مطالب پربازدید

1404/07/10 - 08:30- جنگ سایبری

«حملات تخریبی» به کشور۳ برابر شد/ افشای نام «اهداف اصلی» حملات هکرها

بر اساس داده‌های گزارش سالانه گراف، هوش مصنوعی مولد (GenAI) چشم‌انداز تهدیدات ایران را در سال ۱۴۰۳ دگرگون کرد؛ جایی که حملات با LLMJacking، باج‌افزار و فریب‌های پیشرفته، نهادهای دولتی و آموزشی را در کانون هدف قرار دادند.

1404/06/26 - 14:35- جنگ سایبری

تمرکز اسرائیل بر «پیجر» و جنگ الکترونیک در نبردهای آینده با ایران

مقامات رژیم صهیونیستی، طراحی عملیات‌های غافلگیر کننده ای همچون عملیات پیجرها برای جنگ آینده با ایران را ضروری می دانند.

1404/08/05 - 14:27- جنگ سایبری

اسرار نظامی و اطلاعات سری پدافند لیزری اسرائیل به دست هکرها افتاد

گروه هکری جبهه پشتیبانی سایبری «الجبهة الإسناد السيبرانية» اعلام کرد که با نفوذ به شرکت نظامی مایا، به اطلاعات محرمانه پدافند پیشرفته لیزری Iron Beam و تعداد زیادی از سلاح‌های پیشرفته اسرائیل دست یافته است.

انتشار شده در تاریخ 1392/08/26 - 17:28

درپشتی Linux.Fokirtor و پنهان‌سازی ارتباطات بدافزار

زمانی که یک نفوذگر موفق به نصب بدافزار خود بر روی رایانه‌ی هدف شد، پنهان نگاه داشتن آن از دید مدیران سامانه و نرم‌افزارهای تشخیص نفوذ، مهمترین گام است.

به گفته‌ی شرکت امنیتی سیمانتک، گروهی از مهاجمان حرفه‌ای، با استفاده از یک در پشتی در لینوکس راهی جدید را برای پنهان ساختن ارتباطات بدافزار خود یافته‌اند.

سیمانتک می‌گوید این بدافزار، که با نام Linux.Fokirtor شناخته شده است، تا کنون تنها در یک سازمان مشاهده شده است؛ یک تامین‌کننده‌ی فضای میزبانی وب که در اردی‌بهشت سال جاری مورد نفوذ قرار گرفته بود. در این حمله، مهاجمان به سامانه‌های مدیریتیِ داخلی دسترسی پیدا کرده بودند و به نظر می‌رسد که هدف آن‌ها دسترسی به اطلاعات مشتریان بوده است.

وبلاگ شرکت سیمانتک اینطور توضیح می‌دهد: «مهاجمان متوجه شدند که محیط هدف به خوبی محافظت شده است. به طور خاص، نفوذگران نیازمند راهی برای جلوگیری از ایجاد ترافیک و یا پرونده‌های نصبی مشکوک، که باعث لو رفتن حمله در بازبینی‌های امنیتی می‌شد، بوده‌اند.»

برای انجام این کار مهاجمان «در پشتی مخفی خود را ایجاد کردند تا در پوسته‌ی امن (SSH) و سایر پردازش‌های کارگزار پنهان شود.»

این در پشتی به مهاجمان امکان می‌داد تا دستورات خود را از راه دور اجرا کنند، بدون اینکه نیاز به باز کردن یک socket شبکه یا تلاش برای اتصال به یک کارگزار کنترل و فرماندهی باشد. در عوض، کد در پشتی به پردازش SSH تزریق شده بود تا ترافیک شبکه را پایش کرده و به دنبال یک رشته کاراکتر خاص بگردد: «:!;.»

زمانی که این کاراکترها یافته شدند، بدافزار باقی مانده‌ی ترافیک را دریافت کرده و فرمان‌های رمزنگاری شده را از آن‌ها استخراج می‌کند. از اینجا به بعد، مهاجمان می‌توانند از طریق SSH یا سایر پروتکل‌ها درخواست اتصال‌های عادی کرده و این رشته کاراکترها را در میان ترافیک عادی وارد کنند تا شناسایی نشوند. و به این صورت فرمان‌ها اجرا می‌شوند.

سیمانتک اضافه می‌کند: «برای اطلاع یافتن از حضور این در پشتی در شبکه‌ی خود، به دنبال ترافیکی بگردید که حاوی رشته‌ی «:!;.» باشد (بدون علامت‌های نقل قول). ترافیکی که دارای این رشته‌ها باشد به طور معمول در SSH وجود ندارد.»

راه دیگر شناسایی این در پشتی، dump کردن پردازش SSHD و گشتن به دنبال رشته‌های زیر است: ([VALUE] می‌تواند هرچه باشد):

key=[VALUE]; dhost=[VALUE]; hbt=3600; sp=[VALUE]; sk=[VALUE] and dip=[VALUE]

سیمانتک در آخر اینگونه هشدار می‌دهد: «با وجود اینکه ما این [در پشتی] را تنها در یک سازمان یافتیم، احتمالاً این تهدید از دید بازرسی‌های امنیتی بسیاری از سازمان‌ها پنهان خواهد ماند. به همین دلیل، ما احتمال می‌دهیم که سازمان‌های بیشتری مورد حمله‌ی آن قرار گرفته‌اند اما از آن بی‌خبر هستند.»