فا

‫ اخبار

رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

مشاهده و رصد فضای سایبری در زمینه #‫باج_افزار، از شروع فعالیت نمونه‌ جدیدی به نام AnimusLocker خبر می‌دهد.بررسی­ ها نشان می­دهد که فعالیت این باج­ افزار در اواخر ماه ژوئن سال 2018 میلادی شروع شده و به نظر می­رسد تمرکز آن بیشتر بر روی کاربران انگلیسی زبان می­باشد. این باج‌افزار از الگوریتم رمزنگاری AES256 بیتی برای رمزگذاری استفاده می‌کند و به جز فایل‌هایی با پسوندهای مشخص که در ادامه به آن‌ها اشاره خواهیم نمود، بقیه فایل‌ها را رمزگذاری می‌کند

دانلود پیوست

31 شهریور 1397 برچسب‌ها: گزارشات تحلیلی
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

مشاهده و رصد فضای سایبری در زمینه #‫باج_افزار، از شروع فعالیت نمونه‌ جدیدی به نام Horsukeخبر می‌دهد. این باج‌افزار که از خانواده باج‌افزار Scarabمی باشد به نام Scarab-Horsiaنیز شناخته می شود و پس از رمزگذاری فایل‌ها پسوند.horsuke@nuke.africaرا به انتهای فایل‌های رمزگذاری شده اضافه می‌کند. بررسی­ها نشان می­دهد که فعالیت این باج­ افزار در ماه می سال 2018 میلادی شروع شده و به نظر می­رسد تمرکز آن بیشتر بر روی کاربران انگلیسی زبان می­باشد. این باج‌افزار از الگوریتم رمزنگاری AESاستفاده می‌کندو از طریق هرزنامه و سرویس دسترسی از راه دور(RDP) وارد سیستم قربانی می‌شود.

دانلود پیوست

31 شهریور 1397 برچسب‌ها: گزارشات تحلیلی
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

مشاهده و رصد فضای سایبری در زمینه #‫باج_افزار، از شروع فعالیت نمونه‌ جدیدی از خانواده‌ی باج‌افزار LanRan v2خبر می‌دهد. این باج‌افزار نسخه جدیدی از باج‌افزار LanRanمی باشد که از ترکیب دو باج‌افزار LanRanو njRatبدست آمده است. هر دوی این باج‌افزارها از خانواده HiddenTearمی باشند. باج‌افزار مورد اشاره پس از رمزگذاری فایل‌ها پسوند.LanRan2.0.5را به انتهای فایل‌های رمزگذاری شده اضافه می‌کند. بررسی­ها نشان می­دهد که فعالیت این باج­ افزار در اوایل ماه جولای سال 2018 میلادی شروع شده و به نظر می­رسد تمرکز آن بیشتر بر روی کاربران انگلیسی زبان می­باشد. این باج‌افزار از الگوریتم رمزنگاری AESاستفاده میکند.

دانلود پیوست

31 شهریور 1397 برچسب‌ها: گزارشات تحلیلی
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

مشاهده و رصد فضای سایبری در زمینه #‫باج_افزار، از ادامه فعالیت باج‌افزار Dharmaحکایت دارد. این باج‌افزار که یکی از شایع‌ترین باج‌افزارهای سطح کشور است، تاکنون به چندین پسوند مختلف منتشر شده است و قربانیان زیادی را مجبور به پرداخت باج کرده است که دلیل آن غیرقابل رمزگشایی بودن فایل‌ها پس از رمزگذاری توسط این باج‌افزار است.در این گزارش به نمونه جدیدی از این باج‌افزار و با پسوند جدید می‌پردازیم.

