مطالب پربازدید

1404/02/21 - 07:21- تروریسم سایبری

پیشنهاد رئیس سابق اداره ملی سایبری رژیم صهیونیستی درمورد ایران

رئیس سابق اداره سایبری ملی رژیم صهیونیستی گفت که این رژیم باید یک پیمان دفاع سایبری علیه ایران تشکیل دهد.

1404/01/16 - 14:04- جرم سایبری

حمله سایبری آژانس‌های اطلاعاتی آمریکا علیه کاربران موبایل

یک گزارش منتشرشده توسط یک ائتلاف صنعتی چینی، فعالیت‌های نظارتی و سرقت داده‌ای آژانس‌های اطلاعاتی آمریکا را که کاربران جهانی تلفن‌های هوشمند و سامانه‌های ارتباطی را هدف قرار می‌دهد، افشا کرد.

1404/01/26 - 08:33- آمریکا

برگزاری رزمایش پاسخ هماهنگ به حمله سایبری توسط اعضای ناتو

متحدان ناتو در یک رزمایش در ماه آوریل سال جاری، پاسخ هماهنگ به حمله سایبری را تمرین کردند.

کامیار عزیزی

انتشار شده در تاریخ 1403/11/03 - 08:19

یک خطای کوچک در دی ان اس، پلی به سمت حملات گسترده سایبری

چندی پیش، تیم اطلاعات تهدید اینفوبلاکس، یک بات‌نت را کشف کرد که از طریق کمپین‌های اسپم و با استفاده از دامنه‌های جعلی ارسال‌کننده، به توزیع بدافزار مشغول بود.

به گزارش کارگروه امنیت خبرگزاری سایبربان، این روش با جعل ایمیل‌هایی که پیش‌تر در گزارش مختل کردن مال‌اسپم (Malspam): استفاده از دامنه های جعلی در هرزنامه های مخرب (Muddling Malspam: The Use of Spoofed Domains in Malicious Spam) مورد بحث قرار گرفته بود، متفاوت است.

در این مورد، مهاجمان از پیکربندی نادرست سوابق دی ان اس (DNS) بهره می‌بردند تا تکنیک‌های حفاظت از ایمیل را دور بزنند.

بات‌نت‌ها، که از دستگاه‌های تحت کنترل مهاجمان تشکیل شده‌اند، تهدیدی مداوم و دشوار برای متوقف کردن هستند.

این بات‌نت از شبکه‌ای جهانی از روترهای میکروتیک (MikroTik) برای ارسال ایمیل‌های مخرب استفاده می‌کند که ظاهراً از دامنه‌های معتبر ارسال شده‌اند.

ایمیل‌های اسپمی که مشاهده شد، حاوی بدافزار تروجان بودند، اما احتمالاً این بات‌نت برای فعالیت‌های مخرب دیگر نیز استفاده می‌شود.

همچنان فعالیت این بات‌نت از طریق دی ان اس ردیابی می‌شود.

پیشینه‌ای از بات‌نت‌ها
بات‌نت‌ها از نخستین روزهای اینترنت وجود داشته‌اند و به مرور زمان پیچیده‌تر شده‌اند.

یک بات‌نت مجموعه‌ای از دستگاه‌های آلوده است که توسط یک مهاجم از راه دور کنترل می‌شوند و اقدامات مخرب گسترده‌ای مانند توزیع اسپم یا حملات منع سرویس توزیع‌شده (DDoS) را انجام می‌دهند.

ماهیت توزیع‌شده بات‌نت‌ها، شناسایی و توقف آنها را دشوار کرده و به مهاجمان کمک می‌کند هویت خود را پنهان کنند.

استفاده‌های رایج از بات‌نت‌های مخرب شامل موارد زیر است:

1.    حملات منع سرویس توزیع‌شده: بات‌نت‌ها می‌توانند با ارسال ترافیک زیاد به شبکه یا سرور هدف، آن را از کار بیندازند.
2.    کمپین‌های اسپم و فیشینگ: مهاجمان می‌توانند حجم زیادی از ایمیل‌های اسپم یا پیام‌های فیشینگ را ارسال کنند.
3.    سرقت اعتبارنامه: بات‌نت‌ها می‌توانند به طور خودکار ترکیبات نام کاربری و رمز عبور را در وب‌سایت‌های مختلف آزمایش کنند.
4.    سرقت داده: دستگاه‌های آلوده می‌توانند اطلاعات شخصی یا مالی را سرقت کنند.
5.    کریپتوجکینگ (سرقت رمزارز): بات‌نت‌ها می‌توانند قدرت پردازش دستگاه‌های آلوده را برای استخراج ارزهای دیجیتال به کار بگیرند.
6.    شبکه‌های پروکسی: دستگاه‌های آلوده می‌توانند به‌عنوان پروکسی برای پنهان کردن موقعیت واقعی مهاجمان استفاده شوند.
7.    کلیک‌های جعلی: بات‌نت‌ها می‌توانند کلیک‌های جعلی روی تبلیغات آنلاین ایجاد کنند.

