‫ اخبار

بدافزار #‫LockCrypt در تاریخ دهم Agu سال 2018 ایجاد شده است. این بدافزار که از الگوریتم رمزگذاری AES-256 و RSA-2048 استفاده می کند، فایل های کاربر را با پسوندی به شکل زیر رمز می کند. باج افزار LockCrypt در هر پوشه ای که فایل های مربوط به آن را رمز نموده است فایلی با عنوان How To Decode File.hta قرار داده است که در فایل ID مربوط به قربانی و آدرس ایمیلی جهت ارتباط با مهاجم ارائه شده است.

دانلود پیوست

#‫Lazarus سال‌هاست که یک تهدید بزرگ در عرصه #‫APT به شمار می‌رود. این مهاجمان در کنار اهدافی همچون جاسوسی و خرابکاری در فضای سایبری، بانک‌ها و سایر شرکت‌های مالی در سراسر جهان را هدف قرار داده اند. طی چند ماه گذشته، Lazarus با موفقیت توانسته چندین بانک را به خطر انداخته و به تعدادی از تبادلات پول رمزنگاری شده جهانی و شرکت‌های فعال در زمینه مالی نفوذ کند.
آزمایشگاه کسپرسکی با پاسخگویی به این نوع حوادث، کمک فراوانی نموده است. هنگام کشف یک حمله تبادل پول رمزنگاری شده صورت گرفته از سویLazarus ، توسط این آزمایشگاه، محققان GReAT به یک کشف غیرمنتظره دست یافتند. سیستم قربانی توسط یک برنامه تروجانی تبادل پول رمزنگاری شده که از طریق پست الکترونیکی در قالب لینک دانلود به شرکت پیشنهاد گردیده، آلوده شده بود.

دانلود پیوست

امروزه با گسترش فناوری، دیجیتالی و #‫سایبری شدن سیستم‌ها، حملات آن‌ها نیز به همان شکل شده‌اند و بدلیل اینکه بسیاری از سیستم‌ها علاوه برا اطلاعات شخصی یک فرد اطلاعات یک مجموعه از افراد مثلا یک سازمان مهم مالی و یا بانکی را دارند این مسئله اهمیت بیشتری پیدا می‌کند. یکی از این حملات که سیستم‌ها و اطلاعات آن‌ها را تهدید می‌کند، بدفزار‌ها هستند. بدافزار در واقع نرم‌افزاری است که برخلاف یک نرم‌افزار عادی که نیاز ما را برطرف می‌کند، جهت تخریب یا سوءاستفاده از کاربران نوشته شده است. بدافزار ( Malware ) یک اصطلاح جامع و فراگیر است که به هر نرم‌افزاری اطلاق می‌شود که عمداً برای انجام اعمال غیرمجاز و مضر ایجاد شده است

