوء استفاده از کد

• Balbuzard : یک ابزار برای تجزیه‌و‌تحلیل بدافزار برای Obfuscation معکوس (XOR، ROLو …) و موارد دیگر.
• de4dot : برای NET deobfuscator.  و  unpacker
• ex_pe_xor و iheartxor : دو ابزار از سوی Alexander Hanel برای کار کردن با فایل‌های رمزنگاری شده‌ی Single:Byte XOR.
• FLOSS :یا همان FireEye Labs Obfuscated String Solver از تکنیک‌های تجزیه‌و‌تحلیل استاتیک پیشرفته استفاده می‌کند تا به طور خودکار Stringها را از باینری‌های بدافزار جهت سوء استفاده خارج نماید.
• NoMoreXOR : حدس یک کلیدXOR 256 بایتی با استفاده از تجزیه‌و‌تحلیل فرکانس.
• PackerAttacker : یک استخراج‌کننده‌ی (Extractor) کد مخفی عمومی برای بدافزارهای ویندوز.
• Unpacker : بدافزار خودکارسازی شده برای بدافزارهای ویندوز مبتنی بر WinAppDbg.
• unxor : ابزاری برای حدس کلید‌های XOR با استفاده از حملات Known:Plaintext.
• VirtualDeobfuscator : ابزار مهندسی معکوس برای ساختارهای مجازی‌سازی.
• XORBruteForcer : یک اسکریپت پایتون جهت انجام حمله Brute Force روی کلید‌های Single:Byte XOR.
• XORSearch و XORStrings : دو برنامه از Didier Stevens برای یافتن داده‌های XORed.
• xortool : حدس طول کلید XOR و همچنین خود کلید.

معرفی ابزارهای Debugging

در این لیست می‌توان ابزاری برای Disassemblerها و Debuggerها و همچنین دیگر ابزار تجزیه‌و‌تحلیل استاتیک و داینامیک را مشاهده کرد.

ابزار Debugging بصورت پلتفرم

• gdb
• vdb
• lldb
• qira

ابزار Debugging متعلق به ویندوز

• WinDbg
• ImmunityDebugger
• OllyDbg v1.10
• OllyDbg v2.01
• OllySnD
• Olly Shadow
• Olly CiMs
• Olly UST_2bg
• x64dbg

تنها ابزار Debugging متعلق به لینوکس

• DDD

مهندسی معکوس

• angr : چهارچوبی جهت آنالیز باینری پلتفرم Agnostic که در Seclab متعلق به UCSB توسعه داده شده است.
• bamfdetect: اطلاعات را شناسایی کرده و آن‌ها را از Botها و دیگر بدافزارها خارج می‌نماید.
• BAP : چهارچوبی برای تجزیه‌و‌تحلیل باینری چند پلتفرمی و متن باز در Cylab متعلق به CMU.
• BARF : چهارچوبی برای آنالیز باینری و مهندسی معکوس متن باز و Multiplatform.
• Binnavi : تجزیه‌و‌تحلیل باینری برای مهندسی معکوس مبتنی بر Graph Visualization.
• Binary ninja : یک پلتفرم مهندسی معکوس که جایگزین IDA است.
• Binwalk : ابزار تجزیه‌و‌تحلیل Firmware.
• Bokken : یک GUI برای Pyew و Radare. (Mirror)
• Capstone : چهارچوب Disassembly برای تجزیه‌و‌تحلیل باینری و Reversing، با قابلیت پشتیبانی از بسیاری از معماری‌ها.
• codebro : مرورگر کد مبتنی بر وب که برای فراهم کردن تجزیه‌و‌تحلیل ابتدایی کد از Clang استفاده می‌کند.
• Dynamic Executable Code Analysis Framework یا به اختصار DECAF : یک پلتفرم تجزیه‌و‌تحلیل باینری مبتنی بر QEMU است و DroidScope اکنون افزونه‌ای برای DECAF است.
• dnSpy: ویراستار Net Assembly.، Decompiler و Debugger.
• Evan’s Debugger) EDB): یک Debugger ماژولار با یک Qt GUI.
• Fibratus: ابزاری برای کاوش و ردیابی هسته‏ی ویندوز.
• FPort: در یک سیستم روی پورت‌های TCP/IP و UDP گزارش‌گیری می‌کند و آن‌ها را به برنامه‌ی کاربردی مربوطه Map می‌نماید.
• GDB: یک Debugger مربوط به GNU.
• GEF: قابلیت‌های پیشرفته‌ی GDB برای Exploiterها و مهندسان معکوس.
• hackers:grep: کاربردی برای جستجوی Stringها در فایل‌های قابل اجرای PE شامل Importها، Exportها و نشانه‌های Debug.
• Hopper: یک Disassembler متعلق به macOS و لینوکس.
• IDA Pro: یک Disassembler و Debugger ویندوز، به همراه یک نسخه‌ی رایگان.
• Immunity Debugger :یک Debugger برای تجزیه‌و‌تحلیل بدافزارها و موارد دیگر، به همراه یک Python API.
• : ILSpy این ابزار در واقع یک مرورگر و Decompiler مربوط به Net Assembly. متن باز می‌باشد.
• Kaitai Struct: درواقع یک DSL برای فرمت‌های فایل، پروتکل‌های شبکه، ساختارهای داده، مهندسی معکوس و Dissection، همراه با ایجاد کد برای ++C، #C، Java، JavaScript، Perl، PHP، Python و Ruby است.
• LIEF : یک Library بین پلتفرمی را برای مجزا نمودن، اصلاح کردن و جداسازی فرمت‌های ELF، PE و MachO فراهم می‌نماید.
• ltrace: ابزاری برای تجزیه‌و‌تحلیل دینامیک برای فایل‌های قابل اجرای لینوکس می‌باشد.
• objdump: بخشی از Binutilهای GNU برای تجزیه‌و‌تحلیل استاتیک باینری‌های لینوکس.
• OllyDbg: یک Debugger در سطح Assembly برای فایل‌های قابل اجرای ویندوز است.
• PANDA: پلتفرمی برای معماری: تجزیه‌و‌تحلیل دینامیک بصورت بی طرف.
• PEDA یا Python Exploit Development Assistance برای GDB، نمایشگری پیشرفته با دستورات اضافی.
• pestudio: اجرای تجزیه‌و‌تحلیل استاتیک برای فایل‌های قابل اجرای ویندوز.
• Pharos: می‌توان از چهارچوب Pharos برای تجزیه‌و‌تحلیل باینری برای اجرای تجزیه‌و‌تحلیل استاتیک خودکارسازی‌شده‌ی باینری‌ها استفاده کرد.
• Plasma : یک Disassembler تعاملی برای x86، ARM، MIPS.
• (PPEE (Puppy : یک مرورگر فایل PE حرفه‌ای برای Reverserها، پژوهشگران برافزار و کسانی که می‌خواهند فایل‌های PE را به طور استاتیک و به صورت جزئی‌تر بررسی نمایند.
• Process Explorer : یک Task Manager پیشرفته برای ویندوز.
• Process Hacker : ابزاری که منابع سیستم را مانیتور می‌کند.
• Process Monitor : یک ابزار مانیتورینگ پیشرفته برای برنامه‌های ویندوز.
• PSTools : ابزار خط دستور ویندوز که به مدیریت و بررسی سیستم‌های زنده کمک می‌کند.
• Pyew : ابزار پایتون برای تجزیه‌و‌تحلیل بدافزار.
• PyREBox :درواقع Sandbox مهندسی معکوس Scriptable متعلق به Python تولید شده توسط تیم Talos در Cisco.
• Radare2 : چهارچوب مهندسی معکوس با پشتیبانی از Debugger.
• RegShot : ابزار مقایسه‌ی Registry که Snapshotها را مقایسه می‌کند.
• RetDec: یک Machine:Code Decompiler با قابلیت هدف‌گذاری مجدد (Retargetable) با یک سرویس Decompilation آنلاین و API که کاربر می‌تواند در ابزارهای خود از آن استفاده کند.
• ROPMEMU : چهارچوبی برای تجزیه‌و‌تحلیل، Dissect و Decompile کردن حملات Code:Reuse پیچیده.
• SMRT : یا همان Sublime Malware Research Tool، افزونه‌ای است برای Sublime 3 با هدف کمک به تجزیه‌و‌تحلیل بدافزار.
• strace : تجزیه‌و‌تحلیل دینامیک برای فایل‌های قابل اجرای لینوکس.
• Triton: یک چهارچوب تجزیه‌و‌تحلیل باینری دینامیک.
• Udis86: یک Library و ابزار Disassembler برای x86 و x64.
• Vivisect: ابزار Python برای تجزیه‌و‌تحلیل بدافزار.
• WinDbg:یک Debugger چندکاربردی برای سیستم عامل ویندوز، از آن برای Debug کردن برنامه‌های کاربردی User Mode، درایورهای دستگاه و Memory Dumpهای Kernel:Mode استفاده می‌شود.
• X64dbg : یک Debugger x64/x32 متن باز برای ویندوز است.

فرمت باینری و تجزیه‌و‌تحلیل باینری

Compound File Binary Format اصلی‌ترین Container مورد استفاده توسط فرمت‌های فایل مختلف مایکروسافت مانند مستندات Microsoft Office و بسته‌های Microsoft Installer می‌باشد.

• CFF Explorer
• Detect It Easy
• PeStudio
• PEiD
• MachoView
• nm : نمایش نشانه‌ها
• file : اطلاعات فایل
• codesign : کاربرد اطلاعات Code Signing: dvvv filename

منابع تجزیه‌و‌تحلیل باینری

• Mobius Resources
• z3
• bap
• angr

معرفی Decompiler

Decompiler برنامه‌ای کامپیوتری است که یک فایل قابل اجرا را به عنوان ورودی می‌گیرد و سعی می‌کند یک سورس فایل سطح بالا بسازد که بتوان آن را به طور موفقیت آمیزی Recompile نمود. در نتیجه نقطه‌ی مقابل Compiler محسوب می‌شود زیرا Compiler یک فایل منبع را می‌گیرد و آن را به فایل قابل اجرا تبدیل می‌نماید.

معرفی  Decompiler پرکاربرد

• HexRay
• RetDec
• Boomerang

معرفی Decompilerهای جاوا

• Procyon
• JD:GUI
• JAD

معرفی Decompilerهای NET.

• JustDecompile
• dotPeek

معرفی Decompilerهای زبان دلفی

• IDR
• Revendepro

معرفیDecompilerهای زبان پایتون

• Uncompyle6
• Decompyle++

معرفی ابزار تجزیه‌و‌تحلیل Bytecode

• dnSpy
• Bytecode Viewer
• Bytecode Visualizer
• JPEXS Flash Decompiler

معرفی ابزارهای Import Reconstruction

• ImpRec
• Scylla
• LordPE

Sandboxها و اسکنرهای آنلاین

از ابزارهایی که در ادامه معرفی می‌شوند به عنوان اسکنرهای Multi:AV مبتنی بر وب و Sandboxهای بدافزار برای تجزیه‌و‌تحلیل خودکارسازی‌شده استفاده می‌گردد.

