‫ اخبار

چشم ­انداز تهدیدات سایبری در حوزه مالی به طور مداوم در حال تغییر است. در چند سال گذشته، مجرمان سایبری حوزه مالی، تمرکز خود را از حملات علیه کاربران خصوصی بانکداری آنلاین، فروشگاه­ های الکترونیکی و سیستم­ های پرداخت به حملات در زیرساخت سازمان­ های بزرگ همچون بانک­ ها و سیستم­ های پردازش پرداخت همانند خرده ­فروشان، هتل­ ها و کسب ­وکارهای دیگر که پایانه ­های POS را به طور گسترده استفاده می­کنند، تغییر داده ­اند.

این افزایش تعداد حملات علیه سازمان­ های بزرگ می­تواند به این شکل توضیح داده شود که اگر­چه هزینه­ های آماده­ سازی و اجرای چنین حملاتی بسیار زیاد است، اما نتیجه ممکن است صد برابر بیشتر از نتیجه موفقیت­ آمیز اقدامات سازمان­ یافته بدخواهانه علیه کاربران خصوصی باشد. این نظریه توسط گروه جرایم سایبری مالی Carbanak و پیروان آن، از جمله هکرهای جامعه جهانی ارتباطات مالی بین بانکی(SWIFT#)که عامل اکثر حوادث جرایم سایبری مالی بزرگ در سال 2016 بوده­اند، به اثبات رسید. با استفاده از روش ­های حمله غیرجزئی و به حداقل رساندن استفاده از نرم­ افزار­های مخرب منحصر به فرد به کمک ابزارهای منبع باز، این گروه­ها توانسته ­اند میلیون­ ها دلار را سرقت کنند ولی متأسفانه هنوز دستگیر نشده­ اند.

با این حال، هرچند مجرمان حرفه­ای هدف­ گیری خود را به سمت اهداف بزرگ تغییر داده ­اند، اما این بدین معنی نیست که کاربران عادی و کسب­ وکارهای کوچک و متوسط، دیگر در معرض خطر جرایم سایبری مالی نیستند. برعکس، پس از اینکه مشخص شد تعداد کاربران مورد حمله در سال­های 2014 و 2015 کاهش یافته است، تعداد قربانیان در سال 2016 دوباره شروع به رشد کرد. این گزارش به ارائه روند

برای دانلود مطلب بصورت کامل کلیک نمایید.

معرفی
روزانه بر روش‎های #‫تزریق_کد به فرایندهای در حال اجرا افزوده می‎شود و معروف ترین و مؤثرترین روشی که تا به حال مورد استفاده قرار گرفته است، Reflective Memory Injection نام دارد.
هر کدام از روش های به کار رفته دارای ویژگی‎ها و تکنیک های خاص خود می‎باشند و تنها نقطه مشترکی که می‎توان به آن اشاره کرد که تقریبا در همه روش‎ها یکسان مورد استفاده قرار گرفته است، API هایی است که مهاجمان برای تزریق و اجرای کد خود از آن‎ها استفاده می‎کنند. و نکته جالب تر این است که تمام این API ها مربوط به خود OS قربانی است و این API ها به نوعی مجاز برای استفاده هستند در دسترس تمام برنامه‎ها.

