[ad_1]
با شدت گرفتن حملات سایبری به شرکتها باید با نحوه حملات و روشهای مواجهه با بدافزارها دوست شوید. مهندس امنیت سایبری و مدرس باگبانتی از سناریوی حملات میگوید.

اخیرا شاهد طیف جدیدی از قربانیان حملات سایبری هستیم. در بین قربانیان جدید، شرکتها بیش از نزد دیده میشوند. ارسال ایمیل فیشینگ نیز به نام روش اصلی نفوذ دیده میشود. وجود بدافزاها و عدم آگاهی پرسنل نیز میتواند سبب افزایش ریسک این حملات باشد. در این رابطه گفتگوی اختصاصی جونی با مهندس امنیت سایبری؛ پزشک حسین نفیسی اصل را بخوانید.
سناریوی تکراری حملات سایبری در شرکتها
در ابتدای گفتگو، پزشک حسینی از سبب افزایش روزافزون این حملات سایبری گفت: «در سناریوهای حمله سایبری، مهاجمان پس از بررسی و شناخت منایع به جستجو گرفتن دسترسیها میروند که یکی از رایجترین راههای اون استفاده از مهندسی اجتماعی است. مهاجمین در مهندسی اجتماعی در واقع در پی اون هستند که با استفاده از روشهای مختلف، قربانی را مجبور کنند که یا دست به عمل مخربی بزند و یا اطلاعات مهمی را در اختیارشان قرار بدهد. عمل مخرب میتواند به نام نصب آرامافزار بر روی موبایل باشد و یا بر روی سیستم باشد. اطلاعات مهم شامل نامکاربری و گذرواژه و یا اطلاعات کارت بانکی و یا موارد مشابه میتواند باشد.»

وی ادامه داد:
«یکی دیگر از راه های مهندسی اجتماعی ارسال ایمیل فیشینگ است. در این روش مهاجم قربانی را مجبور می کند که بر روی لینک آلوده کلیک کند، تا بتواند به سیستم قربانی دسترسی پیدا کرده و سیستم را آلوده کند. در روشهای پیچیدهتر مهاجمان از نقطه ضعفهای آرام افزارها نیز استفاده میکنند. همانند آرامافزارهای office و یا adobe. مرجع این داستانها برای علاقه مندان سایت مایتر اتک است که جزییات بیشتری دارد.»
پزشک حسینی در ادامه گفت: «سبب زیادتر شدن حملات میتواند به سبب عدم توجه پرسنل به آموزشهای امنیتی باشد. از طرفی دیگر اطلاعات شخصی کاربران به راحتی در شیکات اجتماعی در دسترس است. با توجه به موقعیت سیاسی سرزمین مهاجمان علاقه زیادی به حمله به سازمانها دارند. به طور کل پیکربندی نادرست می تواند یکی از دلایل اصلی علاقه مهاجمان به حملات باشد.»
زیادتر بخوانید: کلاهبرداری با توکن مهسا امینی ؛ مواظب باشید [مصاحبه اختصاصی تکراتو با عباس آشتیانی]
بدافزار portdoor در حملات سایبری
طبق شرحهای موجود، استفاده از بدافزار portdoor در حملات سایبری اخیر فراوان دیده میشود. پزشک حسینی در پاسخ به این سوال که روش کار این بدافزار چگونه است، توضیح داد:
«بدافزار portdoor، بخشی از سناریو حمله پیشرفته است. این سناریو بیشتر توسط گروه هکری به نام ta428 استفاده میشود. در این حملات سایبری یک ایمیل به قربانی همانند ایمیل فیشینگ ارسال میشود که شامل فایل word است. سبب استفاده از این آرام افزار این می باشد که به محض دوباره شدن فایل توسط قربانی دستورات مهاجم بر روی سیستم قربانی اجرا می شود، و بد افزار پرتسور بر روی سیستم اجرا می شود. در ادامه حملات بدافزار روند حمله را ادامه میدهد.»
کارشناس امنیت سایبری ادامه داد: «portdoor برای آنکه شناسایی فایل را توسط سیستم امنیتی پایین بیاورد فایل بدافزار خود را به پوشه آرامافزار انتقال میدهد و خودش را به نام یکی از adanهای آرامافزار ماکروسافت معرفی میکند تا بتواند سناریو خود را نزد ببرد. در ادامه پورتدور اطلاعات سیستم آلوده شده را در یک فایل مشخصی که آدرس اون در تنظیمات است، محافظت می کند. در ادامه بدافزار با مرکز کنترل ارتباط برقرار میکند تا بتواند اطلاعات به دست آورده را به نام فایل در اختیار مرکز کنترل قرار بدهد.
نکته جذاب این است که پرترور تمام اطلاعاتی را که از مرکز اطلاعات دریافت میکند و یا حتی ارسال میکند را با استفاده از aes، و کلیدی که در تنظیمات خود دارد رمزگذاری میکند. پرتدور سپس از دریافت اطلاعات بررسی میکند که اطلاعات دریافت شده شامل عبارت خاصی میباشد یا خیر، که این عبارتها در تنظیمات بدافزار وجود دارند. هدف مهاجمان از گذاشتن چنین شرطی بر روی بدافزار نا مشخص میباشد.»
شکست مکانیزم امنیتی در شناخت بدافزار
پزشک حسینی در ادامهی توضیح عملکرد بدافزار portdoor که اخیرا در حملات سایبری شرکتها از اون توسط هکرهای کلاهسیاه و مهاجمین استفاده میشود، چنین افزود: «در مرحله سپس portdoor، توابع ویندوزی (windows api call) بر پایه هش اونها در رم بارگذاری میکند. در این روش توابع به شکل جداگانه بارگذاری میشوند و اگر هش اونها با مقادیر مورد نظر یکی بود اونها را ذخیره میکند، به این ردیف نیازی به نام توابع ندارد و این کار حالتی dinomic load را دارد که فراوان از مکانیزمهای امنیتی در این مرحله در پیدا کردن بدافزار portdoor شکست میخورند. پس از اتمام مراحل درون حلقهای میشود که در هر دور دستوراتی را که از سازمان کنترل دریافت میکند را اجرا میکند و خروجی اونها را دوباره میگرداند.»

