• info@arka.ir
  • تماس با ما: 02191300476 - ۰۲۱۸۸۸۰۴۹۶۱
  • تهران، خیابان شهید بهشتی، خ پاکستان، کوچه ۴ پلاک ۱۱ واحد ۷
25 سپتامبر 2021

محققان امنیت سایبری تکنیک جدیدی را که عامل تهدید به صورت عمدی برای جلوگیری از تشخیص و شناسایی به کمک امضا‌های نادرست دیجیتالی payload‌های بدافزار خود استفاده کرده است، فاش کرده‌اند.

نیل مهتا از گروه تجزیه و تحلیل تهدیدات گوگل در گزارشی که روز پنجشنبه منتشر شد، اعلام کرد: “مهاجمان امضا‌های کد ناقصی را ایجاد کرده‌اند که توسط ویندوز معتبر تلقی می‌شوند اما نمی‌توانند با کد OpenSSL که در تعدادی از محصولات اسکن امنیتی استفاده می‌شود، رمزگشایی یا بررسی شوند”.

مشخص گردیده است که این مکانیسم جدید توسط گروه بدنامی از نرم‌افزار‌های ناخواسته معروف به OpenSUpdater مورد استفاده قرار می‌گیرد، که برای بارگیری و نصب سایر برنامه‌های مشکوک در سیستم‌های آسیب دیده استفاده می‌شود. بیشتر اهداف این کمپین کاربرانی هستند که در ایالات متحده قرار دارند و مستعد دانلود نسخه‌های کرک شده بازی‌ها و سایر نرم‌افزار‌های نامشخص و نامطمئن هستند.

این یافته‌ها از مجموعه‌ای از نمونه‌های OpenSUpdater نشات می‌گیرد که حداقل از اواسط ماه آگوست در VirusTotal بارگذاری شده‌اند.

در حالی که مهاجمان در گذشته برای جاسوسی از ابزار‌های تبلیغاتی مزاحم و سایر نرم‌افزار‌های ناخواسته در شناسایی ابزار‌های مخرب یا جاسازی کد حمله در اجزای نرم‌افزاری معتبر و دارای امضای دیجیتالی با آلوده کردن زنجیره تأمین نرم‌افزار، به گواهی‌های دیجیتالی غیرقانونی تکیه کرده‌اند، OpenSUpdater به دلیل توانایی استفاده عمدی از امضای ناقص برای عبور از سد دفاعی، برجسته است.
takian.ir google warns of new way hackers can make malware undetectable on windows 2
بدافزار‌ها در ویندوز قابل تشخیص نیستند
بدافزار‌های طراحی شده با یک گواهی نامعتبر X. ۵۰۹ امضا شده و به گونه‌ای ویرایش شده‌اند که المان “parametrs” در زمینه SignatureAlgorithm شامل نشانگر پایان محتوا (EOC) به جای برچسب NULL است. اگرچه اینگونه رمزگذاری‌ها توسط محصولاتی که از OpenSSL برای بازیابی اطلاعات امضا استفاده می‌کنند، نامعتبر است، اما بررسی‌های سیستم‌های ویندوز اجازه می‌دهد فایل بدون هیچگونه هشدار امنیتی اجرا شود.

جلوگیری از نشت اطلاعات
مهتا افزود: “این اولین بار است که TAG مهاجمانی را که از این تکنیک برای فرار از تشخیص و شناسایی استفاده می‌کنند، مشاهده می‌کند و در عین حال امضای دیجیتالی معتبر روی فایل‌های PE را حفظ می‌نماید”.

این محقق همچنین اضافه کرد: “امضا‌های کد بر روی قسمت‌های اجرایی ویندوز، ضمانتهایی را در مورد یکپارچگی یک فایل اجرایی امضا شده و همچنین اطلاعاتی در مورد هویت امضاکننده، ارائه می‌دهد. مهاجمانی که قادرند هویت خود را در امضا کتمان و پنهان کنند، بدون اینکه بر تمامیت و کلیت امضا تأثیر بگذارد، می‌توانند برای مدتی طولانی از امکان تشخیص جلوگیری کرده و طول عمر گواهینامه‌های دارای امضای کد خود را به منظور آلوده کردن سیستم‌های بیشتر، افزایش داده و تمدید نمایند″.

