دلایل افزایش روزافزون حملات سایبری به شرکت‌ها [گفت و گوی جونی با حسین نفیسی]

[ad_1]

با شدت گرفتن حملات سایبری به شرکت‌ها باید با نحوه حملات و روش‌های مواجهه با بدافزارها دوست شوید. مهندس امنیت سایبری و مدرس باگ‌بانتی از سناریوی حملات می‌گوید.

آرون گروپس

اخیرا شاهد طیف جدیدی از قربانیان حملات سایبری هستیم. در بین قربانیان جدید، شرکت‌‌ها بیش از نزد دیده می‌شوند. ارسال ایمیل فیشینگ نیز به نام روش اصلی نفوذ دیده می‌شود. وجود بدافزاها و عدم آگاهی پرسنل نیز می‌تواند سبب افزایش ریسک این حملات باشد. در این رابطه گفتگوی اختصاصی جونی با مهندس امنیت سایبری؛ پزشک حسین نفیسی اصل را بخوانید.

سناریوی تکراری حملات سایبری در شرکت‌ها

در ابتدای گفتگو، پزشک حسینی از سبب افزایش روزافزون این حملات سایبری گفت: «در سناریوهای حمله سایبری، مهاجمان پس از بررسی و شناخت منایع به جستجو گرفتن دسترسی‌ها می‌روند که یکی از رایج‌ترین راه‌های اون استفاده از مهندسی اجتماعی است. مهاجمین در مهندسی اجتماعی در واقع در پی اون هستند که با استفاده از روش‌های مختلف، قربانی را مجبور کنند که یا دست به عمل مخربی بزند و یا اطلاعات مهمی را در اختیارشان قرار بدهد. عمل مخرب می‌تواند به نام نصب آرام‌افزار بر روی موبایل باشد و یا بر روی سیستم باشد. اطلاعات مهم شامل نام‌کاربری و گذرواژه و یا اطلاعات کارت بانکی و یا موارد مشابه می‌تواند باشد.»

حملات سایبری

وی ادامه داد:

«یکی دیگر از راه های مهندسی اجتماعی ارسال ایمیل فیشینگ است. در این روش مهاجم قربانی را مجبور می کند که بر روی لینک آلوده کلیک کند، تا بتواند به سیستم قربانی دسترسی پیدا کرده و سیستم را آلوده کند. در روش‌های پیچیده‌تر مهاجمان از نقطه ضعف‌های آرام افزار‌ها نیز استفاده می‌کنند. همانند آرام‌افزارهای  office و یا adobe. مرجع این داستان‌ها برای علاقه مندان سایت مایتر اتک است که جزییات بیشتری دارد.»

پزشک حسینی در ادامه گفت: «سبب زیادتر شدن حملات می‌تواند به سبب عدم توجه پرسنل به آموزش‌های امنیتی باشد. از طرفی دیگر اطلاعات شخصی کاربران به راحتی در شیکات اجتماعی در دسترس است. با توجه به موقعیت سیاسی سرزمین مهاجمان علاقه زیادی به حمله به سازمان‌ها دارند. به طور کل پیکربندی نادرست می تواند یکی از دلایل اصلی علاقه مهاجمان به حملات باشد.»

زیادتر بخوانید:‌ کلاهبرداری با توکن مهسا امینی ؛ مواظب باشید [مصاحبه اختصاصی تکراتو با عباس آشتیانی]

بدافزار portdoor در حملات سایبری

طبق شرح‌های موجود، استفاده‌ از بدافزار portdoor در حملات سایبری اخیر فراوان دیده می‌شود. پزشک حسینی در پاسخ به این سوال که روش کار این بدافزار چگونه است، توضیح داد:

«بدافزار portdoor، بخشی از سناریو حمله پیشرفته است. این سناریو بیشتر توسط گروه هکری به نام ta428 استفاده می‌شود. در این حملات سایبری یک ایمیل به قربانی همانند ایمیل فیشینگ ارسال می‌شود که شامل فایل word است. سبب استفاده از این آرام افزار این می باشد که به محض دوباره شدن فایل توسط قربانی دستورات مهاجم بر روی سیستم قربانی اجرا می شود، و بد افزار پرتسور بر روی سیستم اجرا می شود. در ادامه حملات بدافزار روند حمله را ادامه می‌دهد.»

کارشناس امنیت سایبری ادامه داد: «portdoor برای آنکه شناسایی فایل را توسط سیستم امنیتی پایین بیاورد فایل بدافزار خود را به پوشه آرام‌افزار انتقال می‌دهد و خودش را به نام یکی از adanهای آرام‌افزار ماکروسافت معرفی می‌کند تا بتواند سناریو خود را نزد ببرد. در ادامه پورت‌دور اطلاعات سیستم آلوده شده را در یک فایل مشخصی که آدرس اون در تنظیمات ‌است، محافظت می کند. در ادامه بدافزار با مرکز کنترل ارتباط برقرار می‌کند تا بتواند اطلاعات به دست آورده را به نام فایل در اختیار مرکز کنترل قرار بدهد.

نکته جذاب این است که پرترور تمام اطلاعاتی را که از مرکز اطلاعات دریافت می‌کند و یا حتی ارسال می‌کند را با استفاده از aes، و کلیدی که در تنظیمات خود دارد رمزگذاری می‌کند. پرت‌دور سپس از دریافت اطلاعات بررسی می‌کند که اطلاعات دریافت شده شامل عبارت خاصی می‌باشد یا خیر، که این عبارت‌ها در تنظیمات بدافزار وجود دارند. هدف مهاجمان از گذاشتن چنین شرطی بر روی بدافزار نا مشخص می‌باشد.»