دانلود پیوست

31 شهریور 1397 برچسب‌ها: گزارشات تحلیلی
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

رصد فضای سایبری در حوزه باج‌افزار، از ظهور نسخه جدید #‫باج_افزار Shrug2خبر می­دهد. فعالیت این نسخه از باج‌افزار در اواسط ماه ژوئیه سال 2018 میلادی مشاهده شده است. مشاهدات حاکی از آن است که باج افزار پس از نفوذ به سیستم قربانی و اتمام فرایند رمزگذاری فایل­ها، به انتهای آن­ها پسوند SHRUG2 را اضافه می­کند و پیغام باج‌خواهی را به صورت یک پنجره که قابلیت بسته شدن ندارد، بر روی دسکتاپ قربانی قرار می‌دهد. نکته­ ای که در خصوص این باج افزار وجود دارد این است که الگوریتم رمزنگاری این باج افزار AESمی‌باشد و این باج‌افزار پس از اتصال به اینترنت فعال می‌شود.

دانلود پیوست

31 شهریور 1397 برچسب‌ها: گزارشات تحلیلی
DeepLocker بدافزار اثبات مفهوم مبتنی بر هوش مصنوعی

به تازگی محققین امنیتی و هوش مصنوعی شرکت IBMیک بدافزار اثبات مفهوم را توسعه داده ­اند. این بدافزار #‫DeepLockerنام دارد. DeepLockerبه خودی خود یک payloadمخرب ندارد. بلکه هدف اصلی آن پنهان ­سازی بدافزار و در امان ماندن آن از آنتی­ ویروس­ها و تحلیل­ گران بدافزار است. این بدافزار یک روش نوین پنهان ­سازی با استفاده از مدل­های هوش مصنوعی ارائه داده است.

هدف اصلی توسعه­ دهندگان این بدافزار حمله و یا تخریب نبوده است. بلکه هدف نشان دادن این قضیه به توسعه دهندگان سیستم های امنیتی بوده است که به زودی بدافزارهایی مبتنی بر هوش مصنوعی گسترش خواهند یافت و مکانیزم ها و ابزارهای موجود توانایی مقابله با آن ها را ندارند. از این رو محققین و شرکت های امنیتی باید به فکر راهکارهای جدیدی برای مقابله با اینگونه بدافزارها باشند.

بدافزار DeepLockerروش پنهان سازی خود را کاملا متفاوت از دیگر بدافزارهای موجود ارائه کرده است. این بدافزار برای پنهان ماندن از دست آنتی ویروس ها و فایروال ها، خود را درون نرم افزارهای سالم نظیر نرم‌افزار ویدئو کنفرانس پنهان سازی می کند. این شیوه قبلا هم توسط بسیاری از بدافزارها استفاده شده است و چیز جدیدی نیست.

نکته متمایزکننده در رابطه با این بدافزار، استفاده از هوش مصنوعی برای فعال­سازی شروط حمله است که مهندسی معکوس آن را به شدت سخت و در مواردی فعلا غیر ممکن کرده است.Payloadمخرب این بدافزار فقط در صورتی قفل­ گشایی خواهد شد که شرایط هدف برقرار شود. این شرایط توسط یک مدل آموزش دیده هوش مصنوعی شبکه عصبی عمیق بررسی می­شود.

مدل هوش مصنوعی تولید شده به صورت عادی عمل خواهد کرد و فقط در صورتی که شروط مورد نظر بر روی سیستم قربانی موجود باشد، فعالیت مخرب را آغاز می­کند. در واقع این شبکه عصبی کلید رمزگشایی قسمت مخرب را تولید می­کند. برای تشخیص هدف، این بدافزار از مشخصه­ های مختلفی استفاده می­کند. نظیر ویژگی­های بصری، صوتی، موقعیت جغرافیایی و ویژگی­ های سطح سیستم.

برای تولید یک مدل هوش مصنوعی نیاز به استفاده از الگوریتم ­های یادگیری ماشین داریم. تفاوت الگوریتم‌های عادی و الگوریتم ­های هوش مصنوعی به این صورت است که به جای تعریف فرمول دقیق و یا شروط دقیق در یک الگوریتم، این الگوریتم ­ها خود الگو موجود در داده ­ها را آموزش می­بینند. برای تولید یک مدل هوش مصنوعی، دو فاز آموزش و تست نیاز است. در فاز آموزش تعدادی نمونه آموزشی که هر کدام دارای یک سری ویژگی هستند به ورودی الگوریتم داده می­شود. همچنین خروجی صحیح هر یک از ورودی ها نیز به آن مدل داده می­شود. مدل به وسیله الگوریتم­ های یادگیری ماشین، نحوه تولید خروجی­ ها از ورودی های داده شده را فرا می­گیرد و مدل را تولید می­کند. سپس می­توان به مدل تولید شده یک داده دیده نشده و تازه تزریق کرد و خروجی احتمالی آن را مشاهده کرد.