19 سپتامبر 2021
هدفگیری ساب سیستم ویندوز برای لینوکس توسط بدافزاری جدید با توانایی مصون ماندن شناسایی

تعدادی از نمونه‌های مخرب برای ساب سیستم ویندوز برای لینوکس (WSL) با هدف به خطر انداختن دستگاه‌های ویندوزی ایجاد شده است و روش زیرکانه‌ای را نشان می‌دهد که برای اپراتور‌ها این امکان را فراهم می‌کند تا از شناسایی مصون بمانند و حتی با وجود تجهیزات ضد بدافزار محبوب و شناخته شده، امکان تشخیص را خنثی کنند.

به مثال “Distinct tradecraft” اولین نمونه‌ای است که نشان می‌دهد یک عامل تهدید‌کننده از WSL برای نصب payload‌ های بعدی سواستفاده کرده است.

به نقل از هکر نیوز، محققان Lumen Black Lotus Labs در گزارشی که روز پنجشنبه منتشر کردند، گفتند: “این فایل‌ها به عنوان لودر‌هایی که payload ‍ی را که در نمونه جاسازی شده یا از سرور راه دور بازیابی شده بود و سپس با استفاده از تماس‌های API ویندوز به یک فرآیند در حال اجرا تزریق می‌شد، عمل می‌کنند”.

ساب سیستم ویندوز برای لینوکس، که در آگوست ۲۰۱۶ راه‌اندازی شد، یک لایه سازگاری است که برای اجرای اجزای دوتایی لینوکس (در قالب ELF) بطور بومی بر روی پلتفرم ویندوز بدون‌ آورهِد ماشین مجازی سنتی یا راه‌اندازی دوال بوت طراحی شده است.

قدیمی‌ترین موارد طراحی شده به ۳ ماه می‌سال ۲۰۲۱ برمی گردد که مجموعه‌ای از فایل‌های باینری لینوکس، هر دو تا سه هفته یکبار تا ۲۲ آگوست ۲۰۲۱ بارگذاری شده‌اند. نه تنها این نمونه‌ها در پایتون ۳ نوشته شده و با PyInstaller به ELF اجرایی تبدیل می‌شوند، بلکه فایل‌ها همچنین برای بارگیری کد shell را از یک سرور command-and-control از راه دور و با استفاده از PowerShell برای انجام فعالیت‌های بعدی در میزبان آلوده استفاده می‌شوند.

این payload ثانویه “shellcode” به یک فرآیند در حال اجرا ویندوز با استفاده از API Windows تزریق می‌شود که Lumen آن را “اجرای فایل باینری ELF در Windows” توصیف می‌کند، اما قبل از آن نمونه در راستی خاتمه دادن به فعالیت محصولات مشکوک آنتی ویروس و ابزار‌های تجزیه و تحلیل در دستگاه تلاش می‌نماید. علاوه بر این، با استفاده از لایبرری‌های استاندارد پایتون، برخی از گونه‌های دیگر را در ویندوز و لینوکس قابل پیوند و ارتباط می‌کند.

