ITanalyze

تحلیل وضعیت فناوری اطلاعات در ایران :: Iran IT analysis and news

ITanalyze

تحلیل وضعیت فناوری اطلاعات در ایران :: Iran IT analysis and news

  عبارت مورد جستجو
تحلیل وضعیت فناوری اطلاعات در ایران

ایران 
ادامه »
جهان 
ادامه »
وبلاگ 
ادامه »
کلمات کلیدی 

وزارت ارتباطات

وزیر ارتباطات

کسب و کارهای اینترنتی

رگولاتوری

سازمان تنظیم مقررات و ارتباطات رادیویی

همراه اول

پلیس فتا

شورای عالی فضای مجازی

بانک مرکزی

تلگرام

امنیت سایبری

مجلس شورای اسلامی

فیلترینگ

محمد جواد آذری جهرمی

پول مجازی

شرکت مخابرات ایران

بازار موبایل

فیس‌بوک

شبکه ملی اطلاعات

جنگ سایبری

سازمان فناوری اطلاعات

شبکه های اجتماعی

نسخه الکترونیکی

ایرانسل

زارع پور

گوگل

سازمان امور مالیاتی کشور

سایت دیوار

پیام رسان موبایلی

اینترنت ایران

شناسایی گروه جاسوسی سایبری متخصص در سرقت اسرار تجاری

| چهارشنبه, ۵ شهریور ۱۳۹۹، ۱۱:۲۸ ق.ظ | ۰ نظر

متخصصین ما گروه جاسوسی سایبری را شناسایی کرده‌اند که متخصص سرقت اسرار تجاریست. این گروه –که تا اینجای کار تنها بواسطه‌ی تارگت‌هایش مورد قضاوت قرار گرفته- عمدتاً علاقه دارد به شرکت‌های فین‌تک (یا فناوری مالی)، شرکت‌های حقوقی و مشاورین مالی حمله کند؛ هرچند دست‌کم در یک مورد همچنین به یک نهاد دیپلماتیک نیز حمله شده است. چنین انتخاب تارگتی ممکن است حاکی از این باشد که گروه مذکور با اسم رمز DeathStalker یا به دنبال اطلاعات خاصی برای فروش است یا سرویس «حمله به محض تقاضا[1]» را ارائه می‌دهد. به بیانی دیگر، این گروه، گروهی مزدور است. DeathStalker از سال 2018 (شاید هم زودتر) فعال است (اصلاً احتمال این وجود دارد که از سال 2012 فعال بوده باشد). استفاده از ایمپلنت Powersing آن همان چیزیست که ابتدا توجه متخصصین ما را به خود جلب کرد. در عملیات‌های جدیدتر این گروه نیز متودهای مشابهی به کار گرفته می‌شود.


حمله
اول اینکه، مجرمان با استفاده از فیشینگ هدف‌دار[2] به شبکه قربانی نفوذ می‌کنند و بعد فایل LNK آلوده‌ای را در پوشش یک داکیومنت به کارمند سازمان می‌فرستند. فایل، میانبریست که مفسر خط فرمان سیستم –یعنی cmd.exe- را لانچ نموده و از آن برای اجرای اسکریپت مخرب استفاده می‌کند. به قربانی داکیومنتی بی‌معنی در قالب‌های PDF، DOC یا DOCX نشان داده می‌شود که این توهم را ایجاد می‌کند که انگار فایل طبیعی‌ای را باز کردند. جالب اینجاست که این کد مخرب حاوی آدرس سرور C&C نیست.

در عوض، این برنامه به پستی دسترسی دارد که روی یک پلت‌فرم عمومی نشر داده شده است؛ جایی که رشته کاراکترهایی که در نگاه اول بی‌معنی جلوه می‌کردند خوانده می‌شود. در واقع، این اطلاعات رمزگذاری‌شده‌ایست طراحی‌شده برای فعال کردن مرحله بعدی حمله. این نوع تاکتیک به dead drop resolver معروف است.
مهاجمین در طول مرحله‌ی بعدی، کنترل کامپیوتر را به دست گرفته، میانبر آلوده‌ای را در فولدر اتوران قرار داده (تا اجرا روی سیستم ادامه پیدا کند) و با سرور C&C واقعی کانکشن ایجاد می‌کند. در اصل ایمپلنت Powersing دو کار انجام می‌دهد: به صورت دوره‌ای روی دستگاه قربانی اسکرین‌شات می‌گیرد، آن‌ها را به سرور C&C می‌فرستد و همچنین اسکریپت‌های اضافی Powershell را –دانلودشده از سرور C&C- اجرا می‌کند. به بیانی دیگر، هدفش دسترسی پیدا کردن به دستگاه قربانی برای اجرای ابزارهای اضافی است.