وی برای توضیح زیادتر با آنالیز مثالی گفت: «برای شفافتر شدن عملکرد این بدافزار، نمونهای از اون را که شرکت kaspersky آنالیز کرده میپردازیم. همانطور که در عکس میبینید، آدرس و پورت مرکز کنترل جایی است که بدافزار پس از استقرار به اون اطلاع میدهد و دستورات را اجرا میکند و سپس خروجی را برمیگرداند. رشتهای که با KR شروع میشود نیز باید در پیامهای مرکز کنترل باشد تا بدافزار عمل کند. آیدی مختص به قربانی را که بدافزار به سو مرکز کنترل میفرستد را میبیند.
آدرس پروفایل و کلیدی که به وسیلهی اون رمز میشود را مشاهده میکنید. همچنین در عکس دستوراتی که بدافزار قابلیت اجرای اون را دارد نیز در این عکس مشخص است که که مرکز کنترل با فرستادن کد دستور مورد نظر، بدافراز را مجبور به اجرای اون میکند. برای مثال با ارسال کد 8، بدافزار شروع به جمعآوری دیتای قربانی کرده و اون را به سو مرکز کنترل می فرستد. این نحوهی تعامل مرکز کنترل و دستوراتی است که بدافزار قابلیت اجرای اون را دارد.»

آموزش پرسنل و به روزرسانی تجهیزات دو اصل برای مواجهه با مهاجم
پزشک حسینی اصل در آخر گفتگو اختصاصی با جونی در پاسخ به این سوال که چگونه میتوان تهدید بدافزارهایی همانند portdoor را در حملات سایبری به حداقل رساند، توضیح داد: «به طور کلی برای مواجهه با بدافزارها باید در چند سطح آمادگی داشته باشیم. در سطح اول باید کوشش کنیم که جلوی ورود بدافزارها به سازمان را بگیریم. در سطح دوم باید اقدام به استقرار یک سری مکانیزم امنیتی کنیم تا وجود اون بدافزار را تشخیص دهد. در سطح سوم نیز باید کوشش کنیم که دسترسی و اطلاعاتی که بدافزار به دست میآورد را به حداقل برسانیم.»
وی ادامه داد:
«دو اقدام مهمی که به سطح اول مربوط میشود، آموزش مناسب پرسنل سازمان و به روزرسانی آرامافزارها و تجهیزات است. پرسنل سازمان باید حتما به طور دورهای در مقابل راههای مهندسی اجتماعی و راههای حمله آموزش ببینند، تا مهاجم نتواند با استفاده از اشتباه آنان، دسترسی اولیه در سازمان ساختن کند. هر چقدر این افراد دارای دسترسی و اطلاعات مهمتری باشند، باید آموزشهای زیادتر نیز ببینند.»
پزشک حسینی افزود: «از طرفی تجهیزات و آرامافزارهایی که استفاده میکنیم نیز باید برای مواجهه با حملات سایبری به روز باشند، تا مهاجم نتواند با استفاده از صدمهپذیریها دسترسی بگیرد. طبیعتا هر چه تجهیزات بر روی اینترنت و آرامآفزارها بر روی سیستم کاربران بیشتری باشند، با ارزش و مهم بودن به روز نگهداشتن آنها زیادتر میشود. برای تشخیص اون درون سازمان هم باید از آنتی ویروس و هم از ایدیآر استفاده شود که کامفیک شده باشند و به خوبی برای این کار تنظیم شده باشند.
علاوه بر این، ترافیک شبکهی سازمان نیز باید به خوبی کنترل شود تا از روی اون بتوان رفتار مشکوک بدافزار را شناسایی کرد. در سطح سوم نیز باید تلاش کنیم که اگر بدافزاری توانست بدون تشخیص ما درون سازمان شود، دسترسی حداقلی داشته باشد. برای این کار میتوانیم از اصل دسترسی حداقلی چه در سطح شبکه و چه در سطح آرامافزار استفاده کنیم و اجازه ندهیم بدافزاری که در سازمان ما فعال شده است، دسترسی زیادی داشته باشد.»
برای اطلاعات زیادتر میتوانید به لبنک منابع مراجعه کنید.
زیادتر بخوانید:
نظر شما در خصوص قربانیان جدید حملات سایبری چیست؟ نظرات خود را در قسمت کامنتها با جونی در بین بگذارید.
[ad_2]