تزریقdll در فرایندهای در حال اجرا
برخی توابع تعریف شده در ویندوز API به صورت مستقیم به مهاجمان اجازه می‎دهند که عمل تزریق dll در دیگر فرایندها را انجام دهند. یعنی می‎توان گفت که تزریق dll یک عمل پزیرفته شده توسط سازندگان ویندوز است و این روش در خیلی مواقع به صورت کاملا مجاز مورد استفاده قرار می‎گیرد. اما این توابع آسیب پذیری جدی در سیستم به وجود آورده‎اند که به مهاجمان نیز این اجازه را می‎دهند تا از این APIها برای اهداف مخربانه خود استفاده کنند.
تزریق dll روش های مختلفی دارد که که همچنان نیز در حال توسعه ابداع روش های جدید می‎باشد. اما می‎توان گفت که تقریبا همه‎ی این روش‎ها از یک مسیر مشخص باید عبور کنند که در ادامه ذکر شده است.
1. چسبیدن به فرایند قربانی
2. اختصاص دادن حجمی از حافظه در فرایند مهاجم به مقداری مشخص و مورد نیاز
3. کپی کردن dll در فرایند قربانی و مشخص کردن آدرس‎های توبع مورد نیاز از dll بارگذاری شده در حافظه
4. اجرای dll با آموختن نحوه اجرای dll به فرایند قربانی
در تکنیک‎های مختلف استفاده شده در تزریق dll ممکن است که این مراحل به شیوه‎های مختلفی پیاده‎سازی شوند و یا حتی برخی مراحل اضافه و یا حذف شوند اما عمدتا این مراحل برای کامل کردن مراحل تزریق لازم هستند.
در ادامه API های رایجی که در هر مرحله مورد استفاده قرار می‎گیرند به صورت تفکیک شده معرفی می‎شوند و یک مثال از یک تکنیک خاص و مؤثر در ادامه مطالب قرار داده شده است.
مراحل تزریق و رایج ترین API های استفاده شده در این مراحل
چسبیدن به فرایند قربانی
در اکثر مواقع برای انجام مرحله‎ی اول در تزریق dll از تابع موجود در API به نام OpenProcess استفاده می‎شود که با دادن مقدار شناسه فرایندی مشخص(قربانی) یک handle از فرایند برمی‎گرداند.
در این مرحله ممکن است نتوان تمام فرایند‎های در حال اجرا را به این روش در معرض تزریق قرار داد به این دلیل که فرایند‎های مختلف با سطوح دسترسی مختلف در سیستم ثبت می‎شوند که برخی فقط از سوی خود سیستم مورد استفاده قرار می‎گیرند و دیگر برنامه‎ها قادر به استفاده از این روش در چسبیدن به این گونه فرایندها نیستند. البته با برخی تکنیک ها می‎توان تا مقداری سطح دسترسی فرایند مهاجم را بالا برد تا بتواند به فرایندهای با سطح دسترسی بالاتر دست پیدا کند. اما افزایش سطح دسترسی تا حدی مجاز است و باز نمی توان به همه‎ی فرایندها دسترسی پیدا خصوصا فرایندهایی که موبوط به سیستم عامل می‎باشند.

دانلود پیوست

رشد روزافزون زیرساخت فناوری اطلاعات در سازمان‌ها و تشکیلات بزرگ، به اهمیت سیستم‌های پایش و مدیریتی می‌افزاید و سازمان‌ها بیش ‌از پیش به فناوری اطلاعات و همچنین بکارگیری سازوکارهای مناسب جهت پایش در سازمان خود وابسته می‌شوند. امروزه سیستم‌های پایش نقش حیاتی در محیط فناوری اطلاعات ایفا می‌کنند. آن‌ها تنها برای اندازه‌گیری کارآیی سیستم بکار نمی‌روند بلکه در مسائل تخمین ظرفیت نیز مورد استفاده قرار می‌گیرند.
در یک شبکه، مسئولیت نگهداری سرویس‌دهنده‌ها و تجهیزات مختلف مثل سوییچ و مسیریاب و غیره کار مشکلی است. در صورتی که تعداد این تجهیزات کم و در سطح ۱۰ تا ۲۰ دستگاه باشد کار نگهداری و بررسی روزانه و گرفتن آمار صحت کارکرد آنها خیلی ساده است و مدیران هرچند با تجربه اندک، قادر به انجام این وظیفه خواهند بود. اما با توسعه شبکه و سازمان، کسب اطلاعات درباره سطح و صحت کارکرد آنها در کمترین زمان ممکن مشکل خواهد بود. سیستم‌های پایش اهداف متفاوتی از جمله کنترل و نظارت بر عملکرد سرویس‌دهنده‌ها، کاربران و تجهیزات شبکه و SLA و همچنین گزارش کارکرد شبکه در کمترین زمان ممکن به مدیران شبکه را دنبال می‌کنند. سیستم‌ها‌ی پایش زیادی از جمله متن‌باز و تجاری وجود دارند که در حالت کلی به دو دسته تقسیم می‌شوند:
• نرم‌افزارهایی که بتوانند پس از این که اتفاقی افتاد عکس‌العمل نشان دهند.
• نرم‌افزارهایی که صرفاً به پایش می‌پردازند و عکس‌العملی نشان نمی‌دهند.
سیستم پایش شبکه #Zabbix یکی از قوی‌ترین و شناخته‌شده‌ترین سیستم‌های پایش در دنیا می‌باشد که مدیر شبکه با به‌کارگیری این سیستم پایش قادر به شناخت و پیش‌بینی وقایع و در نتیجه واکنش مناسب نسبت به آن خواهد بود.