دانلود پیوست

آمارهای منتشر شده از حملات اخیر در دنیا از جمله گزارش شرکت‌ Yahoo مبنی بر افشای حساب‌های کاربری افراد، آمار گسترده حملات بر روی حساب‌های کاربری در Twitter، همچنین سرعت و ابعاد وسیع حملات اخیر باج‌افزارها و نفوذ به شبکه‌های رایانه‌ای و بسیاری دیگر از حوادث اخیر، مدیران را با این حقیقت روبرو نموده است که تشخیص و کاهش تهدیدات یک موضوع کلیدی برای تیم‌های مرکز عملیات امنیت می‌باشد. امنیت سایبری از چالش‌های عمده سازمان‌ها بوده و موجب نگرانی آن‌ها درباره نفوذ به داده و گزینش روش‌های جدید برای امن‌سازی دارایی‌های آسیب‌پذیر و تحلیل و پاسخ‌گویی به حوادث سایبری به‌منظور مقابله با آن‌ها شده است.
یکی از چالش‌هایی که سازمان‌ها با آن روبرو هستند، افزایش حجم تولید داده‌ها (داده‌های کلان) و گسترش خطرات ناشی از حرکت سازمان‌ها به سمت استفاده از فن‌آوری‌های داده‌های بزرگ جهت ذخیره‌سازی و تحلیل داده برای افزایش بینش و آگاهی تیم‌های پاسخ‌گویی به حوادث سایبری است. همچنین مقدار زیادی از داده‌ها از منابع متعدد مانند حسگرها تولید شده و ردپای مهاجمان می‌تواند همچنان ناشناخته باقی بماند. با وجود آن‌که برخی سازمان‌ها در مسیر بهبود تجربه مشتری با نوآوری در محصولات خود قرار گرفته‌اند اما میزان و حجم بالای داده‌های جریان، آن‌ها را از پیمایش کلیه اطلاعات باز می‌‌دارد. راه‌حل‌های موجود و سنتی SIEM قادر به مدیریت تولید حجم بالای داده نیستند و نیاز به تحلیل این داده‌ها با کمترین تأخیر ممکن و همچنین افزایش فشار محاسباتی و پردازش داده، سازمان‌ها را به استفاده از نسل جدید SIEM مبتنی بر معماری کلان داده سوق می‌دهد.
در SIEM‌های نسل جدید مبتنی بر کلان داده معمولا دو رویکرد مطرح می‌شود:
1. استفاده از معماری‌ها و فن‌آوری‌های مقیاس‌پذیر و مبتنی بر جامعه مانند OpenSOC و Apache Metron
2. امکان و استفاده از فن‌آوری‌ها و چارچوب‌هایی که سازمان خود مبادرت به ساخت و ارائه آن‌ها می‌کند، که اصطلاحاً به آنها DIY گفته می‌شود.
با توجه به انفجار اطلاعات، ‌SOCها نیاز به نمایش بی‌درنگ داده‌ها دارند تا قادر به پردازش و تحلیل آن‌ها باشند. در این حالت رویکرد مبتنی بر جامعه براساس‌ فن‌آوری‌های مقیاس‌پذیر به سازمان نه تنها قابلیت مقیاس‌پذیری را افزایش می‌دهد بلکه به سازمان در حل مؤثر معضلات مقابله با حوادث سایبری کمک می‌کند. یادگیری ماشین، خودکارسازی و غنی‎سازی بی‎درنگ کلیه داده‌ها بایستی از مؤلفه‌های کلیدی چنین فن‌آوری‌هایی باشند تا باعث ایجاد یک ساختار مقیاس‌پذیر در پاسخ‌گویی به حملات سایبری مدرن امروزی گردند. در این سناریو سازمان‌ها قادر به تحلیل سریع‌تر تهدیدات، ضبط داده با هزینه کمتر و مقابله آشکار با چالش‌های جدید امنیت سایبری در مقیاس وسیع‌تر خواهند بود. رویکرد دیگر DIY است که سازمان خود اقدام به طراحی و تولید یک برنامه برای تحلیل داده‌ها می‌کند. اما استفاده از محصولات مبتنی بر جامعه که با یکدیگر برای مقابله با حملات همکاری می‌کنند همیشه گزینه بهتری است. یکی از این تلاش‌ها توسط بنیاد آزاد نرم‌افزار آپاچی (ASF) پشتیبانی گردید که بر پایه Apache Metron، چارچوب برنامه کاربردی امنیت سایبری کلان داده ایجاد شد تا امکان مشاهده یکپارچه داده‌های مختلف امنیتی را در مقیاس بزرگ‌تر به‌منظور کمک به SOC‌ها در تشخیص سریع و پاسخ‌گویی به تهدیدات فراهم ‌کند و تلاش دیگر نیز بهره‌گیری از پشته متن باز ELK توسط الستیک می‌باشد.
بنابراین فن‌آوری‌های گذشته به مبارزه با چالش‌های امنیت سایبری امروزی کمکی چندانی نمی‌کنند. از آنجایی که جرایم سایبری از فیشینگ ساده و کلاهبرداری پست‌های الکترونیکی به حلقه‌های اخاذی پیچیده پیشرفت نموده‌اند، بایستی از فن‌آوری‌های متن بازی که رویکرد مبتنی بر جامعه دارند بهره برد. از همه مهم‌تر یک رویکرد مبتنی بر کلان داده از اهمیت اساسی برخوردار است.

دانلود پیوست

حملات و بدافزارها در سال 2017 متمرکز بر #‫باج_افزارها بوده و گسترش روز افزون رمز ارزها و افزایش قیمت آنها منبع جدید تهدیدات امنیتی و غیره منتظره می باشد. سال 2017 بدافزارهای شناسایی شده استخراج رمز ارز رشدی معادل 8500 درصد داشته و پیش بینی می شود یکی از چالش های امنیتی در سال های پیش رو، گسترش صعودی بدافزار های استخراج رمز ارز باشد.

#‫کوین_هایو(Coin Hive)، یک نرم افزار استخراج رمز #‫ارز برپایه جاوا اسکریپت، مبتنی برمرورگر ارائه می دهد. استفاده آسان از کتابخانه های جاوا اسکریپت به صاحبان وب سایت این اجازه را می دهد تا با سوء استفاده از بازدیدکنندگان بتوانند از این روش به کسب درآمد بپردازند.

دانلود پیوست

محققین شرکت Palo Alto حمله بدافزاری را کشف کردند که از #‫آسیب_پذیری روز صفر Adobe Flash ، که با شناسه “CVE-2018-5002” ثبت شده، استفاده می‌کند و بدافزار جدیدی را به نام “chainshot” را نصب می‌کند. اولین بردار حمله، یک فایل مخرب مایکروسافت اکسل است که در صورت باز شدن، شروع به نصب بدافزار می‌کند. اکسپلویت و پیلودهای شل کد درون بدافزار، مبهم سازی شده‌اند.