محققان می‌گویند: “تا کنون ما تعداد محدودی از نمونه‌ها را تنها با یک آدرس IP قابل رویت عمومی شناسایی کرده‌ایم، که نشان می‌دهد این فعالیت از نظر دامنه و گستره بسیار محدود است و یا به طور بالقوه هنوز در حال توسعه است. همچنان که مرز‌های مجزای بین سیستم عامل‌ها همچنان مبهم‌تر و کمتر می‌شوند، عاملان تهدید از سطوح حمله‌های جدید استفاده خواهند کرد″.

takian

5 سپتامبر 2021

در اینجا، در عملیات جهانی بازیابی امنیت مایکروسافت CRSP، ما با مشتریانی کار می کنیم که رویدادهای امنیتی مخرب را برای بازیابی اعتماد به سیستم های هویت و حذف کنترل مهاجم تجربه کرده اند. در طول سال ۲۰۲۰ ، این تیم به بسیاری از حوادث مربوط به باج افزار و استقرار ابزارهای رمزنگاری پاسخ داد. باج افزار تهدیدی فزاینده برای سازمانها و کاربران خانگی است ، زیرا این یک مدل تجاری کم هزینه و با بازدهی بالا است. این حملات پیچیده نیستند ، آنها به ابزارها و نرم افزارهایی تکیه میکنند که سالهاست وجود داشته و هنوز قابل اصلاح نیستند و هنوز کار می کنند.

در این پست ، ما امیدواریم که کاربردی ترین و مقرون به صرفه ترین روش های عدم نیاز به خدمات را با شما به اشتراک بگذاریم.

امنیت اولیه خود را به روز کرده و حفظ کنید

یک داستان قدیمی درباره دو کوهنورد در بیابان وجود دارد که می بینند خرس به سمت آنها می آید. یکی شروع به دویدن می کند و دوستش می گوید: “شما هرگز از یک خرس پیشی نمی گیرید.” اولین کوهنورد پاسخ می دهد: “مجبور نیستم ، فقط باید از تو پیشی بگیرم.”

موضوع پشت این داستان در چشم انداز تهدید امنیت سایبری فعلی منعکس می شود. این خبر مملو از داستانهای حملات سایبری است که بیشتر آنها “بسیار پیچیده” توصیف شده اند. با این حال ، حقیقت این است که بیشتر حوادث سایبری پیچیده نیستند. اکثر مهاجمان از وضع مالی خوبی برخوردار نیستند یا بسیاری از مهاجمان به خوبی از بودجه کشور، تامین نمی شوند. آنها فقط مجرمانی هستند که سعی در کسب درآمد دارند. سود مستقیم مالی محرک اصلی حملات سایبری در سال ۲۰۲۰ است. این امر به ویژه هنگامی صادق است که قربانیان شرکت های کوچک تا متوسط و بخش های غیر انتفاعی مانند مدارس و موسسات خیریه باشند. یک راه آسان برای بهبود وضعیت امنیتی خود ، وصله سریع و کارآمد است.

در اوایل سال ۲۰۲۰ ، تیم تشخیص و پاسخ مایکروسافت (DART) توسط یک سازمان بخش دولتی در استرالیا برای بررسی حمله سایبری مشارکت کرد. تحقیقات DART مشخص کرد که مهاجم از آدرس IP خارجی سرچشمه گرفته است. تحقیقات Incident Response (IR) نشان داد که دشمن حمله خود را با اسکن کردن زیرساخت های اینترنتی برای پورت های در معرض حمله آغاز کرد. در این نمونه ، یک اتصال دسکتاپ از راه دور مستقیماً به اینترنت باز شد تا فروشنده نرم افزار بتواند پشتیبانی کند. گذرواژه مدیریتی ضعیفی به کار برده شد. با دسترسی مدیریتی به سرور در معرض دید ، آنها با استفاده از ابزارهای هک رایج در دسترس و با استفاده از ابزارهای هک معمولی ، به طور قابل توجهی نویز را شناسایی کردند. مهاجمان به سرعت به صورت جانبی در سراسر شبکه حرکت کردند و به دامنه کنترل کننده ها رسیدند.

پس از تحقیقات DART ، تیم CRSP برای بازیابی محیط از طریق اعتماد مجدد به سیستم های هویت ، تقویت دفاع و از بین بردن کنترل دشمن تلاش کرد. اگرچه از اهمیت بالایی برخوردار است و منابع خوبی دارد ، بخش دولتی یک سازمان کوچک با حدود ۵۰۰ کارمند بود و متأسفانه در سالهای اخیر از اقدامات امنیتی عقب افتاده بود.