• io : یک Sandbox آنلاین است.
• AndroTotal : آنالیز آنلاین رایگان برای APKها در مقابل چندین برنامه‌ی آنتی‌ویروس موبایل.
• AVCaesar: اسکنر آنلاین lu و مخزن (Repository) بدافزار.
• Cryptam: تحلیل اسناد مشکوک Office.
• Cuckoo Sandbox: یک Sandbox متن باز و Self Hosted و سیستم تجزیه‌و‌تحلیل خودکارسازی‌شده.
• cuckoo:modified: نسخه‌ی اصلاح‌شده‌ی Cuckoo Sandbox که تحت GPL منتشر شده است. به دلایل قانونی و صلاح‌دید مولف Merged Upstream نیست.
• cuckoo:modified:api: یک Python API که برای کنترل یک Sandbox که Cuckoo:Modified است مورد استفاده قرار می‌گیرد.
• DeepViz : تحلیلگر فایل چند فرمتی با طبقه‌بندی Machine:Learning.
• detux : یک Sandbox که توسعه داده شده است تا تجزیه‌و‌تحلیل ترافیک بدافزارهای لینوکس و IOCهای Capturing را انجام دهد.
• DRAKVUF : سیستم تجزیه‌و‌تحلیل بدافزار دینامیک.
• re : تقریبا هر بسته‌ی Firmwareای را Unpack، اسکن و تجزیه‌و‌تحلیل می‌کند.
• HaboMalHunter : یک ابزار تجزیه‌و‌تحلیل بدافزار خودکارسازی شده برای فایل‌های ELF لینوکس.
• Hybrid Analysis : ابزار تجزیه‌و‌تحلیل بدافزار آنلاین که VxSandbox قدرت موردنیاز آن را تامین می‌کند.
• IRMA : یک پلتفرم تجزیه‌و‌تحلیل Asynchronous و قابل سفارشی‌سازی برای فایل‌های مشکوک.
• Joe Sandbox : تجزیه‌و‌تحلیل بدافزار به‌صورت عمقی با Joe Sandbox.
• Jotti : اسکنر Multi:AV آنلاین رایگان.
• Limon :یک Sandboxی برای تحلیل بدافزار لینوکس.
• Malheur : ابزاری برای تجزیه‌و‌تحلیل خودکار رفتار بدافزار در Sandbox.
• malsub : یک چهارچوب Python RESTful API برای بدافزارهای آنلاین و خدمات تجزیه‌و‌تحلیل URL.
• Malware config : ابزاری برای Extract، Decode و نمایش آنلاین تنظیمات پیکربندی از بدافزارهای عادی.
• Malwr : تجزیه‌و‌تحلیل رایگان با یک Cuckoo Sandbox Instance آنلاین.
• com : اسکن کردن یک فایل، Hash یا آدرس IP برای بدافزار (رایگان).
• NetworkTotal: سرویسی که فایل‌های pcap را آنالیز کرده و شناسایی سریع ویروس‌ها، Wormها، Trojanها و انواع بدافزار را با استفاده از Suricata که با EmergingThreats Pro پیکربندی شده است تسهیل می‌نماید.
• PDF Examiner : ابزاری برای تجزیه‌و‌تحلیل فایل‌های PDF مشکوک استفاده می‌شود.
• ProcDot : یک Toolkit گرافیکی برای تجزیه‌و‌تحلیل بدافزار است.
• Recomposer : یک اسکریپت کمک‌کننده برای آپلود ایمن باینری‌ها به سایت‌های Sandbox به شمار می‌رود.
• Sand droid : سیستمی کامل و خودکار برای تجزیه‌و‌تحلیل برنامه‌های کاربردی اندروید است.
• SEE یا Sandboxed Execution Environment چهارچوبی است برای ساختن خودکارسازی تست در محیط‌های ایمن است.
• VirusTotal – ابزاری برای تجزیه‌و‌تحلیل آنلاین رایگان نمونه‌های بدافزار و URLها.
• Zeltser’s List : یک Sandboxها و خدمات خودکارسازی‌شده‌ی رایگان که توسط Lenny Zeltser جمع‌آوری شده‌اند.

معرفی تجزیه‌و‌تحلیل مستندات

• Ole Tools
• Didier’s PDF Tools
• Origami

بررسی ابزارهای Scripting

• IDA Python Src
• IDC Functions Doc
• Using IDAPython to Make your Life Easier
• Introduction to IDA Python
• The Beginner’s Guide to IDA Python
• IDA Plugin Contest
• onehawt IDA Plugin List
• pefile Python Libray

معرفی ابزارهای اندروید

• Android Developer Studio
• AndroGuard
• APKtool
• dex2jar
• Bytecode Viewer
• IDA Pro

بررسی منابع Yara

• Yara docs
• Cheatsheet
• yarGen
• Yara First Presentation

Artifactهای ویندوز

• AChoir : یک اسکریپت پاسخ رویداد، جهت جمع‌آوری Artifactهای ویندوز است.
• python:evt :کتابخانه متعلق به Python برای مجزا نمودن Event Logهای ویندوز.
• python:registry : کتابخانه متعلق به Python برای مجزا نمودن فایل‌های Registry.
• RegRipper : ابزار تجزیه‌و‌تحلیل Registry مبتنی بر Plugin.

بررسی ابزارهای Storage و Workflow

• Aleph : سیستم Pipeline تجزیه‌و‌تحلیل بدافزار متن باز.
• CRITs : پژوهش مبتنی بر همکاری در مورد تهدیدات، یک بدافزار و مخزن (Repository) تهدید.
• FAME : چهارچوبی برای تجزیه‌و‌تحلیل بدافزار، دارای یک Pipeline که می‌توان با استفاده از ماژول‌های سفارشی آن‌ها را گسترش داد. می‌توان این ماژول‌ها را زنجیروار به هم متصل کرد تا با یک دیگر تعامل داشته باشند تا تجزیه‌و‌تحلیل بصورت End-to-End اجرا گردد.
• Malwarehouse : ذخیره‌سازی، Tag کردن و جستجوی بدافزار.
• Polichombr : یک پلتفرم تجزیه‌و‌تحلیل بدافزار که طراحی شده است تا به تحلیل‌گران کمک کند قابلیت همکاری بدافزارها را برعکس نمایند.
• stoQ : چهارچوبی برای تجزیه‌و‌تحلیل محتوای توزیع‌شده با پشتیبانی گسترده از افزونه‌ها، از ورودی تا خروجی و تمام موارد بین آن‌ها.
• Viper : چهارچوبی برای مدیریت و تجزیه‌و‌تحلیل باینری برای تحلیل‌گران و پژوهشگران.

ابزارهای جمع آوری نمونه‌هایی از بدافزار

• Clean MX : دیتابیس Realtime از بدافزارها و دامین‌های مخرب.
• Contagio: مجموعه‌ای از نمونه‌ها و تجزیه‌و‌تحلیل‌های اخیر مربوط به بدافزارها.
• Exploit Database : نمونه‌های Exploit و Shellcode.
• Malshare : مجموعه ای بزرگ از بدافزارهایی که فعالانه از سایت‌های مخرب گرفته شده‌اند.
• MalwareDB : مجموعه ای از نمونه‌های بدافزار.
• Open Malware Project : اطلاعات و دانلود‌های نمونه Offensive Computing.
• Ragpicker : افزونه‌ای مبتنی بر Crawler بدافزار همراه با قابلیت‌های Pre:Analysis و گزارش‌گیری.
• theZoo : نمونه‌های بدافزار برای تحلیل‌گران.
• ViruSign : دیتابیس بدافزاری که توسط بسیاری از برنامه‌های بدافزار به غیر از ClamAV شناسایی شده است.
• VirusShare : مخزن بدافزار، نیازمند ثبت‌نام.
• VX Vault : مجموعه‌ای فعال از نمونه‌های بدافزار
• Zeltser’s Sources : لیستی از منابع نمونه‌های بدافزار که توسط Lenny Zeltser جمع‌آوری شده است.
• Zeus Source Code : منبع Zeus trojan که در سال 2011 فاش شد.

معرفی دوره‌های آموزشی مهندسی معکوس

• Lenas Reversing for Newbies
• Open Security Training
• Fu’s Malware Analysis
• Binary Auditing Course
• TiGa’s Video Tutorials
• Legend of Random
• Modern Binary Exploitation
• RPISEC Malware Course
• SANS FOR 610 GREM
• REcon Training
• Blackhat Training
• Offensive Security
• Corelan Training
• Offensive and Defensive Android Reversing

بررسی دامین‌ها و آدرس‌های IP

• com : سرویس IP blacklist اجتماع‌محور.
• boomerang : ابزاری که برای ثبت مداوم و ایمن از منابع وب شبکه طراحی شده است.
• Cymon : ردیاب هوش تهدیدات، همراه با جستجوی IP، دامین و Hash.
• me : ابزاری نیازمند تنها یک کلیک، با هدف بازیابی Metadata به بیشترین حد ممکن برای یک سایت و همچنین با هدف ارزیابی مناسب آن.
• dnstwist : موتور جایگشت (Permutation) نام دامین برای شناسایی Typo Squatting، Phishing و Corporate Espionage.
• IPinfo : جمع‌آوری اطلاعات درمورد یک IP یا دامین با جستجو در منابع آنلاین.
• Machinae : ابزار OSINT برای جمع‌آوری اطلاعات درمورد URLها، IPها و یا Hashها. مشابه Automator.
• MaltegoVT : دگرگونی Maltego برای VirusTotal API. تحقیق در مورد دامین و IP و همچنین جستجو برای File Hashها و گزارشات Scan را ممکن می‌سازد.
• Multi rbl : چندین DNS Blacklist و Forward Confirmed Reverse DNS برای بیش از 300 RBL.
• NormShield Services : خدمات API رایگان برای شناسایی دامین‌های Phishing احتمالی، آدرس‌های IP که Blacklist شده‌اند و حساب‌هایی که دچار نقض امنیتی گشته‌اند.
• SpamCop : یک Spam Block List مبتنی بر IP است.
• SpamHaus : یک Block List مبتنی بر دامین‌ها و IPها است.
• Sucuri SiteCheck : بدافزار وب‌سایت رایگان و اسکنر امنیتی.
• Talos Intelligence : ابزاری برای جستجو برای صاحب IP، دامین و شبکه. (در گذشته SenderBase بوده است.)
• TekDefense Automater : ابزار OSINT برای جمع‌آوری اطلاعات درمورد URLها، IPها و یا Hashها.
• URLQuery : اسکنر URL رایگان.
• Whois : ابزاری برای جستجوی Whois آنلاین رایگان DomainTools.
• Zeltser’s List : ابزار آنلاین رایگان برای تحقیق در مورد وب‌سایت‌های مخرب، جمع‌آوری شده توسط Lenny Zeltser
• ZScalar Zulu : تحلیلگر ریسک Zulu URL.