روش‌های فریب مکانیزم‌های امنیتی
این بدافزار در تمامی مراحل از متودهای مختلفی برای دور زدن فناوری‌های امنیتی استفاده می‌کند و انتخاب متودش نیز به هدف مورد نظرش بستگی دارد. علاوه بر اینها، اگر این بدافزار راهکار آنتی‌ویروسی روی دستگاه تارگت شناسایی کند می‌تواند تاکتیک‌های خود را عوض کرده یا حتی خود را غیرفعال کند. متخصصین ما معتقدند مجرمان سایبری هدفشان را بررسی می‌کنند و اسکریپت‌هایشان را به طور خاص برای هر حمله تنظیم می‌نمایند. اما جالب‌ترین تکنیک DeathStalker استفاده از سرویس‌های عمومی به عنوان مکانیزم dead-drop-resolver است. در اصل، این سرویس‌ها اجازه می‌دهند تا اطلاعات رمزگذاری‌شده در آدرسی ثابت ذخیره شوند (در قالب پست‌ها، فرمان‌ها، پروفایل‌های کاربری و توضیح‌های محتوایی که به طور عمومی قابل‌دسترسی‌اند). این پست‌ها می‌توانند ظاهری چنین داشته باشند که در زیر مشاهده می‌کنید: 
 
به طور کلی، این تنها یک ترفند است: مهاجمین به همین طریق سعی می‌کنند آغاز ارتباط با سرور C&C را پنهان نموده و کاری کنند تا از سوی مکانیزم‌های محافظتی اینطور نتیجه‌گیری شود که فردی دارد به وبسایت‌های عمومی دسترسی پیدا می‌کند. متخصصین ما مواردی را شناسایی کردند که در آن‌ها مهاجمین از Google+، Imgur، Reddit، ShockChan، Tumblr، Twitter، YouTube و WordPress برای این منظور استفاده کرده بودند. تازه موارد ذکر شده در فوق فهرست کاملی را از وبسایت‌های استفاده‌شده توسط این مهاجمین تشکیل نمی‌دهد. با این حال، شرکت‌ها بعید است دسترسی به همه‌ی این سرویس‌ها را مسدود کند.


محافظت از شرکت در مقابل DeathStalker
شرح متودها و ابزارهای این گروه تصویر روشنی نشان می‌دهد از اینکه حتی کوچکترین شرکت در چنین دنیای مدرنی می‌تواند با چه تهدیدهایی روبرو شود. البته که این گروه بعید است عامل APT باشد و از هیچ ترفند پیچیده خاصی نیز استفاده نمی‌کند. با این حال استفاده از ابزارهایش در ادامه، دور زدن بسیاری از راهکارهای امنیتی را در پی خواهد داشت. متخصصین ما اقدامات محافظتی زیر را پیشنهاد می‌کنند:
•    توجه ویژه به فرآیندهایی که مفسرین زبان اسکریپت آن‌ها را لانچ می‌کنند (شامل powershell.exe و cscript.exe.). اگر برای انجام امور تجاری خود بدان‌ها نیاز ندارید توصیه می‌کنیم آن‌ها را غیرفعال کنید.
•    حواستان به حملاتی باشد که فایل‌های LNK انجام می‌دهند (با توزیع میان پیام‌های ایمیل).
•    از فناوری‌های محافظتی پیشرفته شامل راهکارهای کلاس EDR استفاده کنید.
به طور خاص، ما راهکاری یکپارچه به مهمات جنگی خود اضافه کرده‌ایم که می‌تواند کل کارکردهای EPP و EDR تحت پوشش خود قرار دهد. 
[1] attack on demand
[2] spear phishing
منبع: کسپرسکی آنلاین  
تنظیم: روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)

  • ۹۹/۰۶/۰۵

نظرات  (۰)

هیچ نظری هنوز ثبت نشده است

ارسال نظر

ارسال نظر آزاد است، اما اگر قبلا در بیان ثبت نام کرده اید می توانید ابتدا وارد شوید.
شما میتوانید از این تگهای html استفاده کنید:
<b> یا <strong>، <em> یا <i>، <u>، <strike> یا <s>، <sup>، <sub>، <blockquote>، <code>، <pre>، <hr>، <br>، <p>، <a href="" title="">، <span style="">، <div align="">
نقل مطالب سایت باذکر منبع مجاز است
قدرت گرفته از بیان