به عنوان مثال در مبحث تشخیص بدافزار با استفاده از هوش مصنوعی، یک مدل یادگیری ماشینی به این صورت آموزش داده می­ شود: تعدادی فایل سالم و تعدادی فایل مخرب به عنوان نمونه آموزشی انتخاب می‌شوند. سپس از هر یک از این فایل­ ها تعدادی ویژگی به روش ­های مختلف استخراج می­شود. این ویژگی ­ها به عنوان ورودی به الگوریتم داده شده و خروجی الگوریتم مخرب بودن یا سالم بودن نمونه خواهد بود. پس از اینکه مدل آموزش دیده شد می­توان یک فایل جدید را به مدل داد تا مخرب یا سالم بودن آن را تشخیص دهد.

شبکه عصبی معمولی مجموعه­ ای از گره­ هایی است که لایه به لایه قرار گرفته­ اند و به یکدیگر متصل هستند. هر شبکه یک لایه ورودی و یک لایه خروجی و صفر یا تعداد بیشتری لایه میانی یا مخفی دارد. یال­های متصل­ کننده گره ­ها دارای وزن می ­باشند که این وزن­ ها در مقدار گره­ های سمت چپ ضرب شده و تولید مقدار جدید برای گره سمت راست یال را می­کند. این عملیات تا تولید مقدار برای گره ­های لایه خروجی ادامه پیدا می­کند.

شبکه عصبی عمیق یک شبکه عصبی است که تعداد لایه های درونی آن بسیار زیادتر از یک شبکه عصبی معمولی است. تفاوت این دو نوع شبکه را در شکل زیر مشاهده می­کنید:

در سال­های اخیر استفاده از این نوع شبکه محبوبیت بسیاری پیدا کرده است. طرز کار شبکه به این صورت است که تعداد ویژگی به عنوان ورودی از هر نمونه می­گیرد. همچنین خروجی مورد نظر هم به شبکه تحویل داده می­شود. شبکه با توجه به ورودی ­ها و خروجی­ های متناظر آموزش می­بیند و یک مدل تولید می­کند. از این به بعد با دادن یک ورودی جدید می­توان خروجی احتمالی را از مدل استخراج کرد.

DeepLockerفرآیند فعال­سازی فاز حمله خود را که شامل قفل ­گشایی محتوای مخرب و اجرای آن می‌شود، به وسیله یک مدل آموزش­ دیده شبکه عصبی عمیق انجام می­دهد. این مدل کار تحلیل­گران و آنتی‌ویروس را بسیار سخت می­کند. زیرا به جای استفاده از تعدادی شرط رایج به صورت if-then-elseدر کد خود از یک مدل یادگیری ماشینی استفاده کرده است. مدل مورد نظر تنها تعداد گره و یال وزن­دار است که هیچ دیدی از نحوه عملکرد درونی خود به ما نمی­دهد. پس تحلیل ­گران حتی نمی­توانند به طور کامل متوجه حالت­ هایی شوند که بدافزار در آن فعال خواهد شد.

در واقع برای تحلیل­ گران بدافزار دو چیز مهم است: شرایط وقوع یک حمله سایبری و payloadمخرب آن. DeepLockerهر دوی آن را مورد هدف قرار داده است. شرایط حمله به صورت یک جعبه سیاه در آمده است و payloadنیز در صورت نامعلومی قفل ­گشایی خواهد شد.

  1. پنهان­سازی دسته مورد حمله: چه اشخاصی و یا سازمان­هایی قرار است مورد حمله قرار گیرند.
  2. پنهان­سازی نمونه ­های مورد حمله: مشخص نیست که نمونه مورد نظر چه شخص یا سازمانی خواهد بود.
  3. پنهان­سازی محتوای بدافزار: مشخص نیست که حمله نهایی چگونه شکل خواهد گرفت.