اسناد و Shellcode

• AnalyzePDF : ابزاری برای تحلیل PDFها و سعی بر تعیین اینکه آیا مخرب هستند یا خیر.
• box:js : ابزاری برای مطالعه‌ی بدافزار JavaScript، با پشتیبانی از JScript و WScript و شبیه‌سازی ActiveX.
• diStorm :یک Disassembler برای تحلیل Shellcode مخرب است.
• JS Beautifier :یک Unpacking و Deobfuscation برای جاوا اسکریپت است.
• JS Deobfuscator :یک Deobfuscate کننده‌ی Javascript ساده است که از Eval یا write برای پنهان کردن کد خود استفاده می‌کند.
• Libemu : ابزار برای شبیه‌سازی x86 Shellcode است.
• Malpdfobj : جدا کننده‌ی PDFهای مخرب در یک نمایش از JSON.
• OfficeMalScanner : اسکن کردن ردهای مخرب در اسناد MS Office.
• olevba : اسکریپتی برای مجزا نمودن اسناد OLE و OpenXML و Extract کردن اطلاعات مفید.
• Origami PDF : ابزاری برای تحلیل PDFهای مخرب و موارد بیشتر.
• PDF X:Ray Lite : ابزاری برای تحلیل PDF، نسخه‌ی Backend:Free از PDF X:RAY.
• peepdf : ابزار Python برای کاوش در PDFهایی که احتمال مخرب بودنشان وجود دارد.
• QuickSand : QuickSand یک چهارچوب Compact C است برای تحلیل اسناد مشکوک بدافزار با هدف شناسایی Exploitها در Streamهایی از Encodingهای متفاوت و همچنین با هدف پیدا کردن و Extract کردن فایل‌های قابل اجرای کارگزاری‌شده.
• Spidermonkey : موتور JavaScript متعلق به Mozilla، برای debug کردن JS مخرب.

معرفی کتاب‌ها در زمینه معندسی معکوس

• The IDA Pro Book
• Reverse Engineering for Beginners
• The Art of Assembly Language
• Practical Reverse Engineering
• Reversing: Secrets of Reverse Engineering
• Practical Malware Analysis
• Malware Analyst’s Cookbook
• Gray Hat Hacking
• The Art of Memory Forensics
• Hacking: The Art of Exploitation
• Fuzzing for Software Security
• Art of Software Security Assessment
• The Antivirus Hacker’s Handbook
• The Rootkit Arsenal
• Windows Internals Part 1Part 2
• Inside Windows Debugging
• iOS Reverse Engineering

ابزار هوش تهدیدات متن باز

• AbuseHelper : چهارچوبی متن باز برای دریافت و توزیع دوباره‌ی Feedهای مزاحم و هوش تهدیدات.
• AlienVault Open Threat Exchange : ابزاری برای به اشتراک گذاری و همکاری در توسعه‌ی هوش تهدیدات.
• Combine : ابزاری برای جمع‌آوری شاخص‌های هوش تهدیدات از منابعی که به طور عمومی در دسترس می‌باشند.
• Fileintel : ابزاری برای به دست آوردن اطلاعات به ازای File Hash.
• Hostintel : ابزاری برای به دست آوردن اطلاعات به ازای Host.
• IntelMQ : ابزاری برای CERTها به منظور پردازش داده‌های مربوط به رخدادها با استفاده از یک Message Queue.
• OC Editor : ویراستاری رایگان برای فایل‌های XML IOC.
• ioc_writer : کتابخانه متعلق به پایتون برای کار کردن با Objectهای OpenIOC از Mandiant.
• Massive Octo Spice : در گذشته به عنوان Collective Intelligence Framework یا به اختصار CIF شناخته می‌شد و در واقع IOCها را از لیست‌های مختلف کنار هم جمع می‌کند.
• Pulsedive : یک پلتفرم هوش تهدیدات رایگان و مبتنی بر جامعه که IOCها را از Feedهای متن باز جمع‌آوری می‌کند.
• PyIOCe : یک ویراستار OpenIOC متعلق به زبان پایتون است.
• threataggregator : تهدیدات امنیتی را از منابع مختلف، شامل منابعی که در ادامه در بخش «منابع دیگر» فهرست شده‌اند، کنار هم جمع می‌کند.
• ThreatCrowd : یک موتور جستجو برای تهدیدات، همراه با مصورسازی گرافیکی است.
• ThreatTracker : یک اسکریپت مبتنی بر زبان پایتون است که برای ایجاد و مانیتور کردن هشدارها براساس IOCهایی که توسط مجموعه‌ی از Google Custom Search Engines، ایندکس شده‌اند.
• TIQ:test : مصورسازی داده و تجزیه‌و‌تحلیل آماری Feedهای هوش تهدیدات.

معرفی منابع دیگر

• APT Notes : مجموعه‌ای از مقالات و یادداشت‌های مربوط به تهدیدات مداوم پیشرفته.
• File Formats posters : مصورسازی خوب از فرمت‌های فایلی که عموما مورد استفاده قرار می‌گیرند (از جمله PE و ELF).
• Honeynet Project : ابزار Honeypot، مقالات و دیگر منابع.
• Kernel Mode : انجمن فعال مختص به تجزیه‌و‌تحلیل بدافزار و توسعه‌ی Kernel.
• Malicious Software : بلاگ و منابع Malware جمع‌آوری‌شده توسط Lenny Zeltser.
• Malware Analysis Search : موتور جستجوی سفارشی Google از Corey Harrell.
• Malware Analysis Tutorials : دوره‌های آموزشی تجزیه‌و‌تحلیل بدافزار توسط Xiang Fu، منبعی عالی برای یادگیری تجزیه‌و‌تحلیل کاربردی بدافزار.
• Malware Samples and Traffic : این بلاگ روی ترافیک شبکه مرتبط آلودگی‌های بدافزار متمرکز است.
• Practical Malware Analysis Starter Kit : این بسته حاوی اکثر ارجاعات نرم‌افزاری در کتاب Practical Malware Analysis می‌باشد.
• Windows Registry specification : مشخصات فرمت فایل Registry ویندوز.

یک کمپین بدافزار مک (Mac)، با هدف قرار دادن توسعه دهندگان Xcode جهت افزودن امکان پشتیبانی از تراشه های جدید M1 اپل و گسترش ویژگی های آن برای سرقت اطلاعات محرمانه از برنامه های رمزارزها، مجدداً مورد استفاده قرار گرفته است.

به نقل از هکر نیوز، XCSSET در آگوست سال 2020 و پس از اینکه از طریق پروژه های تغییر Xcode IDE، که در طی فرایند ساخت برای اجرای بارگیری اطلاعات تنظیم شده بودند، مورد توجه قرار گرفت. این بدافزار برای تقلید از برنامه های مجاز مَک، که بطور کامل مسئول آلوده کردن پروژه های محلی Xcode و تزریق اطلاعات اصلی برای اجرا در هنگام ایجاد پروژه در معرض خطر است، ماژول های اطلاعات را مجددا بارگیری می کند.

ماژول های XCSSET دارای قابلیت سرقت گواهی ها، گرفتن اسکرین شات، تزریق جاوا اسکریپت مخرب به وب سایت ها، سرقت داده های کاربر از برنامه های مختلف و حتی رمزگذاری فایل ها برای باجگیری است.

سپس در ماه مارس 2021، محققان کسپرسکی نمونه های XCSSET را كه برای تراشه های جدید Apple M1 جمع آوری شده بود، کشف كردند و این کشف حاكی از آن بود كه فعالیت این بدافزار نه تنها تاکنون ادامه داشته است، بلكه مهاجمان نیز به طور فعال اقدامات اجرایی خود را با آن تطبیق می داده اند و آنها را برای اجرا بر روی مک های جدید سیلیکون اپل، بومی سازی می كرده اند.

آخرین تحقیقات ترند میکرو نشان می دهد که XCSSET برای اعمال بک دور جاوا اسکریپت به وب سایت ها با استفاده از حملات Universal Cross-Site Scripting (UXSS) همچنان از نسخه در دست توسعه مرورگر سافاری سوءاستفاده می کند.

محققان ترند میکرو، در تحلیلی که روز جمعه منتشر شد، اعلام کردند: "این بدافزار، بسته های بروزرسانی سافاری را در سرور command-and-control میزبانی می کند، سپس بسته را بسته به نسخه سیستم عامل کاربر دانلود و نصب می کند. همچنین برای سازگاری با نسخه تازه منتشر شده Big Sur ، بسته های جدیدی برای سافاری 14، اضافه شده است".

این بدافزار علاوه بر تروجان سازی سافاری به منظور نفوذ به داده ها، با سوءاستفاده از حالت اشکال زدایی از راه دور در مرورگرهای دیگر مانند گوگل کروم، مرورگر بِرِیو، مایکروسافت اِج، موزیلا فایرفاکس، اوپرا، مرورگر کیهو 360 و مرورگر یاندکس برای انجام حملات UXSS شناخته می شود.

بعلاوه این بدافزار حتی سعی در سرقت اطلاعات حساب از چندین وب سایت از جمله سیستم عامل های معاملات ارزهای رمزنگاری هیوبی، بایننس، NNCall.net، اِنواتو و 163.com دارد که توانایی جایگزینی آدرس کیف پول رمزارز کاربر را با موارد تحت کنترل مهاجم دارد.

نحوه انتشار XCSSET از طریق پروژه های تحقیقاتی Xcode، تهدیدی جدی قلمداد می شود، زیرا توسعه دهندگانی که آلوده شده اند، ناخواسته کار خود را در GitHub به اشتراک می گذارند و می توانند بدافزار را در قالب پروژه های Xcode که در معرض خطر هستند، به کاربران خود منتقل کنند و به متعاقب آن منجر به سلسله حملاتی مانند حملات زنجیره تامین بشوند و کاربرانی را که به این دیتابیس ها در پروژه های خود وابستگی و اعتماد دارند، بشدت در معرض خطر و آلودگی قرار دهند.

یک حمله جدی دیگر در زنجیره تأمین به صورت آنلاین به وقوع پیوسته است که به طور بالقوه هزاران کاربر و مشتری را تحت تأثیر قرار داده است. این بار قربانی، غول مدیریت رمز عبور Passwordstate Click Studios است که خود این مجموعه، حمله سایبری را تأیید کرده است. ممکن است مهاجمان رمزهای ورود کاربران را از مدیریت رمز عبور هک شده نیز جمع آوری کرده باشند.

حمله سایبری بهمدیریت رمز عبورPasswordstate

گفته می شود شرکت نرم افزاری استرالیایی کلیک استودیوز، که در پس سیستم مدیریت رمز عبور Passwordstate است، حمله سایبری به سیستم های خود را تایید کرده است.

به نقل از لیتست هکینگ نیوز، همانطور که در گزارش آنها شرح داده شده است، این شرکت دچار حمله در زنجیره تأمین شده است، چرا که مهاجمان از طریق یک بروزرسانی مخرب، موفق به تخریب و آسیب رسانی به ساختار مدیریت رمز عبور شدند. برای این منظور، مهاجمان عملکرد بروزرسانی در محل وب سایت اصلی آنها را به خطر انداخته اند.

اگرچه این حمله نسبتاً کوتاه مدت بود و به مدت 28 ساعت ادامه پیدا کرد ولی مهاجمان موفق به وارد کردن خسارت شدند.