. اکسپلویت تلاش می‌کند با به دست آوردن مجوزهای خواندن-نوشتن-اجرا را به دست بیاورد و پیلود شل کد را اجرا کند. شل کد، یک فایل DLL به نام “FirstStageDropper” را در حافظه ماشین قربانی بارگذاری می‌کند و دو منبع شامل فایل “SecondStageDropper” و یک شل کد 64 بیتی را درحالت کرنل اجرا می‌کند. بدافزار chainshot، اطلاعات فرآیند و کاربر سیستم را به صورت رمز شده به سرور مهاجم ارسال می‌کند. فایل SecondStageDropper.dll به صورت یک دانلود کننده برای پیلود نهایی استفاده می‌کند که اطلاعات متفاوتی را از سیستم قربانی جمع‌آوری می‌کند و آن را به صورت رمز شده را به مهاجم ارسال می‌کند.
این محققین موفق شدند با کرک کلید 512 بیتی RSA استفاده شده برای رمزگذاری در این حمله، به پیلودها و اکسپلویت این بدافزار دست پیدا کنند. در ادامه این گزارش، ابتدا نحوه اجرای حمله توضیح داده می‌شود تا علت نیاز به کلید 512 بیتی RSA درک شود و سپس نحوه کرک کلید 512 بیتی و کشف بدافزار بیان می‌شود

دانلود پیوست

مشاهده و رصد فضای سایبری در زمینه #‫باج_افزار، از شروع فعالیت نمونه‌ جدیدی از خانواده‌یAurora به نام Desu خبر می‌دهد. بررسی ها نشان می دهد که فعالیت این باج افزار در تاریخ 20 ژوئیه 2018 میلادی شروع شده و به نظر می رسد تمرکز آن بیشتر بر روی کاربران انگلیسی زبان می باشد. این باج‌افزار از الگوریتم رمزنگاری AES 256 بیتی برای رمزگذاری استفاده می‌کند و به جز فایل‌هایی با پسوندهای مشخص که در ادامه به آن‌ها اشاره خواهیم نمود، بقیه فایل‌ها را رمزگذاری می‌کند

دانلود پیوست

مشاهده و رصد فضای سایبری در زمینه #‫باج_افزار، از شروع فعالیت نمونه‌ جدیدی به نام CryptoLite خبر می‌دهد. بررسی ها نشان می دهد که فعالیت این باج افزار در اوایل ماه ژوئیه سال 2018 میلادی شروع شده و به نظر می رسد تمرکز آن بیشتر بر روی کاربران انگلیسی زبان می باشد. این باج‌افزار از الگوریتم رمزنگاری AES برای رمزگذاری فایل‌ها استفاده می‌کند و پس از رمزگذاری، پسوند آن‌ها را به .encrypted تغییر می‌دهد اما طبق بررسی‌های صورت گرفته بر روی این باج‌افزار در حال حاضر قادر به رمزگذاری فایل‌ها نمی‌باشد که احتمال می‌دهیم این در حال توسعه باشد

دانلود پیوست

مشاهده و رصد فضای سایبری در زمینه #‫باج_افزار، از شروع فعالیت نمونه‌ جدیدی از خانواده‌ی Bitpaymer خبر می‌دهد که پس از رمزگذاری فایل‌ها پسوند آن‌ها را به .LOCK تغییر می‌دهد. بررسی ها نشان می دهد که فعالیت این باج افزار در تاریخ 11 ژوئیه سال 2018 میلادی شروع شده و به نظر می رسد تمرکز آن همانند نسخه‌های قبلی باج‌افزار، بر روی کسب و کارها و سازمان‌ها می باشد. طبق بررسی کدمنبع این باج‌افزار از الگوریتم‌های رمزنگاری AES و RSA برای رمزگذاری فایل‌ها استفاده می‌کند و فایل‌هایی با پسوندهای مشخص را رمزگذاری می‌نماید، همچنین برخی از دایرکتوری‌های مختلف از حمله‌ی این باج‌افزار مصون می‌باشند که در ادامه به آن‌ها اشاره خواهیم نمود.

دانلود پیوست

مشاهده و رصد فضای سایبری در زمینه #‫باج_افزار، از شروع فعالیت نمونه‌ جدیدی از خانواده‌ی باج‌افزار QNBQW خبر می‌دهد که پس از رمزگذاری فایل‌ها پسوند آن‌ها را به .armage تغییر می‌دهد و به همین دلیل به نام Armage معرفی شده است. بررسی ها نشان می دهد که فعالیت این باج افزار در تاریخ 23 ژوئیه سال 2018 میلادی شروع شده و به نظر می رسد تمرکز آن بیشتر بر روی کاربران انگلیسی زبان می باشد. این باج‌افزار از الگوریتم‌های رمزنگاری AES 256 بیتی و RSA برای رمزگذاری استفاده می‌کند

دانلود پیوست