تیم توسعه DeepLocker، برای نشان دادن قابلیت­های منحصر به فرد این بدافزار از بدافزار معروف WannaCryبه عنوان payloadبدافزار استفاده کرده ­اند و آن را درون یک نرم­افزار ویدئو­کنفرانس سالم جای داده­اند. شرایط حمله نیز تشخیص چهره فرد مورد نظر است. یعنی فقط در صورتی که فرد مورد نظر در ویدئو­کنفرانس ظاهر شود کامپیوتر آن مورد حمله قرار می­گیرد.

در نهایت هدف تیم تحقیقاتی امنیتی IBMنه تولید یک بدافزار مخرب بلکه موارد زیر بوده است:

  • بالا بردن آگاهی از تهدیدات هوش مصنوعی در بدافزار و اینکه این روش ها به سرعت در بین بدافزارنویسان محبوب خواهند شد.
  • نشان دادن اینکه چگونه این روش ها می تواند سیستم های دفاعی امروزه را دور بزند.
  • ارائه بینش در مورد چگونگی کاهش خطرات و اعمال اقدامات مناسب کافی
27 شهریور 1397 برچسب‌ها: اخبار
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

در سال­ های اخیر به خصوص سال 2018، مجرمین قابلیت انتقال و استخراج #‫پول_الکترونیکی یا همان miningرا به عنوان مولفه­ ی جدید به فایل­ های مخرب خود اضافه کرده ­اند. Crypto miningروندی است که در طی آن تراکنش­های bitcoin و یا دیگر پول­های الکترونیکی نظیر Monero انجام، تایید و بررسی می­شوند. از این طریق مقداری پاداش به انجام دهنده تراکنش اعطا می­شود. هر شخصی با دسترسی به اینترنت و منابع سخت ­افزاری لازم قادر به شرکت در این فرایند است.

بدافزارهای همراه با cryptocurrency در انواع و اشکال مختلف وجود دارند. #‫باج_افزار ها، بدافزارهای mining، و cryptojacker­ها انواع مختلف آن هستند که نشان می­دهند خطر ایجاد شده توسط آن­ها روز به روز در حال افزایش است. هر سه نوع نام برده شده ارتباط نزدیکی با cryptocurrency دارند، که در مقایسه با انواع دیگر، وجه مزیت گمنامی را فراهم می‌کند. این پیشرفت در ارتباط بدافزارها با cryptocurrencyقابل درک است. افزایش قابل توجه ارزش بسیاری از cryptocurrency ­ها باعث شده است که cryptominingدر مقایسه با باج ­افزارها سودآوری بالاتری برای مجرمان سایبری داشته باشد، زیرا در برابر باج ­افزارها بسیاری از کاربران مبلغی پرداخت نمی­کنند، بلکه با استفاده از backupفایل ­های خود را بازیابی می­کنند. در نتیجه آلوده کردن سیستم به باج ­افزار تضمینی برای دریافت پول نیست، در حالی که minerبلافاصله بعد از نصب شروع به کار می­کند و با استفاده از امکانات سخت­ افزاری سیستم کاربر به تولید درآمد برای مجرم سایبری می­پردازد. درحالی­که باج افزارها همچنان خطر مهمی تلقی می­ شوند، اما حملات بدافزار cryptomininig بسیار شایع­تر از باج افزارها می­باشد.

در ادامه، روند تولید بدافزارهای cryptomining خانواده دیگری از این بدافزارها به تازگی منتشر شده است که تشابه زیادی با بدافزار massminerکه چند ماه پیش کشف شد دارد. این بدافزار به دلیل ابزاری که برای نشاندن قسمت اولیه بدافزار استفاده می­شود و ZobmieBoyTools نام دارد، ZombieBoy نامیده شده است.