از حمله اولیه نیروی وحشیانه ، مهاجم در عرض چند ساعت به تسلط بر دامنه دست یافت. در این حمله ، دشمن با استقرار ابزارهای رمزنگاری در همه سرورها و ایستگاه های کاری ، انگیزه مالی خود را نشان داد. همانطور که در آخر هفته بود ، این حمله برای مدتی کشف نشد.

هیچ نشانه ای مبنی بر اینکه هدف حمله به طور خاص سازمان بوده است وجود نداشت ، اما به نظر می رسید که انگیزه مهاجم صرفاً مالی است. رمزنگاری یک محموله کم خطر و کم بازده است و نیازی به انتخاب صریح قربانی برای پرداخت آن ندارد. پاداش ها کمتر اما فوری است و برای حملات کم ارزش با حجم بالا مناسب است.

درسهای این حادثه عبارتند از: اگر بتوانید کار را از حد متوسط دشوارتر کنید ، مهاجمان کم مهارت اغلب سریع تسلیم می شوند و به سمت هدف بعدی حرکت می کنند. اساساً از دوست خود پیشی بگیرید ، نه خرس. تمرکز بر اصلاح اصول اولیه تا حد زیادی به حفاظت از اکثر شرکت های کوچک و متوسط کمک می کند. در زیر هفت حوزه (کاملاً جامع) وجود دارد که می تواند به سرعت شما را به یک هدف سخت تر تبدیل کند-و همه مواردی است که ما هنگام همکاری با مشتریان در پروژه های واکنشی به کار می بریم.

  1. همه چیز را سریعتر وصله کنید

هدف از پوشش کامل وصله ظرف ۴۸ ساعت ، وضعیت امنیتی شما را به میزان قابل توجهی بهبود می بخشد. سرورهای خود را در اسرع وقت و با تمرکز بر سیستم های Tier 0 مانند Domain Controllers و Microsoft Azure Active Directory Connect وصله کنید.

وصله برنامه ها به همان اندازه مهم است ، به ویژه برنامه های بهره وری تجاری مانند مشتریان ایمیل ، سرویس گیرندگان VPN و مرورگرهای وب. به روز رسانی خودکار مرورگرهای وب خود را در Edge ، Chrome ، Firefox یا سایر موارد فعال کنید. مرورگرهای قدیمی اطلاعات کاربر و دستگاه را در معرض خطر قرار می دهند. استفاده از ابر و Windows Update for Business می تواند به طور خودکار وصله  کند و برای رفع برخی از مشکلات مربوط به تعمیر و نگهداری هنگام توزیع نیروی کار سازمان شما ، به ویژه با توزیع نیروی کار سبک همه گیر ، کمک کند.

ما به عنوان بخشی از بازیابی سازش تلاش می کنیم تا مطمئن شویم مشتریان ما می توانند مهمترین دارایی های خود را در عرض چند ساعت وصله کنند ، این امر معمولاً شامل پیاده سازی سریع مراحل وصله و چرخه های آزمایش برای بارهای مهم است. ما مزایای زیادی را در جدا نگه داشتن سیستم های وصله برای حجم کاری اصلی خود مشاهده می کنیم ، مانند اجرای یک ابزار مدیریت به روز رسانی اختصاصی فقط برای کنترل کننده های دامنه.

  1. به طور فعال از دستگاه های خود محافظت کنید

یک دستگاه ویندوز به روز و پیکربندی شده که از Microsoft Defender برای Endpoint یا راه حل تشخیص و پاسخ گسترده دیگر (XDR) استفاده می کند ، باید اولین خط دفاعی شما باشد. همراه با سیستم مدیریت رویداد امنیتی (SIEM) برای سیستم های تجاری مهم و کلیدی شما ، این امر به شما کمک می کند تا از دارایی های مهم آگاه شوید. اطمینان حاصل کنید که افراد به دنبال هشدارها و ردیابی فعالیت ها هستند.

