مطالب پربازدید

1404/06/26 - 14:35- جنگ سایبری

تمرکز اسرائیل بر «پیجر» و جنگ الکترونیک در نبردهای آینده با ایران

مقامات رژیم صهیونیستی، طراحی عملیات‌های غافلگیر کننده ای همچون عملیات پیجرها برای جنگ آینده با ایران را ضروری می دانند.

1404/07/10 - 08:30- جنگ سایبری

«حملات تخریبی» به کشور۳ برابر شد/ افشای نام «اهداف اصلی» حملات هکرها

بر اساس داده‌های گزارش سالانه گراف، هوش مصنوعی مولد (GenAI) چشم‌انداز تهدیدات ایران را در سال ۱۴۰۳ دگرگون کرد؛ جایی که حملات با LLMJacking، باج‌افزار و فریب‌های پیشرفته، نهادهای دولتی و آموزشی را در کانون هدف قرار دادند.

1404/06/24 - 09:51- جنگ سایبری

نقش سرداران شهید « باقری و سلامی» در برتری قدرت سایبری ایران

رویکرد راهبردی شهیدان باقری و سلامی، نیروهای مسلح ایران را با تدوین دکترین سایبری نوآورانه به یکی از قدرت‌های سایبری تبدیل کرد.

انتشار شده در تاریخ 1397/09/05 - 10:18

استخراج ارز دیجیتال با استفاده از ابزار های نصب مایکروسافت

سودآوری استخراج ارز های رمزپایه باعث شده است، مجرمان سایبری روش هایی را برای مخفی کردن بدافزار ها و ابزار های غیر قانونی استخراج خود به کار گیرند تا بتوانند به صورت مخفیانه و غیر قابل شناسایی، مدت زمان بیشتری به استخراج بپردازد. کارشناسان امنیتی اخیرا شناسایی کرده اند که بدافزار استخراج Coinminer.Win32.MALXMR.TIAOODAM از ابزار نصب نرم افزار های سیستم عامل ویندوز (Windows Installer) به عنوان پوششی برای مخفی شدن استفاده می کند. بررسی های کارشناسان بیانگر آن است که این بدافزار خود را تحت عنوان فایل نصب کننده‌ نرم ‌افزار معرفی می کند و در سیستم های قربانی اجرا می شود. نصب کننده‌ نرم‌ افزار یک برنامه معتبر است که برای نصب، بروزرسانی و حذف نرم افزار ها به کار می رود. همچنین Windows Installer یکی از کامپوننت های ویندوز می باشد که امکان دور زدن بعضی از فیلتر های امنیتی برای آن فراهم است. این بدافزار از نصب کننده نرم افزار WiX برای بسته بندی استفاده می کند تا امکان خرابکاری های بیشتر برای آن فراهم باشد. پس از نصب، بدافزار استخراج کننده، دانلود و یا ساخته می شود و در مسیر خاصی قرار می گیرد. این مسیر تمام فایل های مورد نیاز برای استخراج را در بر می گیرد که در ادامه به آن اشاره شده است:

bat: یک فایل اسکریپت که شامل لیستی از پردازش های ضد بدافزار (antimalware) در حال اجرا می باشد و برای خاتمه دادن به آن ها به کار می رود.
exe: ابزاری است که برای از حالت فشرده خارج کردن (unzipping tool) فایل icon.ico به کار می رود.
ico: یک فایل فشرده رمزدار بوده که شامل دو ماژول ocx و bin می باشد.

گام بعدی این بدافزار مخفی کردن API ها برای جلوگیری از شناسایی می باشد که بدین منظور کپی هایی از فایل کرنل (kernel file) ntdll.dll و کامپوننت ویندوز یوزر (Windows USER component) user32.dll را در مسیر %AppData%\Roaming\Microsoft\Windows\Template\FileZilla Server\{Random Numbers} ایجاد می کند و سپس استخراج کننده را در مسیر %UserTemp%\[Random Number] قرار می دهد. این بدافزار تزریق کد را از طریق سه پروسس Service Host انجام می دهد و در صورتی که همه پروسس های ایجاد شده توسط بدافزار خاتمه یابد، این سه پروسس اقدام به بارگذاری دوباره بدافزار می کنند. پروسس های Service Host وظیفه اجرای DLL ها جهت استفاده در برنامه ‌های مختلف را بر عهده دارند. بررسی های انجام شده نشان می دهد که این بدافزار توسط هکر های روسی نوشته شده است، زیرا از زبان Cyrillic در نصب کننده نرم افزار استفاده شده است که در حوزه برنامه نویسی بیشتر به روس زبان ها تعلق دارد.