کلیک استودیوز جزئیات مربوط به حمله را به اشتراک گذاشته است: "هرگونه ارتقا در محل که بین 20 آوریل در ساعت 8:33 بعد از ظهر به وقت آمریکا تا 22 آپریل ساعت 0:30 صبح به وقت آمریکا انجام شده باشد، امکان دارد که یک فایل بدافزار با نام Passwordstate_upgrade.zip را بارگیری کرده باشد. این فایل zip از یک شبکه بارگیری که توسط Click Studios کنترل نمی شود، بارگیری شده است".

این بروزرسانی مخرب طبق بررسی های انجام شده، بدافزار را در سیستم دریافت کننده های بروزرسانی رمز عبور، نصب میکند. این بدافزار که "Moserware" نامیده می شود، اطلاعات مربوط به سیستم هدف را سرقت کرده و برای مهاجمان ارسال میکند.

هنگامی که قابلیت  بروزرسانی در محل پردازش و آغاز می شود، Passwordstate_upgrade.zip مخرب، یک moserware.secretsplitter.dll طراحی شده با اندازه 65 کیلوبایت را بارگیری می کند. سپس این فایل اضافی، فایل upgrade_service_upgrade.zip را از شبکه CDN عاملین حمله بارگیری می کند، یک تهدید جدید را در پس برنامه ها آغاز می کند و upgrade_service_upgrade.zip را به یک ساختار .NET که فقط در مموری نگهداری میشود تبدیل کرده و شروع به پردازش می نماید.

رفع سریع و کاهش خطر

با کشف این حادثه، تامین کنندگان از ارائه این بروزرسانی ها در محل مخرب جلوگیری کردند. همچنین آنها از مشتریان و کاربران خواسته اند که وجود فایل 65 کیلوبایتی moserware.secretsplitter.dll را در دایرکتوری c:\inetpub\passwordstate\bin خود مورد بررسی قرار دهند.

در صورت یافتن این فایل، آنها باید "فهرست خروجی دایرکتوری c:\inetpub\passwordstate\bin را که حاوی فایلی به نام PasswordstateBin.txt است، برای کلیک استودیوز ارسال کنند تا برای دریافت دستورالعمل های اصلاح این مشکل، راهنمایی های لازم را دریافت نمایند.

در حالی کلیک استودیوز تأیید کرد که این حادثه برخی از مشتریان را تحت تأثیر قرار داده است، اما جزئیات تعداد این حمله بسیار کم است. با این حال ، با روشن شدن اوضاع، این تعداد ممکن است به طور بالقوه افزایش یابد.

در حال حاضر کلیک استودیوز دارای بیش از 29،000 مشتری از بخشهای مختلف، از جمله برخی از 500 شرکت معرفی شده توسط مجله معروف فورچون است.

بدافزاری که توسط محققان با عنوان Vigilante مطرح شده است، از ورود سیستم های کاربران به سایتهایی که توزیع نرم افزار و داده های غیرقانونی و کرک شده را برعهده دارند، جلوگیری می کند.

به نقل از هک رید، محققان امنیت فناوری اطلاعات در SophosLabs در مورد یک بدافزار جدید غیرمعمول با عنوان vigilante گزارشی ارائه داده اند. محققان ادعا می کنند که عملکرد این بدافزار در مقایسه با نمونه های نسبتا مشابه خود، کاملاً متفاوت است.

محققان به آن لقب "Vigilante" داده اند زیرا این بدافزار به عنوان یک عملگر هوشیار عمل می کند و از ورود سیستم ها به سایتهایی که مرکز توزیع نرم افزارهای کرک شده و سرقتی و داده های دزدی هستند، جلوگیری می کند. این بدان معناست که از دسترسی قربانیان به سیستم عامل های نرم افزاری دزدی و کرک شده جلوگیری می کند.

بدافزار Vigilante چگونه کار می کند؟
طبق گفته اندرو برانت، محقق ارشد SophosLabs، بدافزار Vigilante پس از اینکه کسی نرم افزار یا بازی کرک شده یا غیرقانونی ای را بارگیری و اجرا کند، به سیستم حمله می کند. این بدافزار را می توان در سرویس های چارت بازی در Discord یا URLهای BitTorrent یافت.

برانت در مقاله خود نوشت: "با دقت بیشتر در بررسی این فایل هایی که با فایل نصب کننده همراه هستند، روشن میشود که آنها فایده عملی دیگری ندارند، جز اینکه به آرشیو شکل و ظاهر فایل هایی که معمولاً از طریق BitTorrent به اشتراک گذاشته می شوند را بدهند و با افزودن داده های تصادفی مقادیر هش را اصلاح کنند".

بدافزار نام فایل اجرا شده به همراه آدرس IP دستگاه را به سروری که توسط مهاجم کنترل می شود ارسال میکند تا شرایط را برای حملات آینده فراهم باقی بگذارد. Vigilante همچنین تغییراتی در دستگاه ایجاد می کند تا قربانی با ایجاد تغییر در فایل HOSTS دستگاه، نتواند به بیش از 1000 وب سایت از جمله ThePirateBay.com دسترسی پیدا کند.

علاوه بر این، فایل مد نظر حاوی چندین وب سایت شناخته شده دیگر است که به دلیل محتوای خود، غیرقانونی شناخته میشوند و این سایت ها را به آدرس IP لوکال‌هاست 127.0.01 که آدرس رایانه شخصی آنها است، بازهدایت می کند و به همین خاطر سایت ها برای کاربر دیگر قابل دسترسی نخواهند بود.

آیا توسعه دهندگان بدافزار سعی در محافظت از مردم دارند؟
تعیین هدف اصلی تولید بدافزار Vigilante مشکل است. این روش، یک تکنیک غیرمعمول برای محافظت از کاربران در برابر دسترسی به نرم افزارهای غیرقانونی و نهایتا گرفتار شدن در دام تهدید کلاهبرداری های مهاجمان و مجرمان سایبری است.

عموماً، عاملان تهدید از نرم افزارهای سرقت شده برای توزیع بدافزار در قالب جدیدترین بازی یا فیلم تازه منتشر شده، استفاده می کنند. چنین بدافزاری معمولاً سرقت کننده اطلاعات، استخراج کننده رمزارز یا باج افزار است. برندت در توییتر خود نوشت: یک چیز مسلم است و آن اینکه این یک بدافزار معمول نیست.

"دیدن چنین چیزی واقعاً غیرمعمول است زیرا معمولاً تنها یک انگیزه در پشت بیشتر بدافزارها وجود دارد: سرقت چیزها؛ حتی اگر این چیز، رمزهای عبور، دکمه های ورودی، کوکی ها، مالکیت معنوی، دسترسی و یا حتی سیکل پردازنده برای استخراج رمزارز باشد، انگیزه اصلی سرقت است. اما در این مورد، اینطور نیست. در این نمونه فقط چند کار انجام دادند که هیچ یک منطبق با انگیزه معمول و رایج مجرمان بدافزار نبوده است”.

مهاجمان سایبری به طور فزاینده ای از تلگرام (Telegram) به عنوان یک سیستم command-and-control برای توزیع بدافزار در سازمان هایی سوءاستفاده می کنند، که بعدا می توانند جهت ضبط اطلاعات حساس از سیستم های هدف استفاده شوند.

محققان شرکت امنیت سایبری چک پوینت که طی سه ماه گذشته حدود 130 حمله را شناسایی کرده اند که از یک تروجان جدید از راه دور چند منظوره (RAT) به نام "ToxicEye" استفاده می کنند. در پی این مورد، آنها اعلام کرده اند: "حتی در زمان نصب یا استفاده از پیامرسان تلگرام، این سیستم به هکرها اجازه می دهد تا دستورات و عملیات مخرب را، از راه دور و از طریق این برنامه ارسال پیام، ارسال کنند".

به گزارش هکر نیوز، استفاده از تلگرام برای تسهیل فعالیت های مخرب چیز جدیدی نیست. در ماه سپتامبر سال 2019، یک سارق اطلاعات به نام ماساد استیلر پیدا شد که اطلاعات و کیف پول رمزارزها را از رایانه های آلوده با استفاده از پیامرسان تلگرام به عنوان یک کانال استخراج اطلاعات، غارت می کرد. سپس سال گذشته، گروه های مِیجکارت از همان روش برای ارسال جزئیات پرداخت هایی که سرقت شده بودند، از طریق وب سایت های در معرض خطر به مهاجمان استفاده کردند.

این استراتژی به روش های مختلف نیز جواب داده و قابل انجام است. برای شروع، تلگرام نه تنها توسط موتورهای شرکتهای تولیدکننده آنتی ویروس مسدود نمی شود، بلکه این برنامه پیامرسان به روند ناشناس ماندن کمک میکند؛ زیرا فرایند ثبت نام فقط به یک شماره تلفن همراه احتیاج دارد و در نتیجه از هر مکان در سراسر جهان به دستگاه های آلوده دسترسی می یابد.

در آخرین کمپین کشف شده توسط شرکت امنیت اطلاعات چک پوینت، هیچ تغییر و تفاوت جدیدی دیده نشده است. ToxicEye از طریق ایمیل های فیشینگ تعبیه شده در یک فایل اجرایی مخرب ویندوز پخش شده و از تلگرام برای ارتباط با سرور command-and-control (C2) استفاده می کند و داده ها را در آن بارگذاری می نماید. این بدافزار همچنین شامل انواع سوءاستفاده هایی است که به آن امکان می دهد داده ها را سرقت نموده، فایل ها را انتقال داده و حذف کند، فرآیندها را متوقف کند، keylogger را اجرا کند، میکروفون و دوربین رایانه را برای ضبط صدا و تصویر در اختیار بگیرد و حتی فایل ها را برای باجگیری از کاربر رمزگذاری کند.

به طور ویژه زنجیره حمله با ایجاد یک ربات تلگرام توسط مهاجم آغاز می شود و قبل از اینکه آن را در یک فرم اجرایی (مثل paypal checker توسط saint.exe) وارد کند، در فایل پیکربندی RAT جاسازی می شود. سپس این فایل .EXE به یک فایل Word جهت فریب مخاطب تزریق می شود (solution.doc) که با باز شدن آن، تلگرام RAT را بارگیری و اجرا می کند (C:\Users\ToxicEye\rat.exe).

ایدان شرابی، مدیر گروه تحقیق و توسعه چک پوینت اعلام کرد: "ما یک روند رو به رشد را کشف کرده ایم که نویسندگان بدافزار از پلت فرم پیامرسان تلگرام به عنوان روند و روش جدیدی از یک سیستم command-and-control برای توزیع بدافزار در سازمان ها استفاده می کنند. ما اعتقاد داریم که مهاجمان از این موقعیت که تلگرام تقریباً در همه سازمانها مورد بصورت مجاز مورد استفاده قرار می گیرد بهره برداری کرده و از این امکان برای انجام حملات سایبری سوءاستفاده می کنند که در پی آن می توانند محدودیت های امنیتی را دور بزنند".

