مطالب پربازدید

1403/12/06 - 20:15- تروریسم سایبری

ادعای مؤسسه صهیونیستی آلما درباره واحد ۳۰۰ سازمان جنگ الکترونیک؛ پروپاگاندایی برای توجیه تجاوزات سایبری رژیم

مؤسسه تحقیقاتی اسرائیلی آلما در مقاله‌ای ادعا کرد که برخی یگان‌های ایران از جمله واحد 300 درگیر کمک‌های نظامی برای احیای حزب‌الله هستند.

1403/12/23 - 15:23- ایران

مقاله اندیشکده هندی درباره گروه هکری سایبر اونجرز

سایت هندی متخصص در زمینه سایبر به نام «TheSecMaster» مقاله‌ای جدید درمورد گروه هکری انتقام‌جویان سایبری منتشر کرد.

1403/11/17 - 09:27- تروریسم سایبری

یک اندیشکده آمریکایی حملات سایبری منتسب به ایران را اغراق‌آمیز توصیف کرد

اندیشکده FDD ادعا کرد که ایران اغلب یک بازیگر سایبری درجه دوم است که هکرهای آن به طور مرتب از عملیات‌های نفوذ فقط برای تحریک و ایجاد وحشت استفاده می‌کنند.

انتشار شده در تاریخ 1395/02/09 - 16:44

بدافزار پایانه فروش «Multigrain»

به گزارش واحد امنیت سایبربان؛ محققان شرکت فایرآی بدافزاری را شناسایی کرده‌اند که اطلاعات کارت پرداخت را از سامانه‌های پایانه فروش سرقت کرده و از طریق DNS آن‌ها را برای مهاجمان ارسال می‌کند. آن‌ها بر این باور هستند که این تهدید که به نام «Multigrain» نام‌گذاری شده است، نوعی از NewPosThings یک خانواده بدافزاری است که دست‌کم از اکتبر سال ۲۰۱۳ فعال بوده است- باشد.

به گفته فایرآی، مولتی گرین با اهداف سطح بالا و برای حمله به سامانه‌های اجراکننده‌ی فرایندهای خاص PoS (multi.exe) همراه با بسته نرم‌افزاری کارگزار (EDC) طراحی‌شده است. اگر فرایند multi.exe در دستگاه آلوده یافت نشود، این بدافزار خود را از بین می‌برد.

به‌محض اینکه این بدافزار بر روی سامانه قربانی نصب شد، مولتی گرین، یک مقدار درهم‌سازی شده با استفاده از الگوریتم DJB2 بر اساس شماره سریال نام دستگاه و بخشی از آدرس MAC آن محاسبه می‌کند. این مقدار درهم‌سازی بانام رایانه و شماره نسخه باهم ترکیب‌شده و به‌وسیله الگوریتم Base32 خاصی رمزنگاری می‌شوند. آنگاه این داده‌ها توسط یک درخواست DNS از سوی دامنه داخلی به سمت دامنه هدف ارسال می‌شود. سپس این بدافزار شروع به پویش حافظه‎ی فرآیند موردنظر برای پیدا کردن داده‌های رکورد مسیر ۲ کارت پرداخت می‌کند که این مقدار با استفاده از الگوریتم Luhn تأیید می‌شود.

فایرآی مولتی‌گرین را در خانواده بدافزاری NewPosThings دسته‌بندی کرده است زیرا این تهدیدات کدهایی مشابه دارند و داده‌های کارت‌ها را جمع‌آوری کرده و از الگوریتم درهم‌سازی DJB2 برای شناسایی میزبان آلوده استفاده می‌کنند.

هرکدام از رکوردهای مسیر ۲ که از حافظه‌ی فرآیند مورد هدف جمع‌آوری‌شده، با کلید عمومی ۱۰۲۴ بیتی RSA و با استفاده از الگوریتم مبتنی بر Base32 رمزنگاری‌شده و در بافر ذخیره می‌شود. این بدافزار این بافر را هر پنج دقیقه بررسی می‌کند و هر رکوردی را که در آن بیابد با استفاده از درخواست DNS به مهاجم ارسال می‌کند.

مولتی گرین اولین بدافزار پایانه فروش نیست که از DNS برای ارسال داده‌ها استفاده می‌کند، همین شیوه به‌وسیله خانواده‌ بدافزارهای BernhardPOS و FrameworkPOS نیز مورداستفاده قرارگرفته‌ است.

محققان فایرآی در بلاگ پستی خود می‌گویند: «استفاده از DNS برای ارسال داده‌ها، چندین مزیت برای مهاجمان ایجاد می‌کند. محیط‌های حساس که داده‌های کارت‌ها را پردازش می‌کنند، اغلب حساس و محدود هستند و ترافیک FTP و HTTP آن‌ها اغلب کاملاً مسدود می‌شود. درحالی‌که این پروتکل‌های عمومی اینترنتی ممکن است در محیط‌های پردازش کارت سخت‌گیرانه غیرفعال شده باشند، DNS هنوز برای به دست آوردن آدرس مربوط به نام دامنه در درون محیط شرکت‌ها لازم است و بعید است که مسدود شده باشد.»

نمونه بدافزار مولتی‎گرین که به‌وسیله شرکت فایرآی مورد تحلیل قرارگرفته است، به‌صورت دیجیتالی با یک گواهینامه صادرشده به‌وسیله کومودو برای «AMO-K Limited Liability Company» امضاءشده است. این گواهینامه در اکتبر سال ۲۰۱۵ لغو شده است.

تازه ترین ها