مطالب پربازدید

1403/12/06 - 20:15- تروریسم سایبری

ادعای مؤسسه صهیونیستی آلما درباره واحد ۳۰۰ سازمان جنگ الکترونیک؛ پروپاگاندایی برای توجیه تجاوزات سایبری رژیم

مؤسسه تحقیقاتی اسرائیلی آلما در مقاله‌ای ادعا کرد که برخی یگان‌های ایران از جمله واحد 300 درگیر کمک‌های نظامی برای احیای حزب‌الله هستند.

1403/12/23 - 15:23- ایران

مقاله اندیشکده هندی درباره گروه هکری سایبر اونجرز

سایت هندی متخصص در زمینه سایبر به نام «TheSecMaster» مقاله‌ای جدید درمورد گروه هکری انتقام‌جویان سایبری منتشر کرد.

1403/11/17 - 09:27- تروریسم سایبری

یک اندیشکده آمریکایی حملات سایبری منتسب به ایران را اغراق‌آمیز توصیف کرد

اندیشکده FDD ادعا کرد که ایران اغلب یک بازیگر سایبری درجه دوم است که هکرهای آن به طور مرتب از عملیات‌های نفوذ فقط برای تحریک و ایجاد وحشت استفاده می‌کنند.

انتشار شده در تاریخ 1392/08/26 - 17:28

درپشتی Linux.Fokirtor و پنهان‌سازی ارتباطات بدافزار

زمانی که یک نفوذگر موفق به نصب بدافزار خود بر روی رایانه‌ی هدف شد، پنهان نگاه داشتن آن از دید مدیران سامانه و نرم‌افزارهای تشخیص نفوذ، مهمترین گام است.

به گفته‌ی شرکت امنیتی سیمانتک، گروهی از مهاجمان حرفه‌ای، با استفاده از یک در پشتی در لینوکس راهی جدید را برای پنهان ساختن ارتباطات بدافزار خود یافته‌اند.

سیمانتک می‌گوید این بدافزار، که با نام Linux.Fokirtor شناخته شده است، تا کنون تنها در یک سازمان مشاهده شده است؛ یک تامین‌کننده‌ی فضای میزبانی وب که در اردی‌بهشت سال جاری مورد نفوذ قرار گرفته بود. در این حمله، مهاجمان به سامانه‌های مدیریتیِ داخلی دسترسی پیدا کرده بودند و به نظر می‌رسد که هدف آن‌ها دسترسی به اطلاعات مشتریان بوده است.

وبلاگ شرکت سیمانتک اینطور توضیح می‌دهد: «مهاجمان متوجه شدند که محیط هدف به خوبی محافظت شده است. به طور خاص، نفوذگران نیازمند راهی برای جلوگیری از ایجاد ترافیک و یا پرونده‌های نصبی مشکوک، که باعث لو رفتن حمله در بازبینی‌های امنیتی می‌شد، بوده‌اند.»

برای انجام این کار مهاجمان «در پشتی مخفی خود را ایجاد کردند تا در پوسته‌ی امن (SSH) و سایر پردازش‌های کارگزار پنهان شود.»

این در پشتی به مهاجمان امکان می‌داد تا دستورات خود را از راه دور اجرا کنند، بدون اینکه نیاز به باز کردن یک socket شبکه یا تلاش برای اتصال به یک کارگزار کنترل و فرماندهی باشد. در عوض، کد در پشتی به پردازش SSH تزریق شده بود تا ترافیک شبکه را پایش کرده و به دنبال یک رشته کاراکتر خاص بگردد: «:!;.»

زمانی که این کاراکترها یافته شدند، بدافزار باقی مانده‌ی ترافیک را دریافت کرده و فرمان‌های رمزنگاری شده را از آن‌ها استخراج می‌کند. از اینجا به بعد، مهاجمان می‌توانند از طریق SSH یا سایر پروتکل‌ها درخواست اتصال‌های عادی کرده و این رشته کاراکترها را در میان ترافیک عادی وارد کنند تا شناسایی نشوند. و به این صورت فرمان‌ها اجرا می‌شوند.

سیمانتک اضافه می‌کند: «برای اطلاع یافتن از حضور این در پشتی در شبکه‌ی خود، به دنبال ترافیکی بگردید که حاوی رشته‌ی «:!;.» باشد (بدون علامت‌های نقل قول). ترافیکی که دارای این رشته‌ها باشد به طور معمول در SSH وجود ندارد.»

راه دیگر شناسایی این در پشتی، dump کردن پردازش SSHD و گشتن به دنبال رشته‌های زیر است: ([VALUE] می‌تواند هرچه باشد):

key=[VALUE]; dhost=[VALUE]; hbt=3600; sp=[VALUE]; sk=[VALUE] and dip=[VALUE]

سیمانتک در آخر اینگونه هشدار می‌دهد: «با وجود اینکه ما این [در پشتی] را تنها در یک سازمان یافتیم، احتمالاً این تهدید از دید بازرسی‌های امنیتی بسیاری از سازمان‌ها پنهان خواهد ماند. به همین دلیل، ما احتمال می‌دهیم که سازمان‌های بیشتری مورد حمله‌ی آن قرار گرفته‌اند اما از آن بی‌خبر هستند.»