به گزارش سایت هکرید، این بدافزار سایت های مورداعتماد گوگل را هدف قرار داده است.
فیلدهای متادیتای عکس های آپلود شده در CDN گوگل، از طریق هکرها مورد سواستفاده قرار گرفته است تا با استفاده از کدهای مخرب، امنیت وب سایت ها را به خطر بیاندازند. این روش از سوءاستفاده،در واقع نوعی آسیب پذیری است زیرا کاربران هرگز تصاویر را به‌منظور کشف نرم افزارهای مخرب اسکن نمیکنند.
این بدافزار تزریق شده از فرمت EXIF (فایل عکس قابل تغییر) برای مخفی کردن کد استفاده می کند و تصاویر خطرناک در سایت های رسمی گوگل از جمله شبکه اجتماعی Google+، سایت های GoogleUserContent و وبلاگنویسان مانند Blogger.com در دسترس هستند.
حمله مشابهی قبلا در GitHub و Pastebin دیده شده بود، جایی که مجرمان سایبری قادر به پنهان کردن نرم افزارهای مخرب در تصاویر آپلود شده بودند.این موضوع توسط شرکت امنیتی سایبری Sucuri کشف شد و یافته ها در روز پنج شنبه منتشر شد. 
یکی از محققان امنیتی به نام Dennis Sinegubko در Sucuri طرح توزیع بدافزار را شناسایی کرد که از GoogleUserContent CDN برای میزبانی یکی از تصاویر آلوده استفاده کرد. بنابراین هنگامی که چنین تصویری دانلود می شود، بدافزار بلافاصله سایت را آلوده می کند. مهاجم فقط باید منتظر دریافت یک گزارش از سمت تصویر آلوده باشد و سپس اقدام به راه اندازی حمله برعلیه این سایت ها میکند.
Sinegubko در گزارش خود که در روز چهارشنبه منتشر شد، اظهار داشت که تمرکز شناسایی این کمپین بر سرقت توکن های امنیتی PayPal با هدف جلوگیری از فرآیند تأیید پی پال است.
هکرها با لود کردن تصویری که توسط گوگل میزبانی شده بود و با استفاده از تکنیک استگانوگرافی (steganography) میزبانی میگردید، توانستند بدافزار را در سرور نصب کنند. آنچه در steganography اتفاق می افتد این است که هکرها فایل را استخراج کرده و کد مخرب را در فیلد متادیتای کاربر EXIF ​​پنهان می کنند. کد مورد استفاده در این کمپین یک رشته کدگذاری Base64 است.
هنگامی که این رشته بیش از یک بار رمزگشایی می شود، آن را به یک اسکریپت تبدیل می کند که می تواند یک Shell از پیش تعریف شده بر روی سرور هدف را با دیگر فایل ها آپلود کند. این Shell در حال حاضر قادر به خرابکاری سرور است و مهاجم می تواند آدرس های سایت هایی را که با موفقیت مورد سوء استفاده قرار گرفته اند دریافت کنند.
Sinegubko ادعا می کند که پنهان کردن نرم افزارهای مخرب به فایل های EXIF ​​برای او خیلی هم نگران کننده نیست؛ نگران کننده ترین چیز این بود که هکرها از GoogleUserContent CDN برای تحقق اهداف نابکار خود استفاده می کردند. این کاملا یک ایده جدید است که مطمئنا شبهای پرسر و صدا را به محققان امنیتی تحمیل می کند.
دلیل اصلی برای نگرانی این است که هیچ راه استانداردی برای اطلاع گوگل در مورد تصویر آلوده شده وجود ندارد، زیرا این شرکت یک فرآیند گزارش دهی برای نقض حق نسخه برداری و نه مسائل مرتبط با امنیت را اجرا کرده است. Sinegubko می نویسد:

"گوگل ابزارهای بسیاری برای حذف محتوا دارد، اما مشخص نیست که چگونه بدافزار موجود در تصاویر را میخواهد گزارش دهد. اکثر ابزارهای آنها نیاز به ارائه پیوندهایی به پستهای اصلی، صفحات یا نظرات حاوی محتوای نقض‌کننده دارند. تصویر در اینجا جزء برخی از محتوای عمومی شناخته شده نیست. "

محققان نمی توانند منبع آپلود بدافزار را شناسایی کنند. محققان در Sucuri اذعان کرده اند که:

"دشوار است بگوییم که منبع اصلی تصاویر کجاست، زیرا URL های آنها ناشناس هستند و فرمت مشابعی دارند."

بدافزاری که با نام Purple Lambert معرفی شده است، توسط کسپرسکی شناسایی شد؛ این بدافزار بطور پنهانی ترافیک شبکه را رصد میکند و در پی"magic packet" در سیستم ها میگردد.

تیم تحقیق و تجزیه و تحلیل جهانی (GReAT) در آزمایشگاه کسپرسکی بدافزار جدیدی را کشف کرده است که این شرکت ادعا می کند توسط آژانس اطلاعات مرکزی آمریکا (CIA) ساخته شده است.

به گزارش هک رید، غول امنیت سایبری مستقر در مسکوی روسیه گفته است که این بدافزار را در "مجموعه ای از نمونه های بدافزار" متعلق به چندین گروه APT  مشاهده کرده است. این نمونه ها در فوریه 2019 به دست کسپرسکی و سایر شرکت های امنیت سایبری رسیده است.

به گفته محققان، این نمونه ها در سال 2014 جمع آوری شده و بر این اساس، احتمالاً در سال 2014 و احتمالاً تا اواخر سال 2015 از آن استفاده شده است.

بدافزارPurple Lambert

محققان کسپرسکی به این بدافزار لقب پرپل لمبرت داده اند. این بدافزار به قابلیت Backdoor مجهز است که به آن امکان می دهد بصورت پنهانی و غیرفعال ترافیک شبکه را رصد کرده و به دنبال "magic packet" باشد.

علاوه بر این، بدافزار ذکر شده می تواند همراه با اجرای بسته ای که از اپراتورهای خود دریافت می کند، اطلاعات بنیادی و اساسی را از سیستمی که هدف قرار گرفته است، استخراج کند.

کسپرسکی در 27 آوریل در گزارش APT Trends - Q1 2021 این جزئیات را به اشتراک گذاشته است.

خانواده بدافزارهایCIA، ویکیلیکس،Vault7 وLambert

اگرچه در گزارش کسپرسکی نام CIA مستقیما ذکر نشده است، اما ذکر این بدافزار در دسته بندی خانواده بدافزار لمبرت، ارتباط آن با آژانس اطلاعات مرکزی آمریکا را نشان می دهد.

اما چطور؟ در سال 2017، روزهایی که نهاد افشاگری ویکی لیکس توانایی های هک گسترده CIA را در مجموعه ای به نام Vault7 افشا کرد، شرکت امنیت سایبری سیمانتک یک پست وبلاگ در مورد بدافزاری به نام Longhorn منتشر کرد و از طرف دیگر محققان کسپرسکی همان بدافزار را از خانواده بدافزار لمبرت نام برده اند.

بعلاوه پس از تجزیه و تحلیل دقیق نمونه ها، کسپرسکی شباهت های زیادی بین بدافزار و موارد استفاده شده توسط CIA در گذشته مانند Gray Lambert شناسایی کرد و به این ترتیب آن را Purple Lambert نامگذاری نمود.

همچنین از نظر مورد استفاده قرار گرفتن این بدافزار نیز، این شرکت معتقد است هیچ مدرکی مبنی بر استفاده از بدافزار در فضای کاربری، حداقل برای چند سال اخیر وجود ندارد.

کسپرسکی نتیجه گیری کرده است که: اگرچه ما هیچ کد مشترکی با بدافزار شناخته شده دیگری پیدا نکرده ایم، اما این نمونه ها دارای نقاط مشترکی از الگوهای کدگذاری، سبک و روش هایی هستند که در بدافزارهای مختلف خانواده های لمبرت دیده شده است.

بدافزار پیچیده و ناشناخته ای که سیستم عامل های ویندوز را هدف قرار می دهد، در تازه ترین بررسی های کارشناسان مرکز افتا، شناسایی شد .

به گزارش روابط عمومی مرکز مدیریت راهبردی افتا، این بدافزار کاملا منحصر به فرد، که توسط این مرکز کشف و Norxa نامیده شده ؛ با هدف جاسوسی و جمع آوری اطلاعات طراحی شده است. 
این بدافزار دارای قابلیت دریافت دستور از سرور C&C و  اجرای عملیات های خرابکارانه در سیستم قربانی نیز هست.
کارشناسان مرکز افتا، پس از مشاهده ناهنجاریهای ترافیکی در یکی از سازمان ها، موفق به شناسایی این بدافزار جاسوسی پیشرفته شدند . 
ساختار و قابلیت های این بدافزار، که بسیار خاص و هدفمند طراحی شده، به نحوی است که کمترین حساسیت را در سیستم عامل ایجاد می‌کند.
با توجه به تاریخ ایجاد فایل های مشکوک در سیستم‌های مورد بررسی که سال ۲۰۱۴ است، حداقل زمان فعالیت این بدافزار حدود ۴ سال تخمین زده می شود.
متخصصان مرکز مدیریت راهبردی افتا، این بدافزار را در تعداد کمی از سازمان ها شناسایی کرده اند . 
گفتنی است تحقیقات تکمیلی برای کشف تمامی اهداف این بدافزار همچنان در دستور کار مرکز افتاست و گزارش های تکمیلی متعاقبا منتشر خواهد شد . 
باتوجه به مخاطرات تاثیرگذار و مخرب این بدافزار، اطلاعات مربوط به آن به صورت عمومی به اشتراک گذاشته شده است، تا دستگاه‌ها و قربانیان بتوانند محافظت‌ها و اقدامات لازم را در خصوص شناسایی و حذف آن به عمل آورند.
کارشناسان مرکز افتا توصیه می کنند تا در صورت تشخیص ماژول های بدافزار، سیستم آلوده با سیستم امن‌سازی شده دیگری جایگزین شود.
برای شناسایی و مقابله با این بدافزار در سیستم های آلوده می توانید، ابزارزیر را از حالت فشرده خارج کرده و سپس فایل Norxa_Detector_Loki.exe با سطح دسترسی مدیر (Run as administrator) اجرا وسپس فایل لاگ تولید شده را در همان مسیر بررسی کنید.
ابزار شناسایی بدافزارNorxa
اطلاعات فنی و تخصصی درباره مشخصات این بدافزار، در فایل پیوست قابل دسترسی است .
فایل پیوست:اطلاعات فنی بدافزارNorxa

به گزارش سایت ambcrypto.com، یک کارشناس امنیتی مستقل با نام James Quinn خانواده جدیدی از ماینرهای ارز دیجیتالی را کشف کرده است. این ماینرکه ZombieBoy نام گذاری شده است، طبق تحلیل‌های این کارشناس، دارای سرعت کاوش 43 KH/s 43000) Hash در ثانیه) است که قادر به استخراج 1000 دلار در ماه است. این ماینر یا همان کاوشگر از زبان چینی استفاده می‌کند که از این رو احتمالا در کشور چین توسعه داده شده است.
Quinn در بلاگ خود توضیح داده است که این کاوشگر مشابه massminer است که در اوایل ماه می معرفی شد. بدلیل استفاده این بدافزار از ZombieBoyTools، آنرا ZombieBoy نامگذاری کرده‌اند. باید اشاره کرد که ZombieBoyTools دارای ارتباطاتی با IronTigerAPT است و یک ویرایش از تروجان Gh0st است.
بدافزار به کمک این ابزار اولین فایل dll خود را در سیستم قربانی قرار می‌دهد. علاوه بر این، Quinn ادعا می‌کند که این کرم از اکسپلویت‌های مختلف برای گسترش در سیستم استفاده می‌کند. تفاوتی که بین massminer و ZombieBoy وجود دارد در استفاده از ابزار اسکن میزبان است که ZombieBoy به جای MassScan از WinEggDrop استفاده می‌کند. نکته قابل توجه و البته نگران کننده این بدافزار بروزرسانی آن بصورت مداوم است. علاوه بر این، بدافزار می‌تواند از CVEهای مختلفی برای دور زدن برنامه‌های امنیتی بهره ببرد. این CVEها شامل یک آسیب‌پذیری RDP یعنی CVE-2017-9073 و اکسپلویت‌های CVE-2017-0143 و CVE-2017-0146 هستند.
بدافزار از اکسپلویت‌های DoublePulsar و EternalBlue برای ایجاد در پشتی استفاده می‌کند. از آنجایی که بدافزار می‌تواند چندین درپشتی ایجاد کند، بنابراین راه ورود سایر برنامه‌های مخرب مانند keyloggerها، باج‌افزارها و بدافزارهای دیگر باز می‌شود.