پس از صرف زمان با مشتریان خود ، دوست داریم مطمئن شویم که هر چیزی که در سیستم های تجاری مهم آنها اتفاق می افتد به خوبی تحت نظارت و مدیریت است. این که بتوانید به هر چیزی که ممکن است در این محیط رخ دهد واکنش نشان دهید برای حفظ اطمینان مداوم در یک محیط حیاتی است.

  1. قرار گرفتن در معرض را کاهش دهید.

بازکردن هرگونه سرویس در اینترنت با خطرات ذاتی همراه است. یک خطر این است که هر چیزی که به اینترنت متصل است به طور مرتب و منظم اسکن شود. همانطور که در HAFNIUM اخیر مشاهده کردیم ، از هر چیزی که آسیب پذیر تشخیص داده شود ، چند دقیقه پس از آنلاین شدن به طور بالقوه مورد سوء استفاده قرار می گیرد.

علاوه بر این ، منابع عمومی خدمات در دسترس به صورت آنلاین وجود دارد. این نتایج نه تنها برای هکرهایی که به دنبال بهره برداری از منابع هستند جالب توجه است بلکه می تواند برای کسانی که به دنبال افزایش موقعیت امنیتی خود هستند مفید باشد.

فایروالی که دسترسی به آدرس های منبع تعریف شده را محدود می کند ، خطر را تا حدی کاهش می دهد ، همانطور که آنها را در پشت اتصال VPN قرار می دهد ، به ویژه آنهایی که نیاز به احراز هویت دو مرحله ای دارند.

اگر سرورهای شما در Azure یا یک ابر دیگر هستند ، از یک گروه امنیتی شبکه برای محدود کردن دسترسی به IP های خاص استفاده کنید ، یا حتی بهتر است از دسترسی به موقع و Microsoft Azure Bastion استفاده کنید.

در مثال مشتری ما ، پروتکل دسکتاپ از راه دور مستقیماً در اینترنت قرار گرفت ، بدون هیچ گونه کنترل کنترل کننده.

ما با مشتریان خود برای توجیه و کاهش قرار گرفتن در معرض هرگونه خدمات اینترنتی در یک محیط کار می کنیم. ما در کنار شیوه های اجرایی کار می کنیم تا مطمئن شویم که مدیران هنوز می توانند یک سیستم را به طور کامل حفظ کنند اما این کار را با روش امن تری انجام می دهند.

  1. دسترسی ها را کاهش دهید

بیشتر حملات متکی بر دسترسی مهاجم به مدیریت است. اگر بتوانیم حق دسترسی را محدود کنیم ، راه زیادی را برای جلوگیری از حملات زیاد وجود دارد. داشتن گذرواژه مدیریتی محلی مشترک ، حرکت جانبی و افزایش امتیاز را برای مهاجمان یک کار بی اهمیت می کند.

راه حل رمز عبور سرپرست محلی (LAPS )، که حساب های مدیریت محلی را در سیستم ها مدیریت می کند ، نزدیک به شش سال است که در دسترس رایگان است. با این وجود ، در بسیاری از مشارکت ها ، می بینیم که به کار گرفته نشده است. امروز آن را در شبکه خود قرار دهید.

در مثال بخش عمومی ما ، مهاجم توانست اعتبارهای بسیار ممتاز را از سرور برنامه استخراج کند. استقرار مدیریت امتیاز و راه حل های سرپرست به موقع ارزش زیادی را اضافه می کند اما می تواند پیچیده و زمان بر باشد. با مشاهده عضویت در گروه های امنیتی مهم خود ، مانند Domain and Enterprise Administrators ، و کاهش تعداد افرادی که واقعاً به آن احتیاج دارند ، می توان به موفقیت های سریع دست یافت. در همه محیطها به جز بزرگترین محیط ها ، باید بتوانید تعداد مدیران دامنه را در انگشتان یک دست بشمارید.