دانلود مستند

امن‌سازی شبکه #vSphere یکی از بخش‌های ضروری در حفاظت از محیط مجازی شما است. امنیت شبکه در محیط vSphere ویژگی‌ها و موارد مشترک زیادی با امن‌سازی محیط در یک شبکه فیزیکی دارد، اما همچنین شامل ویژگی‌هایی است که تنها به ماشین‌های مجازی اعمال می‌شوند. در این گزارش به بیان برخی از مهم‌ترین توصیه‌ها و موارد مربوط به امن‌سازی شبکه در بستر مجازی‌سازی vSphere می‌پردازیم و بهترین تجربه‌های امنیتی را در این زمینه شرح می‌دهیم.
امن‌سازی سوئیچ‌های مجازی استاندارد
ترافیک سوئیچ مجازی استاندارد را می‌توان در مقابل حملات لایه 2 امن کرد. برای این کار می‌توان با استفاده از تنظیمات امنیتی سوئیچ‌ها، برخی از حالت‌های آدرس MAC را محدود کرد. هر آداپتور شبکه ماشین مجازی یک آدرس MAC اولیه و یک آدرس MAC مؤثر دارد.
• آدرس MAC اولیه: آدرس MAC اولیه زمانی که آداپتور ایجاد می‌شود به آن تخصیص داده می‌شود. اگر چه آدرس MAC اولیه را می‌توان از خارج سیستم‌عامل مهمان دوباره پیکربندی کرد، اما نمی‌تواند توسط سیستم‌عامل مهمان تغییر کند.
• آدرس MAC مؤثر: هر آداپتور یک آدرس MAC مؤثر دارد که ترافیک ورودی شبکه که مقصد آن یک آدرس MAC متفاوت با آدرس MAC مؤثر است، را فیلتر می‌کند. سیستم‌عامل مهمان مسئول تنظیم آدرس MAC مؤثر است و معمولاً آدرس MAC مؤثر را به آدرس MAC اولیه منطبق می‌کند.
در ابتدای ایجاد یک آداپتور شبکه ماشین مجازی، آدرس MAC مؤثر و آدرس MAC اولیه یکسان هستند. سیستم‌عامل مهمان می‌تواند در هر زمان دلخواه آدرس MAC مؤثر را به مقدار دلخواه تغییر دهد. اگر یک سیستم‌عامل آدرس MAC مؤثر را تغییر دهد، آداپتور شبکه آن سیستم ترافیکی که به مقصد آدرس MAC جدید است را دریافت می‌کند.

دانلود مستند

#NX-OS جدیدترین سیستم‌عامل شرکت سیسکو برای تجهیزات جدید این شرکت است. شرکت سیسکو برای برخی از تجهیزات مخابراتی خود همچون سوئیچ‌ها و مسیریاب‌ها سیستم‌عامل اختصاصی طراحی کرده است تا مدیر شبکه به راحتی بتواند آن‌ها را پیکربندی و آماده استفاده کند. در تجهیزات فیزیکی، سیستم‌عامل در نقش یک رابط نرم، کار پیکربندی سخت‌افزاری را راحت‌تر می‌کند. افرادی که با چنین تجهیزاتی سروکار دارند قطعاً بایستی با این سیستم‌عامل آشنایی داشته باشند تا بتوانند مسیریاب یا سوئیچ و سایر سخت‌افزارها را به درستی پیکربندی و راه‌اندازی کنند.
NX-OS بر مبنای لینوکس توسعه داده شده است و به صورت لایه میانی می‌تواند با سایر سیستم‌عامل‌های این شرکت نیز ارتباط برقرار کند. خط فرمان این سیستم‌عامل همانند سیستم‌عامل قبلی این شرکت یعنی IOS است. از ویژگی‌های کلیدی این سیستم‌عامل قدرتمند می‌توان به sysmgr یا مدیریریت سیستم، PSS یا سرویس ذخیره مداوم داده‌ها و MTS یا سرویس تبادل پیام و تراکنش‌ها اشاره کرد.
اما یکی از سؤالاتی که مطرح می‌شود این است که تفاوت این سیستم‌عامل با سیستم‌عامل قدیمی‌سیسکو یعنی IOS چیست؟ NX-OS از دستور Login برای سوئیچ بین کاربران پشتیبانی نمی‌کند، بین لیست دسترسی استاندارد و توسعه‌یافته تفاوتی قائل نمی‌شود، از سرویس‌دهنده scp پایین‌تر از نسخه ۵٫۱ پشتیبانی نمی‌کند، به جای دستور write از copy استفاده می‌کند، وقتی کاربری به NX-OS دسترسی پیدا می‌کند به صورت مستقیم به سطح دسترسی تنظیم می‌شود، و در نهایت سرویس‌دهنده SSH به صورت پیش‌فرض فعال ولی Telnet غیر‌فعال است.
این سند به شما کمک می‌کند تا دستگاه‌های سیستم‌های نرم افزاری NX-OS سیسکو خود را امن‌ کنید. این کار باعث افزایش امنیت کلی شبکه شما می‌شود. این سند در سه واحد طبقه‌بندی شده است که می‌توان با دسته‌بندی آن‌ها یک مرور کلی روی تمام خصوصیات امنیتی موجود در NX-OS سیسکو داشت. سه واحد عملیاتی یک شبکه عبارتند از: واحد مدیریت، واحد کنترل و واحد داده.