یک بدافزار لینوکس با قابلیت backdoor که تاکنون ثبت نشده بوده است، موفق شده است حدود سه سال بدون شناسایی از زیر رادار محققان امنیتی عبور کند، و به عامل تهدیدات امنیتی اجازه دهد تا اطلاعات حساس را از سیستم های آلوده جمع آوری کرده و از بین ببرند.

این backdoor که توسط محققان Qihoo 360 NETLAB، به نام RotaJakiro اعلام شده است، دستگاههای Linux X64 را هدف قرار می دهد و به این دلیل اینگونه نامگذاری شده است که "این دسته هنگام رمزگذاری، از رمزگذاری چرخشی استفاده می کنند و برای حساب های روت و غیر روت رفتار متفاوتی دارند".

این یافته ها بر مبنای تجزیه، تحلیل و آنالیز یک نمونه بدافزار است که در تاریخ 25 ماه مارس شناسایی شده است، اگرچه به نظر می رسد نسخه های اولیه آن از اوایل ماه مه سال 2018 در VirusTotal بارگذاری شده اند. در مجموع چهار نمونه تاکنون در پایگاه داده ها پیدا شده است که همه آنها توسط اکثر موتورهای ضد بدافزار ، شناسایی نشده، باقی مانده اند. از زمان نوشتن این مقاله، فقط هفت تامین کننده امنیتی آخرین نسخه بدافزار را به عنوان مخرب اعلام و علامتگذاری کرده اند.

بنا به گفته محققین: "در سطح عملکردی، RotaJakiro ابتدا با استفاده از پالیسی های مختلف اجرا برای حساب های مختلف، مشخص می کند که کاربر مد نظر، کاربر روت یا میباشد یا غیر روت؛ سپس منابع حساس مربوطه را با استفاده از AES& ROTATE رمزگشایی می کند تا در صورت مقاومت، از فرآیندهای آتی و استفاده از نمونه محافظ کند، و سرانجام ارتباط با C2 برقرار می شود و منتظر اجرای دستورات صادر شده توسط C2 میماند".

RotaJakiro با تکیه بر ترکیبی از الگوریتم های رمزنگاری برای رمزگذاری ارتباطات خود با یک سرور command-and-control (C2) و علاوه بر آن، پشتیبانی از 12 عملکرد که برای جمع آوری فراداده های دستگاه و سرقت اطلاعات حساس، انجام عملیات مربوط به فایل ها و بارگیری و اجرای افزونه ها از سرور C2 پشتیبانی می کنند، بر مبنای اصل عملیات پنهانی طراحی شده است.

اما هدف واقعی این کمپین بدافزار بدون هیچ مدرکی جهت روشن کردن ماهیت افزونه ها، همچنان نامشخص است. جالب اینجاست که زمان ثبت برخی از دامنه های C2 ثبت شده تقریباً به ماه دسامبر سال 2015 بر می گردند، همچنین محققان هم پوشانی را بین RotaJakiro و بات نتی با نام Torii را مشاهده کردند.

همچنین محققان گفتند: "از منظر مهندسی معکوس، RotaJakiro و Torii سبک های مشابهی دارند: استفاده از الگوریتم های رمزگذاری برای پنهان کردن منابع حساس، اجرای یک سبک تلاش برای ماندگاری نسبتاً قدیمی، ترافیک شبکه و غیره. ما پاسخ را دقیقی برای آن نداریم، اما به نظر می رسد RotaJakiro و Torii ارتباطاتی با یکدیگر دارند".

محققان امنیت سایبری روز چهارشنبه یک شبکه بدافزاری هوشمند ایجاد اختلال که با هدف قرار دادن AnyDesk و از طریق تبلیغات گسترده گوگل که در صفحات نتایج این موتور جستجو برای نصب نرم افزار دسکتاپی کنترل از راه دور AnyDesk ظاهر میشده است، را اعلان عمومی کرده اند.

این کمپین که تصور می شود از اوایل 21 ماه آوریل 2021 آغاز شده، شامل یک فایل مخرب است که به عنوان فایل نصبی قابل اجرا برای AnyDesk (AnyDeskSetup.exe) ظاهر می شود؛ و پس از اجرا، شروع به بارگیری و دانلود  PowerShell برای جمع آوری و استخراج اطلاعات سیستم می کند.

محققان کروداسترایک در تحیلی گفته اند: "این اسکریپت دارای برخی مبهم سازی ها و عملکردهای متعدد بود که به مانند یک ایمپلنت، همچنین یک دامنه با کدگذاری قوی (zoomstatistic[.]com) به اطلاعات شناسایی "POST" مانند نام کاربر، نام میزبان، سیستم عامل، آدرس IP  و نام پروسس در حال اجرا را گردآوری میکند".

بر اساس وب سایت این شرکت، نرم افزار دسترسی از راه دور دسکتاپ AnyDesk توسط بیش از 300 میلیون کاربر در سراسر جهان بارگیری شده است. اگرچه شرکت امنیت سایبری، این فعالیت سایبری را به یک عامل تهدیدی یا شبکه ای خاص نسبت نمی دهد، اما با توجه به پایگاه و حجم گسترده کاربران، گمان می رود این یک کارزار بزرگ موثر طیف گسترده ای از مشتریان باشد که میتوانند قربانی این حمله شوند.

اسکریپت PowerShell ممکن است تمام ویژگی های یک بک دور (BackDoor) معمولی را داشته باشد، اما این مسیر نفوذ غیرمجاز که حمله یک curve ایجاد میکند و نشان می دهد که فراتر از یک عملیات جمع آوری داده از نوع ساده نرم افزاری است. نصب کننده AnyDesk از طریق تبلیغات مخرب گوگل توسط عامل مهاجم توزیع می شود و متعاقبا به افراد ناآگاه از این مخاطرات که از گوگل برای یافتن و دریافت فایل نصبی AnyDesk استفاده می کنند، ارائه میگردد.

با کلیک بر روی تبلیغات جعلی، نتیجه آن کاربران را به صفحه مهندسی اجتماعی که یک کلون از وب سایت قانونی AnyDesk است هدایت می کند که علاوه بر این، به مخاطب لینک نصب کننده تروجان را می دهد.

کروداسترایک تخمین می زند که 40% کلیک ها روی تبلیغات مخرب تبدیل به نصب باینری AnyDesk شده است و 20% از این نصب ها منتج به جمع آوری اطلاعات ورودی کیبرد دستگاه ها شده است. محققان اعلام کردند: "در حالی که مشخص نیست چند درصد جستجوی گوگل برای AnyDesk، منجر به کلیک بر روی این تبلیغات شده است، اما نرخ نصب Trojan حاصل از کلیک تبلیغات، عدد 40% را نشان می دهد. این مسئله نشان از این دارد که این روش برای دستیابی از راه دور به طیف گسترده ای از اهداف بالقوه، بسیار موفق بوده است".

این شرکت همچنین گفت كه یافته های خود را به کمپانی گوگل اعلام كرده است و گفته می شود بلافاصله برای حذف تبلیغات مورد نظر اقدام شده است.

محققان در نتیجه گیری، اعلام کرده اند: "این استفاده مخرب از تبلیغات گوگل، یک روش موثر و هوشمندانه برای به کارگیری گسترده شل ها است، زیرا به عامل تهدید توانایی انتخاب آزادانه هدف (های) مورد علاقه خود را می دهد".

آنها افزودند: "به دلیل ماهیت بستر تبلیغاتی گوگل، می توان برآورد خوبی از تعداد کلیک افراد روی آگهی ارائه داد. از این رو، عامل تهدید یا مهاجم می تواند براساس این اطلاعات، برنامه ریزی و توان کافی را به این کار تخصیص دهد. علاوه بر ابزارهای هدف قرار دادن کاربران تاآگاه مانند AnyDesk یا سایر ابزارهای اداری و سازمانی، عامل تهدید می تواند کاربران رده بالا و مدیران را به روشی منحصر به فرد هدف قرار دهد".

محققان امنیت سایبری روز دوشنبه موج جدیدی از حملات مداوم را با بهره گیری از چندین آسیب پذیری برای استقرار نوع جدیدی از Mirai در دستگاه های متصل به اینترنت فاش کردند.

تیم اطلاعات امنیتی واحد 42 شرکت پالو آلتو در توضیحی نوشت: "پس از نفوذ و سوءاستفاده موفقیت آمیز، مهاجمان سعی می کنند یک shell script مخرب که شامل اعمال آلوده کننده دیگری مانند بارگیری و اجرای انواع Mirai و اخاذی است را بارگیری کنند".

مواردی که در پی این آسیب پذیری مورد سوءاستفاه قرار میگیرند، عبارتند از:

• VisualDoor - آسیب پذیری اعمال دستور از راه دور SonicWall SSL-VPN که اوایل ژانویه سال جاری مشخص گردید.
• CVE-2020-25506 - آسیب پذیری اجرای کد راه دور (RCE) فایروال D-Link DNS-320.
• CVE-2021-27561 و CVE-2021-27562 - دو آسیب پذیری در مدیریت دستگاه Yealink که به مهاجم غیرمجاز اجازه می دهد دستورات دلخواه خود را بر روی سرور با امتیازات دسترسی root اجرا کند.
• CVE-2021-22502 - نقص RCE در گزارشگر Micro Focus Operation Bridge (OBR)، در نسخه 10.40.
• CVE-2019-19356 - روتر بی سیم Netis WF2419 که از RCE استفاده می کند.
• CVE-2020-26919 - آسیب پذیری Netgear ProSAFE Plus RCE

سونیک وال در بیانیه ای اعلام کرد: "بهره برداری VisualDoor از آسیب پذیری سیستم عامل SSL-VPN نسخه قدیمی است که در سال 2015 با نسخه های 7.5.1.4-43sv و 8.0.0.4-25sv بر روی محصولات قدیمی بروزرسانی شده است." همچنین در ادامه افزوده است که "این سوءاستفاده از هر دستگاه سونیک وال که به درستی بروزرسانی شده باشد، قابل اجرا نیست."