شکست مکانیزم امنیتی در شناخت بدافزار

پزشک حسینی در ادامه‌ی توضیح عملکرد بدافزار portdoor که اخیرا در حملات سایبری شرکت‌ها از اون توسط هکرهای کلاه‌سیاه و مهاجمین استفاده می‌شود، چنین افزود: «در مرحله سپس portdoor، توابع ویندوزی (windows api call) بر پایه هش اون‌ها در رم بارگذاری می‌کند. در این روش توابع به شکل جداگانه بارگذاری می‌شوند و اگر هش اون‌ها با مقادیر مورد نظر یکی بود اون‌ها را ذخیره می‌کند، به این ردیف نیازی به نام توابع ندارد و این کار حالتی dinomic load را دارد که فراوان از مکانیزم‌های امنیتی در این مرحله در پیدا کردن بدافزار portdoor شکست می‎‌خورند. پس از اتمام مراحل درون حلقه‌ای می‌شود که در هر دور دستوراتی را که از سازمان کنترل دریافت می‌کند را اجرا می‌کند و خروجی اون‌ها را دوباره می‌گرداند.»

حملات سایبری

وی برای توضیح زیادتر با آنالیز مثالی گفت: «برای شفاف‌تر شدن عملکرد این بدافزار، نمونه‌ای از اون را که شرکت kaspersky آنالیز کرده می‌پردازیم. همانطور که در عکس می‌بینید، آدرس و پورت مرکز کنترل جایی است که بدافزار پس از استقرار به اون اطلاع می‌دهد و دستورات را اجرا می‌کند و سپس خروجی را برمی‌گرداند. رشته‌ای که با KR شروع می‌شود نیز باید در پیام‌های مرکز کنترل باشد تا بدافزار عمل کند. آیدی مختص به قربانی را که بدافزار به سو مرکز کنترل می‌فرستد را می‌بیند.

آدرس پروفایل و کلیدی که به وسیله‌ی اون رمز می‌شود را مشاهده می‌کنید. همچنین در عکس دستوراتی که بدافزار قابلیت اجرای اون را دارد نیز در این عکس مشخص است که که مرکز کنترل با فرستادن کد دستور مورد نظر، بدافراز را مجبور به اجرای اون می‌کند. برای مثال با ارسال کد 8، بدافزار شروع به جمع‌آوری دیتای قربانی کرده و اون را به سو مرکز کنترل می فرستد. این نحوه‌ی تعامل مرکز کنترل و دستوراتی است که بدافزار قابلیت اجرای اون را دارد.»

 حملات سایبری در شرکت‌ها

آموزش پرسنل و به روز‌رسانی تجهیزات دو اصل برای مواجهه با مهاجم

پزشک حسینی اصل در آخر گفتگو اختصاصی با جونی در پاسخ به این سوال که چگونه می‌توان تهدید بدافزارهایی همانند portdoor را در حملات سایبری به حداقل رساند، توضیح داد: «به طور کلی برای مواجهه با بدافزارها باید در چند سطح آمادگی داشته باشیم. در سطح اول باید کوشش کنیم که جلوی ورود بدافزارها به سازمان را بگیریم. در سطح دوم باید اقدام به استقرار یک سری مکانیزم امنیتی کنیم تا وجود اون بدافزار را تشخیص دهد. در سطح سوم نیز باید کوشش کنیم که دسترسی و اطلاعاتی که بدافزار به دست می‌آورد را به حداقل برسانیم.»

وی ادامه داد:

«دو اقدام مهمی که به سطح اول مربوط می‌شود، آموزش مناسب پرسنل سازمان و به روزرسانی آرام‌افزارها و تجهیزات است. پرسنل سازمان باید حتما به طور دوره‌ای در مقابل راه‌های مهندسی اجتماعی و راه‌های حمله آموزش ببینند، تا مهاجم نتواند با استفاده از اشتباه آنان، دسترسی اولیه در سازمان ساختن کند. هر چقدر این افراد دارای دسترسی و اطلاعات مهمتری باشند، باید آموزش‌های زیادتر نیز ببینند.»

حملات سایبری شرکت‌ها

پزشک حسینی افزود: «از طرفی تجهیزات و آرام‌افزارهایی که استفاده می‌کنیم نیز باید برای مواجهه با حملات سایبری به روز باشند، تا مهاجم نتواند با استفاده از صدمه‌پذیری‌ها دسترسی بگیرد. طبیعتا هر چه تجهیزات بر روی اینترنت و آرام‌آفزارها بر روی سیستم کاربران بیشتری باشند، با ارزش و مهم بودن به روز نگه‌داشتن آنها زیادتر می‌شود. برای تشخیص اون درون سازمان هم باید از آنتی ویروس و هم از ای‌دی‌آر استفاده شود که کامفیک شده باشند و به خوبی برای این کار تنظیم شده باشند.

علاوه بر این، ترافیک شبکه‌ی سازمان نیز باید به خوبی کنترل شود تا از روی اون بتوان رفتار مشکوک بدافزار را شناسایی کرد. در سطح سوم نیز باید تلاش کنیم که اگر بدافزاری توانست بدون تشخیص ما درون سازمان شود، دسترسی حداقلی داشته باشد. برای این کار می‌توانیم از اصل دسترسی حداقلی چه در سطح شبکه و چه در سطح آرام‌افزار استفاده کنیم و اجازه ندهیم بدافزاری که در سازمان ما فعال شده است، دسترسی زیادی داشته باشد.»

برای اطلاعات زیادتر می‌توانید به لبنک  منابع مراجعه کنید.

زیادتر بخوانید:

نظر شما در خصوص قربانیان جدید حملات سایبری چیست؟ نظرات خود را در قسمت کامنت‌ها با جونی در بین بگذارید.

[ad_2]