یک فاکتور غیرمنتظره
یک سری تحقیقات با کشف یک کمپین اسپم در اواخر نوامبر آغاز شد.

ایمیل‌های این کمپین حاوی اطلاعاتی درباره فاکتورهای حمل و نقل بودند و یک فایل فشرده زیپ (ZIP) مخرب ضمیمه داشتند.

این فایل‌ها معمولاً با الگوهایی مثل Invoice (2–3-digit number).zip یا Tracking (2-3-digit number).zip نام‌گذاری می‌شدند.

به نظر می‌رسید مهاجم نقش شرکت حمل‌ونقل دی اچ ال (DHL) را جعل کرده است.

نمونه‌ای از متن این ایمیل‌ها به شرح زیر است:

فاکتور برای پرداخت حمل‌ونقل
شماره فاکتور: 728326122
مشتری گرامی،
ما فاکتور حمل‌ونقل بسته شما را تهیه کرده‌ایم. لطفاً فایل ضمیمه حاوی اطلاعات پرداخت را مشاهده کنید. برای جلوگیری از تأخیر در فرآیند تحویل، لطفاً هر چه سریع‌تر پرداخت را انجام دهید.

با احترام،
شرکت دی اچ ال اکسپرس (DHL Express)

بدافزار تروجان
فایل زیپ ضمیمه حاوی یک فایل جاوا اسکریپت (JavaScript) مبهم‌سازی شده بود که یک اسکریپت پاورشل (PowerShell) را ایجاد و اجرا می‌کرد.

این اسکریپت به سرور فرمان و کنترل (C2) در آدرس آی پی 62.133.60[.]137 متصل می‌شد.

این آی پی (IP) به فعالیت‌های مشکوک قبلی مرتبط با روسیه اختصاص داشت.

بات‌نت و دامنه‌های جعلی
با بررسی هدرهای ایمیل‌ها، شبکه‌ای از حدود ۱۳ هزار دستگاه میکروتیک آلوده و ۲۰ هزار دامنه جعلی شناسایی شدند.

مهاجمان از آسیب‌پذیری‌های بحرانی موجود در روترهای میکروتیک استفاده کرده و دستگاه‌ها را به پروکسی‌های ساکس 4 (SOCKS4) تبدیل کرده بودند.

این پیکربندی نه‌تنها به مهاجمان اجازه می‌دهد موقعیت واقعی خود را پنهان کنند، بلکه امکان استفاده از دستگاه‌های آلوده برای دیگر عوامل مخرب را نیز فراهم می‌کند.

نقش دی ان اس در این حمله
مهاجمان از خطاهای پیکربندی سوابق اس پی اف (SPF) در دی ان اس استفاده کردند.

سوابق اس پی اف برای تأیید سرورهای مجاز برای ارسال ایمیل از دامنه‌ها به کار می‌روند، اما در این حمله، این سوابق به‌گونه‌ای پیکربندی شده بودند که هر سروری می‌توانست به‌جای دامنه اصلی، ایمیل ارسال کند.

برای مثال، یک رکورد (سابقه) اس پی اف صحیح به شکل زیر است:

v=spf1 include:example.com -all

اما در این حمله، سوابق اشتباه به شکل زیر پیکربندی شده بودند:

v=spf1 include:example.com +all

نتیجه‌گیری
تحقیقات نشان داد که این بات‌نت ۱۳ هزار دستگاه میکروتیک و ۲۰ هزار دامنه جعلی را شامل می‌شود.

مهاجمان از سوءاستفاده از پروکسی‌های ساکس 4 و پیکربندی اشتباه سوابق دی ان اس استفاده کردند تا شناسایی و توقف حملات را پیچیده‌تر کنند.

این یافته‌ها تأکید می‌کنند که پیکربندی صحیح دی ان اس و ارزیابی منظم تنظیمات امنیتی برای جلوگیری از چنین تهدیداتی بسیار حیاتی است.