همچنین سه آسیب پذیری اعمال دستور که قبلاً نامشخص بوده است، در این مجموعه گنجانده شده است که در برابر اهداف ناشناخته اعمال گردیده که به گفته محققان یکی از آنها همراه با یک بات نت جداگانه با نام MooBot مشاهده شده است.

گفته می شود این حملات به مدت یک ماه از 16 فوریه تا 13 مارس کشف شده است.

صرف نظر از نقصی که از آن برای دستیابی موفقیت آمیز بهره برده شده است، این زنجیره حمله شامل استفاده از ابزار wget برای بارگیری یک shell script از زیرساخت های بدافزار است که سپس برای استخراج باینری های Mirai استفاده می شود، یک بدافزار معروف که دستگاه های مبتنی اینترنت اشیا شبکه ای را تبدیل به بات های کنترل از راه دور کرده که می توانند به عنوان بخشی از بات نت در حملات شبکه با مقیاس گسترده استفاده شود.

علاوه بر دانلود Mirai، shell script های دیگری نیز مشاهده شده اند که در حال بازیابی موارد عملیاتی برای سهولت انجام حملات شدید برای نفوذ به دستگاه های آسیب پذیر با رمزهای عبور ضعیف هستند.

این محقق افزود: "حریم اینترنت اشیا به عنوان یک هدف به راحتی در دسترس مهاجمان باقی مانده و بهره برداری و سوءاستفاده از آن حجم زیاد از آسیب پذیری ها، بسیار آسان است و در برخی موارد می تواند عواقب فاجعه باری را به همراه داشته باشد".

بات نت جدیدZHtrap، با استفاده ازHoneypot قربانیان را به دام می اندازد

در یک طرح توسعه مرتبط، محققان شرکت امنیتی چینی نت لب 360، بات نت جدید مستقر در Mirai به نام ZHtrap را کشف کردند که در حالی که برخی از ویژگی ها را از یک بات نت  DDoS معروف به نام Matryosh گرفته است، از روش Honeypot برای یافتن و اضافه کردن قربانیان جدید استفاده می کند.

در حالی که هانی پات ها به طور معمول اقدام به تقلید از هدف خود برای جرایم سایبری خود میکنند تا برای نفوذ به آنها جهت کسب اطلاعات بیشتر در مورد روش کار خود استفاده کنند، بات نت ZHtrap برای گسترش و تکثیر بیشتر خود، از یک روش مشابه استفاده کرده و از طریق یکپارچه سازی ماژول جمع آوری IP اسکن برای جمع آوری آدرس های IP که به عنوان اهداف استفاده می شوند، استفاده می کند.

این اطلاعات با زیر نظر گرفتن و بررسی 23 پورت تعیین شده و با شناسایی آدرس های IP متصل به این پورت ها و سپس با استفاده از آدرس های IP انباشته شده برای بررسی چهار آسیب پذیری برای نفوذ به مقادیر در حال بارگیری، به دست آمده است:

• MVPower DVR Shell RCE تأیید نشده
• Netgear DGN1000 Setup.cgi RCE غیرمجاز
• دوربین مدار بسته DVR RCE که بر فروشنده های مختلف تأثیر می گذارد
• اجرای دستور Realtek SDK miniigd SOAP (CVE-2014-8361)

محققان اعلام کردند: "انتشار ZHtrap از چهار آسیب پذیری N-day استفاده می کند و در حالی که از برخی ویژگی های backdoor بهره میبرد، عملکرد اصلی آن DDoS و اسکن کردن است". آنها افزودند: "Zhtrap یک هانی پات را بر روی دستگاه آلوده راه اندازی می کند و تصاویری را از دستگاه های قربانی می گیرد و اجرای دستورات جدید را بر مبنای آن تصاویر غیرفعال می کند و اینگونه به دستگاه تسلط پیدا مینماید".

ZHtrap هنگامی که دستگاه ها را به انحصار خود گرفت، با استفاده از Tor برای ارتباط با یک سرور command-and-control برای بارگیری و اجرای مابقی اطلاعات، با بات نت Matryosh ارتباط می گیرد.

محققان با اشاره به اینکه این حملات از 28 فوریه 2021 آغاز شده است، میگویند که توانایی ZHtrap در تبدیل دستگاه های آلوده به هانی پات ، یک "تحول جالب" از بات نت ها برای تسهیل در امر یافتن اهداف و طعمه های بیشتر است.

بات نت های مبتنی بر Mirai جدیدترین مواردی هستند که در فضای حملات سایبری ظاهر شده اند و تا حدی با در دسترس بودن کد سورس Mirai از سال 2016 در اینترنت، زمینه را برای سایر مهاجمان جهت ایجاد انواع مختلف از این بات نت را فراهم کرده است.

در ماه مارس گذشته، محققان یک نوع Mirai به نام "Mukashi" را کشف کردند که مشخص شد دستگاه های ذخیره سازی متصل به شبکه Zyxel (NAS) را هدف قرار می دهد تا آنها را در اختیار یک بات نت قرار دهد. سپس در اکتبر سال 2020، تیم تحقیقاتی اینترنت اشیاء شرکت Avira نوع دیگری از بات نت Mirai به نام "Katana" را شناسایی کرد که از آسیب پذیری های اجرای کد از راه دور برای آلوده کردن روترهای D-Link DSL-7740C، دستگاه های DOCSIS 3.1 wireless gateway و سوئیچ های Dell PowerConnect 6224 سوءاستفاده می کرده است.

یک بدافزار دانلودر که پیش از این شناسایی نشده بود، و اقدام به حملات فیشینگ برای سرقت گواهی های کاربران و بارگیری سایر داده های مخرب میکند، به تازگی مشاهده شده است.

گفته می شود این بدافزار که "Saint Bot" نامیده می شود برای اولین بار در ژانویه 2021 وارد عمل شده و نشانه هایی از توسعه و بهینه سازی عملکرد مخرب آن نیز دیده شده است.

طبق گفته الکساندرا دونیک، تحلیلگر اطلاعات در مالوربایتز، "Saint Bot دانلود کننده ای است که به تازگی ظاهر شده و به آرامی روند رو به رشدی به خود گرفته است. همچنین دیده شده است که از طریق سرقت کنندگان اطلاعات (به عنوان مثال تائوروس استیلر) یا دیگر لودرها منتشر می شود، اما طراحی آن به شما امکان آن را می دهد که از آن برای توزیع و نشر هر نوع بدافزاری استفاده شود.

وی افزوده است: "علاوه بر اینها، Saint Bot از طیف گسترده ای از تکنیک هایی که هرچند بعضی از آنها بدیع نیستند، استفاده می کند؛ اما با توجه به ظاهر نسبتاً جدید آن، از سطح کارایی بالایی برخوردار است".

زنجیره آلودگی مورد تجزیه و تحلیل شرکت امنیتی سایبری با یک ایمیل فیشینگ حاوی یک فایل زیپ تعبیه شده ( با نام bitcoin.zip) که ادعا میکند کیف پول بیت کوین است، آغاز شده است. در حقیقت یک اسکریپت PowerShell است که تحت عنوان فایل میانبر .LNK قرار دارد. سپس این اسکریپت PowerShell بدافزار مرحله بعدی را که یک برنامه قابل اجرا با نام WindowsUpdate.exe است را بارگیری می کند، که به متعاقب خود باعث می شود دومین فایل قابل اجرا (InstallUtil.exe) که مسئولیت دانلود دو فایل اجرایی دیگر به نام های def.exe و putty.exe را بر عهده دارد، انجام بپذیرد.

در حالی که نسخه اول یک اسکریپت دسته ای است که مسئول غیرفعال کردن Windows Defender است، putty.exe حاوی حجم داده ای مخربی است که در نهایت به یک سرور command-and-control (C2) جهت بهره برداری اطلاعاتی بیشتر، متصل می شود.

سردرگمی و در هم پیچیدگی موجود در هر مرحله از آلودگی به بدافزار، همراه با تکنیک های ممانعت کننده از تجزیه، تحلیل و آنالیز توسط بدافزار، به اپراتورهای بدافزار امکان می دهد بدون جلب هرگونه توجه، از دستگاه هایی که این بدافزار روی آنها نصب شده است سوءاستفاده کنند.

علاوه بر انجام "بررسی های دفاع از خود" برای شناسایی وجود debugger یا یک محیط مجازی، Saint Bot به شکلی طراحی شده است که در رومانی و کشورهای مشترک المنافع (CIS)، شامل ارمنستان، بلاروس، قزاقستان، مولداوی، روسیه و اوکراین اجرا نشود.

لیست دستورات پشتیبانی شده توسط بدافزار شامل موارد زیر میباشد:

• بارگیری و اجرای سایر داده های بازیابی شده از سرور C2
• به روزرسانی بدافزار بات
• حذف نصب بدافزار از دستگاه در معرض خطر

اگرچه این قابلیت ها بسیار کوچک به نظر می رسند، اما واقعیت این که Saint Bot به عنوان دانلود کننده سایر بدافزارها عمل می کند که طبیعتا آن را به اندازه کافی خطرناک می کند.

نکته جالب توجه اینکه داده های دریافتی، خود از فایل های میزبانی شده در Discord دریافت می شوند؛ در این تاکتیک که به طور فزاینده ای در میان مهاجمین سایبری و تهدیدکنندگان رایج شده است، از عملکردهای قانونی چنین سیستم عامل هایی برای ارتباطات C2 سوءاستفاده کرده، از محدودیت های امنیتی فرار می کنند و بدافزارها را وارد دستگاه مینمایند.

محققان از سیسکو تالوس در تحیلی در اوایل این هفته منتشر کردند اعلام نمودند: "وقتی فایل ها در Discord CDN بارگذاری و ذخیره می شوند، بدون نیاز به اینکه Discord نصب شده باشد یا خیر، می توان با استفاده از آدرس CDN کدگذاری شده توسط هر سیستم، به آنها دسترسی پیدا کرد". که این موضوع به طبع نرم افزارهایی مانند Discord و Slack را به اهدافی جذاب برای میزبانی محتواهای مخرب تبدیل کرده است.

الکساندرا دونیک اضافه کرد: "Saint Bot در اصل یک دانلود کننده دیگری است و به حد و اندازه SmokeLoader به تکامل نرسیده، اما کاملاً جدید است و در حال حاضر به طور فعال در حال توسعه میباشد. به نظر می رسد برنامه نویس آن از طراحی بدافزار آگاهی کامل دارد، که این نکته با  مشاهده طیف گسترده ای از تکنیک های به کار رفته قابل درک است. با این حال، تمام تکنیک های به کار رفته کاملاً شناخته شده و کاملاً استاندارد هستند و تاکنون خلاقیت زیادی از نشان نداده است".