دانلود پیوست

27 شهریور 1397 برچسب‌ها: گزارشات تحلیلی
6 به روز رسانی مهم امنیتی ادوبی

کمپانی #‫ادوبی در ماه سپتامبر 2018 به روز رسانی های مهمی را منتشر کرده است که 6 آسیب پذیری خطرناک در محصولات خود را رفع می کند. این به روز رسانی ها بیشتر بر روی محصولات Flash Player و ColdFusion این کمپانی متمرکز می باشد. این آسیب پذیری ها که از نوع Remote Execute Command بر روی سرورهای آسیب پذیر ColdFusion می باشد، امکان نفوذ و اعمال تغییرات بر روی سرورهای آسیب پذیر را برای نفوذگران فراهم می آورد. توصیه اکید به کاربران استفاده کننده از دو محصول فوق این است که حتما نرم افزارهای خود را به روز رسانی کنند.
به روز رسانی شماره APSB18-31 برای محصول Flash Player این کمپانی بر روی پلتفورم های ویندوزی، macOS، لینوکس و ChromeOS می باشد. نسخه آسیب پذیر به شماره 30.0.0.154 می باشد که این آسیب پذیری توسط تیم Security Response Center کمپانی مایکروسافت گزارش شده است و پس از به روز رسانی، نسخه آن به شماره 31.0.0.108 ارتقا خواهد یافت. در جدول زیر اطلاعات و شماره شناسایی این آسیب پذیری را مشاهده می نمایید:

به روز رسانی شماره APSB18-33 که برای محصول ColdFusion 2018 and 2016 ارائه شده است که 11 آسیب پذیری را شامل می شود. در این میان، 5 آسیب پذیری به نفوذگر این اجازه را می دهد که از راه دور بر روی سرور کدهای مخرب را اجرا کند و باقی آسیب پذیری ها مربوط به بازنویسی بر روی فایلهای موجود در سرور می باشد. البته هنوز اطلاعاتی در مورد اینکه آیا هکرها از این آسیب پذیری ها استفاده کرده اند در دسترس نمی باشد. توصیه کمپانی ادوبی برای مدیران سرورهای ColdFusion که به روز رسانی های لازم را انجام نداده اند این اس که سیستم خود را Lockdown کنند. در جدول زیر توضیحات آسیب پذیری های منتشر شده، همراه با شماره شناسایی آنها را مشاهده می نمائید:

27 شهریور 1397 برچسب‌ها: اخبار
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

مشاهده و رصد فضای سایبری در زمینه #‫باج_افزار، از شروع فعالیت نمونه‌ جدیدی از خانواده‌ی HiddenTear به نام PooleZoor خبر می‌دهد. بررسی ها نشان می دهد که فعالیت این باج افزار در اوایل ماه آگوست سال 2018 میلادی شروع شده و به نظر می رسد تمرکز آن بیشتر بر روی کاربران ایرانی می باشد. این باج‌افزار از الگوریتم رمزنگاری AES در حالت CBC - 256 بیتی برای رمزگذاری استفاده می‌کند و تنها فایل‌هایی با پسوندهای مشخص که بر روی Desktop سیستم قربانیان موجود هستند را رمزگذاری می‌کند. باج افزار مورد اشاره پس از رمزگذاری فایل‌ها، پسوند آن‌ها را به ".PooleZoor" تغییر می‌دهد و از قربانیان تقاضای پرداخت مبلغ یک میلیون تومان به عنوان باج می‌کند که طبق گفته‌ی مهاجمان این مبلغ صرف امور خیریه خواهد شد. از آنجایی که با یک نسخه آفلاین از پروژه متن باز HiddenTear طرف هستیم و با توجه به تشابهات موجود در کد باج‌افزار با نسخه اصلی آن، به نظر می‌رسد مهاجمین صرفاً با اعمال تغییرات اندک در کد منبع این باج‌افزار نسبت به انتشار آن اقدام نموده اند. لذا با توجه به نقایص ذاتی موجود در پروژه HiddenTear ، فایل‌های رمزگذاری شده توسط این باج‌افزار براحتی قابل رمزگشایی می‌باشند.

دانلود پیوست

25 شهریور 1397 برچسب‌ها: گزارشات تحلیلی
صفحات: 1 2 3 »