استفاده از ایستگاه کاری اختصاصی سرپرست برای کارهای با ارزش ، خطر سرقت اطلاعات کاربری مدیر را کاهش می دهد. حتی دقیق ترین افراد گاهی روی پیوند اشتباه کلیک می کنند. ایده خوبی نیست که از حساب مدیریتی خود در همان رایانه ای که ایمیل می خوانید یا در وب گشت و گذار می کنید استفاده کنید ، زیرا خطراتی برای امتیاز شما ایجاد می شود.

از حسابهای خدمات مدیریت شده با گذرواژه های چرخان خودکار استفاده کنید ، اگر فروشنده برنامه به شما بگوید که حساب سرویس آنها باید مدیر باشد ، زمان آن فرا رسیده است که به سختی عقب بروید.

راهنمایی های ما درباره امنیت دسترسی ممتاز را بیشتر بخوانید.

استفاده از دستگاه های سخت شده فقط برای مدیران یک راه عالی و مقرون به صرفه برای افزایش تاکتیکی امنیت شما است. داشتن یک ماشین مستقل بدون ایمیل یا وبگردی ، مشکلاتی را که مهاجمان با آن روبرو می شوند ، افزایش می دهد.

برای مشتریان بخش عمومی ما ، محدودیت استفاده از امتیاز می تواند مهاجم را از انتقال از حرکت اولیه بر روی سرور در معرض دید بقیه محیط بسیار سخت تر کند.

  1. از قدرت ابر استفاده کنید

در نظر بگیرید که هنوز برای اجرای داخلی به چه خدماتی نیاز دارید. اگر نیاز چندانی به انجام این کار ندارید ، به شخص دیگری اجازه دهید. مدل مسئولیت مشترک در ابر به شما این فرصت را می دهد تا میزان مسئولیت خود را کاهش داده و امنیت پلتفرم را به یک ارائه دهنده ابر واگذار کنید. ابر می تواند به طور خودکار در جایی که فناوری اطلاعات سنتی نمی تواند مقیاس بندی کند ، و همین امر را باید در مورد سرویس های امنیتی در ابر نیز بیان کرد.

به آنچه در حال اجرا هستید نگاه کنید و آن را با پلتفرم به عنوان سرویس (PaaS) یا نرم افزار به عنوان سرویس (SaaS) جایگزین کنید.

به عنوان مثال ، سرورهای Exchange محلی محصولی عالی هستند ، اما به نگهداری ، وصله و پیکربندی نیاز دارند. مهاجرت صندوق های پستی به Exchange Online بسیاری از کارها را حذف کرده و با مسدود کردن بیشتر پیوندهای مخرب و فیشینگ قبل از رسیدن به صندوق پستی ، سطح حمله را کاهش می دهد.

اگر بتوانید در درازمدت به یک راه حل مبتنی بر ابر در Azure یا ابر دیگر بروید ، اجرای یک سرور وب امن در محیط شما ممکن است دشوار باشد. این مساله در این مورد مناسب نبود ، اما این یک بردار حمله رایج است.

از ابزارهای امنیتی مدرن مبتنی بر ابر مانند Azure Security Center و Azure Defender استفاده کنید. حتی اگر سرورهای شما در محل یا در یک ابر دیگر ساکن باشند ، باز هم می توان آنها را پیکربندی کرد تا به مرکز امنیتی گزارش دهند و تصویری از وضعیت امنیتی شما را در اختیارتان قرار دهند. استفاده از سیستم SIEM مانند Microsoft Azure Sentinel می تواند دید حملات احتمالی را افزایش دهد.

اگر مشتری مورد حمله ما از راه حل های امنیتی ابری استفاده می کرد ، می دید که این حمله در حال وقوع است.