عاملان خرابکار به طور فعال فضای سایبری را برای یافتن سرورهای آسیب پذیر VMware vCenter بروزرسانی نشده که در برابر نقص مهم اجرای کد از راه دور که این شرکت در اواخر ماه گذشته به آن پرداخت آسیب پذیر هستند، جستجو می کنند.

این فعالیت که توسط Bad Packets در حال بررسی است، در 3 ژوئن شناسایی شده و دیروز توسط محقق امنیتی، کوین بومونت تأیید گردیده است. تروی مارچ، مدیر ارشد تحقیقات Bad Packets در توییتر خود نوشت: "فعالیت اسکن انبوه و گسترده از طریق آنالیز 104.40.252.159 برای بررسی آسیب پذیری هاست VMware vSphere در برابر امکان اجرای کد از راه دور شناسایی گردید".

این توسعه به دنبال انتشار یک کد proof-of-concept یا PoC برای سواستفاده از RCE و در راستی هدفگیری نقص و باگ VMware vCenter انجام پذیرفته است.

به نقل از هکر نیوز، این مورد که با عنوان CVE-2021-21985 (نمره CVSS 9.8) مطرح می شود، نتیجه عدم اعتبار سنجی ورودی در افزونه Virtual SAN (vSAN) Health Check است که می تواند توسط مهاجم برای اجرای دستورات با اختیارات نامحدود بر روی سیستم عامل اصلی که میزبان سرور vCenter است، مورد سواستفاده قرار گیرد.

اگرچه این نقص توسط VMware در تاریخ 25 ماه می برطرف شده است، اما این شرکت به شدت به مشتریان خود اعلام کرده است که بلافاصله تغییر اضطراری جدید را اعمال کنند. به نثل از VMware: "در این بازه زمانی از فعالیت باج افزارها، ایمن ترین حالت این است که تصور کنیم یک مهاجم از قبل در جایی از شبکه و روی دسکتاپ قرار دارد و شاید حتی در حال کنترل یک حساب کاربری در داخل شبکه باشد؛ به همین دلیل است که ما توصیه می کنیم هرچه سریعتر تغییر اضطراری و بروزرسانی را اعمال نمایید".

این اولین بار نیست که مهاجمان به شکل فرصت طلبانه ای، فضای سایبری را برای یافتن سرورهای آسیب پذیر VMware vCenter جستجو می کنند. یک آسیب پذیری مشابه اجرای کد از راه دور (CVE-2021-21972) که توسط VMware در ماه فوریه پچ شد، هدف حمله عاملین تهدیدات سایبری که سعی در بهره برداری و کنترل سیستم های بروزرسانی نشده داشتند، قرار گرفت.

براساس گزارشات Bad Packets و Binary Edge، حداقل ۱۴۸۵۸ سرور vCenter در آن بازه زمانی از طریق فضای سایبری، برای مهاجمین قابل دسترسی و نفوذ بوده اند.

علاوه بر این، یک تحقیق جدید از Cisco Talos در اوایل این هفته منتشر شد که نشان داد عامل تهدید در پس ربات مبتنی بر پایتون Necro، با سواستفاده از همان ضعف امنیتی ذکر شده در راستای افزایش توانایی انتشار آلودگی بدافزار، به سرورهای VMware vCenter در معرض خطر نفوذ پیدا میکند.

مجرمان اینترنتی به روش آلوده سازی در موتورهای جستجو متوسل می شوند تا متخصصان تجاری را سمت به سایت های به ظاهر قانونی گوگل که Remote Access Trojan (RAT) را نصب می کنند و قادر به انجام حملات گسترده هستند، هدایت کنند.

به نقل از هکر نیوز، این حمله با استفاده از جستجوی فرم های تجاری مانند فاکتورها، الگوها، پرسشنامه ها و رسیدها به عنوان سنگ بنایی برای نفوذ به سیستم ها امکان پذیر می شود. کاربرانی که سعی در دانلود فایل های از پیش طراحی شده ای دارند، بدون اطلاع خودشا به وب سایتی مخرب هدایت می شوند که بدافزارها را میزبانی می کنند.

محققان ای سنتایر در مقاله ای که روز سه شنبه منتشر شد اعلام کردند: "هنگامی که RAT روی رایانه قربانی قرار گرفت و فعال شد، مهاجمین و عوامل تهدید می توانند دستوراتی را ارسال کرده و بدافزارهای دیگری از جمله باج افزار، بدافزار سرقت گواهی، تروجان بانکی را روی سیستم آلوده بارگذاری کنند و یا به سادگی از RAT به عنوان جای پای قربانی در راستای اقدامات مخرب خود استفاده کنند".

این شرکت امنیت سایبری گفت که بیش از 100000 صفحه وب منحصر به فرد و متفاوت را کشف کرده است که حاوی اصطلاحات تجاری معروف یا کلمات کلیدی مانند الگو، فاکتور، رسید، پرسشنامه و رزومه هستند که به صفحات اجازه می دهد در نتایج جستجو در رتبه بالاتری قرار بگیرند و بر این مبنا احتمال موفقیت مهاجمین را افزایش میدهد.

هنگامی که یک قربانی در وب سایتی تحت کنترل مهاجم ورود پیدا کند و فایلی را که در جستجوی آن بوده است دانلود نماید، به نقطه ای آغازی برای حملات و تهدیدات پیچیده تر تبدیل شده و در نهایت منجر به نصب RAT مبتنی بر .NET به نام SolarMarker (با نام مستعار Yellow Cockatoo ، Jupyter و پولازرت) میشود.

در یک مورد بررسی شده توسط ای سنتایر که شامل یک کارمند شرکت مدیریت مالی بود، بدافزار قابل اجرا به شکل یک فایل پی‌دی‌اف مبدل شده بود که با باز شدنش، RAT را به همراه نسخه قانونی Slim PDF به عنوان طعمه اجرا و راه اندازی می کرد.

اسپنس هاچینسون، مدیر اطلاعات حملات شرکت ای سنتایر، گفت: "جنبه نگران کننده دیگر این کمپین این است که گروه SolarMarker بسیاری از صفحات وب مخرب خود را با کلمات کلیدی مرتبط با اسناد مالی پر کرده است".

وی ادامه داد: "یک گروه جرایم اینترنتی، کارمندی را که در بخش مالی یک شرکت کار می کند یا یک کارمند را که برای یک سازمان مالی کار می کند، یک هدف با ارزش بالا قلمداد میکند. متأسفانه، به محض اینکه RAT روی سیستمی نصب شود، پتانسیل بسیار زیادی وجود دارد که فعالیت کلاهبرداری به وقوع بپیوندد".

محققان امنیتی حداقل سه کمپین عظیم مخرب برای گسترش بدافزارها را کشف کرده اند که از صدها هزار روتر MikroTik سوء استفاده می کنند تا بصورت مخفیانه بدافزارهای ماینر ارزهای دیجیتال (cryptocurrency miners) را بدون اجازه در رایانه های متصل به آنها نصب کنند.
در مجموع، کمپین های بدافزاری بیش از 210،000 روتر از شرکت ارائه دهنده سخت افزار شبکه لتونی (Latvian network hardware provider Mikrotik) در سراسر جهان را به خطر انداخته اند، که هنوز هم در حال افزایش هستند.
هکرها از یک آسیب پذیری شناخته شده در Winbox روتر MikroTik بهره می گیرند که در اردیبهشت ماه سال جاری(1397) کشف شد و طی یک روز از کشف آن پچ شده است که بار دیگر نشان میدهد که پچ نکردن بروزرسانی ها چقدر میتواند دردسرساز باشد.
این نقص امنیتی به طور بالقوه می تواند به مهاجم این اجازه را بدهد که از راه دور به هر روتر میکروتیک آسیب پذیری دسترسی داشته باشد.
اولین کمپین برای اولین بار توسط توسط محققان Trustwave کشف شد که با هدف قرار دادن تجهیزات شبکه در برزیل آغاز شده بود، جایی که یک هکر یا گروهی از هکرها بیش از 183،700 روتر MikroTik را به خطر انداختند.
از آنجا که هنوز هم بسیاری از روترهای میکروتیک موجود در دنیا، پچ های مرود نظر را نصب نکرده اند و هکرها هرروز اطلاعات بیشتری در مورد این باگ کشف میکنند، احتمال میرود که این حملات در مقیاس گسترده تری در جهان گسترش یابند.
تروی مورچ (Troy Mursch)، یکی از محققان امنیتی، دو کمپین مشابه بدافزار را شناسایی کرده است که 25،500 و 16،000 روتر MikroTik را در مولدووا آلوده کرده است، که این بدافزارها عمدتاً به منظور ماینینگ ارزهای دیجیتال بوده و از سرویس CoinHive بهره برده اند. روش کار به این صورت است که مهاجمان کد جاوا اسکریپت Coinhive را به صفحات وبی تزریق میکنند که از مسیر یک روتر آسیب پذیر مشاهده شود تا در نهایت هر کامپیوتر متصل را به صورت ناشناس به یک ماینر ارز دیجیتالی مونرو (Monero) تبدیل کند.
سایمون کنین (Simon Kenin) محقق شرکت Trustwave می گوید: "مهاجم یک صفحه خطای سفارشی با اسکریپت CoinHive را ایجاد کرده است" و "اگر کاربر هنگام مرور صفحات وب، یک صفحه خطا (از هر نوع) را دریافت کند، این صفحه خطای سفارشی برای کاربر ارسال میگردد و شروع به ماینینگ میکند."  آنچه در مورد این کمپین ها قابل توجه است، این است که مهاجمان بجای اینکه با استفاده از روش های پیچیده استفاده کنند، توانسته اند به همین راحتی کلاینت های بسیار زیادی را آلوده کرده و به هدفشان برسند.
سایمون کنین همچنین گفت: "صدها هزار دستگاه از این دستگاه ها (MikroTik) در سرتاسر جهان وجود دارد، در ISP ها و سازمان ها و کسب و کارهای مختلف، هر دستگاه حداقل ده ها و نه صدها کاربر روزانه را خدمت می کند. این یک زنگ اخطار خوب برای کاربران و مدیران فناوری اطلاعات است که در حال حاضر روترهای MikroTik آسیب پذیر را در محیط خود به کار می گیرند تا در اسرع وقت دستگاه های خود را بروزرسانی و پچ کنند".
این اولین بار نیست که روترهای MikroTik برای گسترش نرم افزارهای مخرب هدف قرار گرفته اند. در اسفند ما سال 1396 نیز، یک گروه هک پیشرفته APT از آسیب پذیری های ناشناخته در روترهای MikroTik به منظور مخفی ساختن نرم افزارهای جاسوسی به رایانه های قربانیان بهره برداری کرد.
حرف آخر:با توجه به بالا رفتن قیمت ارز و قیمت پایین تجهیزات میکروتیک ، استفاده از این فایروال روتر بسیار فراگیر شده است، برای جلوگیری از بروز حملات رایج مطرح شده در این چند ماه و درگیر شدن با کمپین های بدافزاری، حتما فایروال روتر میکروتیک خود را بروزرسانی کرده و دسترسی های آن را محدود نمایید و در سناریوهای تخصصی تر حتما از فایروال های حرفه ای استفاده نمایید.