مطالب پربازدید

1404/06/26 - 14:35- جنگ سایبری

تمرکز اسرائیل بر «پیجر» و جنگ الکترونیک در نبردهای آینده با ایران

مقامات رژیم صهیونیستی، طراحی عملیات‌های غافلگیر کننده ای همچون عملیات پیجرها برای جنگ آینده با ایران را ضروری می دانند.

1404/07/10 - 08:30- جنگ سایبری

«حملات تخریبی» به کشور۳ برابر شد/ افشای نام «اهداف اصلی» حملات هکرها

بر اساس داده‌های گزارش سالانه گراف، هوش مصنوعی مولد (GenAI) چشم‌انداز تهدیدات ایران را در سال ۱۴۰۳ دگرگون کرد؛ جایی که حملات با LLMJacking، باج‌افزار و فریب‌های پیشرفته، نهادهای دولتی و آموزشی را در کانون هدف قرار دادند.

1404/06/24 - 09:51- جنگ سایبری

نقش سرداران شهید « باقری و سلامی» در برتری قدرت سایبری ایران

رویکرد راهبردی شهیدان باقری و سلامی، نیروهای مسلح ایران را با تدوین دکترین سایبری نوآورانه به یکی از قدرت‌های سایبری تبدیل کرد.

کامیار عزیزی

انتشار شده در تاریخ 1404/07/14 - 15:26

تبدیل سرویس ایکس ری آمازون به سرور فرمان‌ و‌ کنترل مخفی

یک روش پیشرفته کشف شده است که عوامل تهدیدآمیز از سرویس ردیابی توزیع‌شده آمازون وب‌ سرویس سوء‌استفاده کرده و از آن به‌عنوان یک کانال مخفی فرمان‌و‌کنترل استفاده می‌کنند.

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، این امر نمونه‌ای از این است که چگونه زیرساخت‌های مشروع ابری می‌توانند به‌منظور مقاصد مخرب به‌کار گرفته شوند.

سرویس ردیابی توزیع‌شده آمازون (AWS X-Ray) که برای کمک به توسعه‌دهندگان در تحلیل کارایی اپلیکیشن‌ها از طریق ردیابی توزیع‌شده طراحی شده، توسط پژوهشگران «رد تیم» به یک کانال ارتباطی استگانوگرافیک با نام ایکس ری سی2 (XRayC2) تبدیل شده است.

این روش از سیستم «annotation» در ایکس ری که اجازه ذخیره‌سازی داده‌های دلخواه به‌صورت کلید-مقدار را می‌دهد استفاده می‌کند تا فرمان‌ها و داده‌های خروجی را از طریق فراخوانی‌های مشروع API به نقاط انتهایی xray.[region].amazonaws.com منتقل کند.

طبق توضیحات دھیراج، متدولوژی حمله از قابلیت «trace segments» در ایکس ری بهره می‌برد، جایی که بارهای مخرب درون داده‌های ظاهراً بی‌خطر مانیتورینگ جاسازی می‌شوند.

پژوهشگران/مهاجمان از نقاط انتهایی API شامل PutTraceSegments، GetTraceSummaries و BatchGetTraces استفاده می‌کنند تا کانال‌های ارتباطی دوطرفه‌ای برقرار کنند که با ترافیک مشروع ابری به‌خوبی ادغام می‌شوند.

بدافزار حضور خود را با نشانه‌های «beacon» حاوی اطلاعات سیستمی کدگذاری‌شده در annotationها اعلام می‌کند؛ از جمله شناسه‌های نوع سرویس مانند بررسی سلامتی (health_check) و شناسه‌های یگانه نمونه‌ها.

فرستادن فرمان‌ها با payloadهای رمزگذاری‌شده به صورت base64 در annotationهای پیکربندی انجام می‌شود، در حالی که بیرون‌کشیدن نتایج (exfiltration) از طریق فیلدهای execution_result در ساختارهای داده‌ای trace صورت می‌پذیرد.

این تکنیک توانایی‌های فرار از کشف پیشرفته‌ای را نشان می‌دهد زیرا از پیاده‌سازی سفارشی احراز هویت سیگنیچر ورژن 4 سرویس شبکه آمازون (AWS Signature Version 4 (SigV4)) استفاده می‌کند و ترافیک مشروع API آمازون تولید می‌کند که به‌صورت طبیعی در لاگ‌های شبکه استاندارد جای می‌گیرد.

ارتباط مخرب با فواصل beacon تصادفی بین ۳۰ تا ۶۰ ثانیه انجام می‌شود و از امضای HMAC-SHA256 با کلیدهای دسترسی و فرمت canonical request آمازون پیروی می‌کند.

ابزار XRayC2 به مجوزهای سرویس شبکه آمازون کمی نیاز دارد و از سیاستAWSXRayDaemonWriteAccess همراه با مجوزهای سفارشی برای دست‌کاری traces استفاده می‌کند.

این رویکرد نسبت به زیرساخت‌های سنتی فرمان و کنترل سطح حمله را به‌طور قابل‌توجهی کاهش می‌دهد در حالی که با استفاده از سرویس‌های بومی ابری دسترسی ماندگار را حفظ می‌کند.

تشخیص این تکنیک برای تیم‌های امنیتی دشوار است، زیرا ترافیک مخرب شبیه فعالیت‌های معمول پایش کارایی اپلیکیشن به‌نظر می‌رسد.

سازمان‌ها باید نظارت بر الگوهای استفاده از ایکس ری API را تقویت کنند، معیارهای پایه‌ای برای حجم داده‌های annotation در traces ایجاد نمایند و تعاملات غیرمعمول سرویس‌ها در محیط آمازون وب سرویس خود را دقیقاً بررسی کنند تا سوءاستفاده از سرویس‌های مشروع ابری برای ارتباطات مخفی شناسایی شود.