  1. بدهی فنی خود را پرداخت کنید

اجرای سیستم عامل های قدیمی آسیب پذیری شما را در برابر حملاتی که از آسیب پذیری های طولانی مدت استفاده می کنند افزایش می دهد. در صورت امکان ، از سیستم خارج شده یا ارتقاء سیستم عامل های قدیمی ویندوز استفاده کنید. پروتکل های قدیمی می توانند ریسک را افزایش دهند. فن آوری های به اشتراک گذاری فایل های قدیمی یک بردار حمله شناخته شده برای باج افزار هستند اما هنوز در بسیاری از محیط ها مورد استفاده قرار می گیرند.

در این حادثه ، سیستم های زیادی از جمله Domain Controllers وجود داشت که اخیراً وصله نشده بودند. این امر به مهاجمان در حرکت آنها در سراسر محیط کمک زیادی کرد. به عنوان بخشی از کمک به مشتریان ، ما مهم ترین سیستم ها را بررسی می کنیم و مطمئن می شویم که ما به روزترین پروتکل ها را برای بهبود محیط بیشتر اجرا می کنیم.

  1. به log های خود نگاه کنید و به هشدارها عمل کنید.

به قول معروف “جمع آوری تشخیص نیست”. در بسیاری از تعاملات ، اقدامات مهاجم در گزارشات رویداد روشن و آشکار است. مشکل رایج این است که هیچ کس به طور روزانه به آنها نگاه نمی کند یا نمی فهمد که ظاهر طبیعی چگونه است. تغییرات غیرقابل توضیح در گزارش رویدادها ، مانند حذف یا حفظ تغییرات ، باید مشکوک تلقی شده و مورد بررسی قرار گیرد.

در این حادثه ، اقدامات مهاجم را می توان به راحتی از طریق log های مربوط پس از آن پیگیری کرد. یک سیستم SIEM ، که گزارشات بسیاری از منابع را جمع آوری می کند ، به طور سنتی یک سرمایه گذاری بزرگ و دور از دسترس برای همه شرکت ها به جز شرکت های بزرگ بود. با Azure Sentinel ، اکنون در دسترس همه است-بدون نیاز به زیرساخت های داخلی و بدون نیاز به سرمایه گذاری اولیه. به سادگی ایجنت ها را در سیستم های خود مستقر کنید (مهم نیست که آنها در محل ، Azure یا ابر دیگر هستند).

بیشتر بدانید

هیچ راه حل فناوری جادویی وجود ندارد که شما را به هدف سخت تری برای ضربه زدن تبدیل کند. تیم های Microsoft DART و CSRP گروه کثیری از مردم هستند ، دوستانه و یاری رسان هستند ، اما شما واقعاً مجبور نیستید با ما ملاقات کنید.

یک بازیگر تهدید مصمم و با منابع خوب ، به موقع ، بهترین دفاع سایبری را نقض می کند. به طور خلاصه ، نمی توان از خرس پیشی گرفت ، اما با برداشتن اولین قدم ها برای تبدیل شدن به یک هدف سخت تر ، مهاجمان به سمت اهداف راحت تری حرکت خواهند کرد.

برای کسب اطلاعات بیشتر در مورد راه حل های امنیتی Microsoft ، از وب سایت ما دیدن کنید. وبلاگ Security را نشانه گذاری کنید تا از پوشش تخصصی ما در زمینه مسائل امنیتی مطلع شوید.

27 جولای 2021

یک بدافزار مخرب استخراج رمزارز کراس پلتفرم معروف، همچنان با هدف قرار دادن آسیب پذیری های قدیمی و تکیه بر آنها، ضمن بسط دادن همزمان انواع مکانیسم های توزیع و ارتقای تکنیک های خود برای به حداکثر رساندن اثربخشی کمپین هایش، به ضربه زدن به سیستم عامل های ویندوز و لینوکس ادامه می دهد.

