about-3 back-contact back-deep eitaa کانال روبیکاخبرگزاری سایبربان
امنیت سیستم عامل
مطالب پربازدید
بازار
1405/02/02 - 13:10- بررسی تخصصی

بازار سیاه فیلترشکن در زمان قطع اینترنت؛ از قیمت‌های میلیونی تا موج گسترده کلاهبرداری

مقاله ای از کارشناس سایبری مهیار خدادادی پیرامون مسئله فیلتر شکن ها در زمان قطعی اینترنت بین المللی

در
1405/02/01 - 15:13- ایران

در غم از دست دادن پدر امت به سوگ نشسته ایم

در غم از دست دادن پدر امت به سوگ نشسته ایم

بزرگ‌ترین
1405/01/10 - 16:13- جنگ سایبری

بزرگ‌ترین حمله سایبری به شرکت‌های نفتی امارات

شرکت های نفتی امارات مورد حمله سایبری گروه هکری نصیر قرار گرفت

انتشار شده در تاریخ

درپشتی Linux.Fokirtor و پنهان‌سازی ارتباطات بدافزار

زمانی که یک نفوذگر موفق به نصب بدافزار خود بر روی رایانه‌ی هدف شد، پنهان نگاه داشتن آن از دید مدیران سامانه و نرم‌افزارهای تشخیص نفوذ، مهمترین گام است.

زمانی که یک نفوذگر موفق به نصب بدافزار خود بر روی رایانه‌ی هدف شد، پنهان نگاه داشتن آن از دید مدیران سامانه و نرم‌افزارهای تشخیص نفوذ، مهمترین گام است.
 

به گفته‌ی شرکت امنیتی سیمانتک، گروهی از مهاجمان حرفه‌ای، با استفاده از یک در پشتی در لینوکس راهی جدید را برای پنهان ساختن ارتباطات بدافزار خود یافته‌اند.
 
سیمانتک می‌گوید این بدافزار، که با نام Linux.Fokirtor شناخته شده است، تا کنون تنها در یک سازمان مشاهده شده است؛ یک تامین‌کننده‌ی فضای میزبانی وب که در اردی‌بهشت سال جاری مورد نفوذ قرار گرفته بود. در این حمله، مهاجمان به سامانه‌های مدیریتیِ داخلی دسترسی پیدا کرده بودند و به نظر می‌رسد که هدف آن‌ها دسترسی به اطلاعات مشتریان بوده است.
 
وبلاگ شرکت سیمانتک اینطور توضیح می‌دهد: «مهاجمان متوجه شدند که محیط هدف به خوبی محافظت شده است. به طور خاص، نفوذگران نیازمند راهی برای جلوگیری از ایجاد ترافیک و یا پرونده‌های نصبی مشکوک، که باعث لو رفتن حمله در بازبینی‌های امنیتی می‌شد، بوده‌اند.»
 
برای انجام این کار مهاجمان «در پشتی مخفی خود را ایجاد کردند تا در پوسته‌ی امن (SSH) و سایر پردازش‌های کارگزار پنهان شود.»
 
این در پشتی به مهاجمان امکان می‌داد تا دستورات خود را از راه دور اجرا کنند، بدون اینکه نیاز به باز کردن یک socket شبکه یا تلاش برای اتصال به یک کارگزار کنترل و فرماندهی باشد. در عوض، کد در پشتی به پردازش SSH تزریق شده بود تا ترافیک شبکه را پایش کرده و به دنبال یک رشته کاراکتر خاص بگردد: «:!;.»
 
زمانی که این کاراکترها یافته شدند، بدافزار باقی مانده‌ی ترافیک را دریافت کرده و فرمان‌های رمزنگاری شده را از آن‌ها استخراج می‌کند. از اینجا به بعد، مهاجمان می‌توانند از طریق SSH یا سایر پروتکل‌ها درخواست اتصال‌های عادی کرده و این رشته کاراکترها را در میان ترافیک عادی وارد کنند تا شناسایی نشوند. و به این صورت فرمان‌ها اجرا می‌شوند.
 
سیمانتک اضافه می‌کند: «برای اطلاع یافتن از حضور این در پشتی در شبکه‌ی خود، به دنبال ترافیکی بگردید که حاوی رشته‌ی «:!;.» باشد (بدون علامت‌های نقل قول). ترافیکی که دارای این رشته‌ها باشد به طور معمول در SSH وجود ندارد.»
 
راه دیگر شناسایی این در پشتی، dump کردن پردازش SSHD و گشتن به دنبال رشته‌های زیر است: ([VALUE] می‌تواند هرچه باشد):
 
key=[VALUE]; dhost=[VALUE]; hbt=3600; sp=[VALUE]; sk=[VALUE] and dip=[VALUE]
 
سیمانتک در آخر اینگونه هشدار می‌دهد: «با وجود اینکه ما این [در پشتی] را تنها در یک سازمان یافتیم، احتمالاً این تهدید از دید بازرسی‌های امنیتی بسیاری از سازمان‌ها پنهان خواهد ماند. به همین دلیل، ما احتمال می‌دهیم که سازمان‌های بیشتری مورد حمله‌ی آن قرار گرفته‌اند اما از آن بی‌خبر هستند.»

موضوع:

تازه ترین ها
بیش
1405/04/01 - 16:36- آسیب پذیری

بیش از ۴ هزار روتر دی‌لینک به بات‌نت AryStinger آلوده شدند

پژوهشگران امنیتی از شناسایی بات‌نت جدیدی با نام AryStinger خبر داده‌اند که با سوءاستفاده از آسیب‌پذیری‌های قدیمی، بیش از ۴ هزار روتر فرسوده دی‌لینک را آلوده کرده است.

در
1405/02/01 - 15:13- ایران

در غم از دست دادن پدر امت به سوگ نشسته ایم

در غم از دست دادن پدر امت به سوگ نشسته ایم

اذعان
1405/01/23 - 16:31- ایران

اذعان رسانه غربی به موفقیت ایران در جنگ رسانه‌ای برابر آمریکا

رسانه های غربی اعتراف کردند ایران در جنگ رسانه ای با استفاده از هوش مصنوعی دست برتر را دارد

مطالب مرتبط

در این بخش مطالبی که از نظر دسته بندی و تگ بندی مرتبط با محتوای جاری می باشند نمایش داده می‌شوند.