دانلود مستند

مجموعه نرم‌افزار شرکت مایکروسافت به نام #System_Center شامل مجموعه‌ای از قابلیت‌ها است که به مدیر شبکه در راستای مدیریت متمرکز و بهینه‌سازی کاربران و منابع شبکه کمک می‌کند. مهم‌ترین هدف از ارائه این ابزار‌ها، مدیریت متمرکز شبکه‌های رایانه‌ای سازمان است. با استفاده از این سرویس‌ها می‌توان مدیریت کاملاً متمرکز و قابل انعطافی را بر روی ساختار سیستم‌عامل‌ها و امنیت داشت. هم‌چنین با استفاده از این سرویس‌ها می‌توان مرکز داده را به صورت کامل مدیریت و نگهداری کرد. به دلیل اهمیت و کاربرد گسترده این مجموعه نرم‌افزاری در سازمان‌ها، در بخش‌های مختلف این گزارش به معرفی این مجموعه پرداخته و راهنمای نصب و پیکربندی محصولات مختلف آن بیان می‌شوند.

دانلود مستند

#ArcSight_Enterprise_Security_Management یک راه‌حل نرم‌افزاری جامع است که نظارت بر رویدادهای امنیتی سنتی را با هوش شبکه‌ای ، همبسته‌سازی محتوایی ، تشخیص ناهنجاری، ابزارهای تحلیل تاریخچه‌ای ، و اصلاح خودکار ترکیب کرده است. #ArcSight_ESM همچنین یک راه‌حل چندسطحی است که ابزارهایی را برای تحلیل‌گران امنیت شبکه، مدیران سیستم و کاربران تجاری ارائه کرده است. HPE ArcSight ESM هر رویدادی که در سراسر سازمان رخ می‌دهد (ورود، خروج، دسترسی به فایل، پرس‌وجو از پایگاه‌داده) را برای اولویت‌دهی دقیق از خطرات امنیتی و نقض انطباق، تحلیل و همبسته می‌کند. این سامانه همچنین یک راهبرد پیشرو در بازار برای جمع‌آوری، همکاری و گزارش‌دادن در مورد اطلاعات رویدادهای امنیتی است.

دانلود مستند

VMware یکی از مشهورترین شرکت‌هایی است که در زمینه مجازی‌سازی به‌صورت گسترده فعالیت دارد، VMware ESXi مشهورترین محصول این شرکت در این زمینه است. #VMware_ESXi یک ابرناظر نوع 1 است که برای استقرار و خدمت‌رسانی رایانه‌های مجازی ارائه شده‌است و بارزترین مشخصه آن نصب به صورت مستقیم بر روی سخت‌افزار است که دیگر نیازی به یک سیستم‌عامل رابط نمی‌باشد، و در سرعت کارکرد سیستم بسیار مؤثر است. همانند تمامی محصولات نرم‌افزاری و سیستم‌عامل‌ها، زمانی‌که #ESXi با تنظیمات پیش‌فرض نصب می‌شود بسیاری از موارد امنیتی در نظر گرفته نمی‌شوند. از سوی دیگر امنیت میزبان‌های ESXi یکی از مهم‌ترین موارد امن‌سازی محیط مجازی است. اگر میزبان‌های مجازی امن نباشند، امن‌کردن سیستم‌عامل مهمان که از این میزبان‌ها استفاده می‌کنند، غیرممکن است. بنابراین به‌منظور اطمینان از صحت استقرار محیط vSphere و افزایش امنیت ESXi باید از بهترین تجربیات امنیتی ESXi پیروی کنید. در بخش‌های مختلف این گزارش بهترین تجربه‌های امنیتی ابرناظر ESXi نسخه‌ی 6.5 شرح داده می‌شود.

دانلود مستند