مایکروسافت در مقاله فنی که هفته پیش منتشر شد، اعلام کرد: “LemonDuck، یک بدافزار فعال به روز شده و نیرومند است که اساساً به خاطر اقداماتش در راستای استخراج رمزارز و بات نت شناخته می شود. این بدافزاز با اتخاذ رفتارهای پیچیده تر و افزایش عملیات های خود، همان مسیر قبل را در پیش گرفته و دنبال میکند. امروزه، فراتر از استفاده از منابع برای فعالیت های سنتی بات ها و استخراج رمز ارز، LemonDuck اطلاعات را سرقت می کند، کنترلر های امنیتی را حذف می کند، از طریق ایمیل گسترش یافته و پخش میشود، به صورت جانبی حرکت می کند و در نهایت ابزارهای بیشتری را برای فعالیت های مبتنی بر کنترل اپراتور مستقر مینماید”.

این بدافزار به دلیل توانایی انتشار سریع در شبکه آلوده برای تسهیل سرقت اطلاعات و تبدیل دستگاه ها به بات های استخراج رمزارز به وسیله هدایت منابع محاسباتی خود به سمت استخراج غیرقانونی رمزارز، مشهور است. قابل ذکر است که LemonDuck به عنوان یک لودر برای حملات بعدی عمل می کند که شامل سرقت اعتبارنامه ها و نصب ایمپلنت هایی برای مراحل بعد است که می توانند به عنوان دروازه ورودی برای انواع تهدیدات مخرب، از جمله باج افزار باشند.

فعالیت های LemonDuck برای اولین بار و قبل از شروع به استفاده از ترندهایی با مضمون COVID-19 در حملات ایمیل سال ۲۰۲۰ و حتی نقایص سرور Exchange ProxyLogon که اخیراً به آن پرداخته شده است تا دسترسی به سیستم های پچ نشده را پیدا کند، در ماه می سال ۲۰۱۹ در چین مشاهده گردیده است. تاکتیک قابل توجه دیگر آن نیز، توانایی پاک کردن سایر مهاجمان از یک دستگاه آسیب دیده با خلاص شدن از شر بدافزارهای مخرب و جلوگیری از هرگونه آلودگی جدید به وسیله پچ کردن آسیب پذیری هاییست که برای دسترسی مشابه استفاده میشده است.

حملات شامل بدافزار LemonDuck در بخشهای اصلی تولید و IoT متمرکز بوده است. همچنین کشورهایی از جمله ایالات متحده آمریکا، روسیه، چین، آلمان، انگلیس، هند، کره، کانادا، فرانسه و ویتنام نیز بیشترین برخوردها و درگیری ها را با این بدافزار داشته اند.

افزون بر این، مایکروسافت از فعالیت بدافزار دومی که بر LemonDuck برای دستیابی به اهداف جداگانه تکیه می کند، پرده برداشت. شرکت مایکروسافت اسم رمز این بدافزاز را “LemonCat” گذاشته است. گفته می شود که زیرساخت حمله همراه با نوع “Cat” در ژانویه ۲۰۲۱ ظهور کرده است و در نهایت منجر به استفاده از آن در حملات سواستفاده از آسیب پذیری های هدف قرار دادن Microsoft Exchange Server شده است. نفوذهای بعدی با استفاده از دامنه های Cat منجر به نصب backdoor، سرقت اعتبارنامه ها و داده ها و استقرار بدافزار شده است که غالباً یک تروجان ویندوز به نام Ramnit است.

مایکروسافت بیان داشت: “این واقعیت که از زیرساخت Cat برای فعالیت های خطرناک تر استفاده می شود، آلودگی های مخرب را از طریق زیرساخت Duck کم نمی کند. در عوض، این اطلاعات زمینه مهمی را برای درک بهتر این تهدید اضافه می کند: همان مجموعه از ابزارها، دسترسی ها و روش ها را مجددا می توان در فواصل زمانی پویا برای تأثیر بیشتر و بهتر، استفاده کرد”.