فا

‫ اخبار

صفحات: «« « ... 2 3 4 5 6 ... » »»
نتایج جستجو براساس برچسب: "گزارشات تحلیلی"
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

در سال­ های اخیر به خصوص سال 2018، مجرمین قابلیت انتقال و استخراج #‫پول_الکترونیکی یا همان miningرا به عنوان مولفه­ ی جدید به فایل­ های مخرب خود اضافه کرده ­اند. Crypto miningروندی است که در طی آن تراکنش­های bitcoin و یا دیگر پول­های الکترونیکی نظیر Monero انجام، تایید و بررسی می­شوند. از این طریق مقداری پاداش به انجام دهنده تراکنش اعطا می­شود. هر شخصی با دسترسی به اینترنت و منابع سخت ­افزاری لازم قادر به شرکت در این فرایند است.

بدافزارهای همراه با cryptocurrency در انواع و اشکال مختلف وجود دارند. #‫باج_افزار ها، بدافزارهای mining، و cryptojacker­ها انواع مختلف آن هستند که نشان می­دهند خطر ایجاد شده توسط آن­ها روز به روز در حال افزایش است. هر سه نوع نام برده شده ارتباط نزدیکی با cryptocurrency دارند، که در مقایسه با انواع دیگر، وجه مزیت گمنامی را فراهم می‌کند. این پیشرفت در ارتباط بدافزارها با cryptocurrencyقابل درک است. افزایش قابل توجه ارزش بسیاری از cryptocurrency ­ها باعث شده است که cryptominingدر مقایسه با باج ­افزارها سودآوری بالاتری برای مجرمان سایبری داشته باشد، زیرا در برابر باج ­افزارها بسیاری از کاربران مبلغی پرداخت نمی­کنند، بلکه با استفاده از backupفایل ­های خود را بازیابی می­کنند. در نتیجه آلوده کردن سیستم به باج ­افزار تضمینی برای دریافت پول نیست، در حالی که minerبلافاصله بعد از نصب شروع به کار می­کند و با استفاده از امکانات سخت­ افزاری سیستم کاربر به تولید درآمد برای مجرم سایبری می­پردازد. درحالی­که باج افزارها همچنان خطر مهمی تلقی می­ شوند، اما حملات بدافزار cryptomininig بسیار شایع­تر از باج افزارها می­باشد.

در ادامه، روند تولید بدافزارهای cryptomining خانواده دیگری از این بدافزارها به تازگی منتشر شده است که تشابه زیادی با بدافزار massminerکه چند ماه پیش کشف شد دارد. این بدافزار به دلیل ابزاری که برای نشاندن قسمت اولیه بدافزار استفاده می­شود و ZobmieBoyTools نام دارد، ZombieBoy نامیده شده است.

27 شهریور 1397 برچسب‌ها: گزارشات تحلیلی
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

مشاهده و رصد فضای سایبری در زمینه #‫باج_افزار، از شروع فعالیت نمونه‌ جدیدی از خانواده‌ی HiddenTear به نام PooleZoor خبر می‌دهد. بررسی ها نشان می دهد که فعالیت این باج افزار در اوایل ماه آگوست سال 2018 میلادی شروع شده و به نظر می رسد تمرکز آن بیشتر بر روی کاربران ایرانی می باشد. این باج‌افزار از الگوریتم رمزنگاری AES در حالت CBC - 256 بیتی برای رمزگذاری استفاده می‌کند و تنها فایل‌هایی با پسوندهای مشخص که بر روی Desktop سیستم قربانیان موجود هستند را رمزگذاری می‌کند. باج افزار مورد اشاره پس از رمزگذاری فایل‌ها، پسوند آن‌ها را به ".PooleZoor" تغییر می‌دهد و از قربانیان تقاضای پرداخت مبلغ یک میلیون تومان به عنوان باج می‌کند که طبق گفته‌ی مهاجمان این مبلغ صرف امور خیریه خواهد شد. از آنجایی که با یک نسخه آفلاین از پروژه متن باز HiddenTear طرف هستیم و با توجه به تشابهات موجود در کد باج‌افزار با نسخه اصلی آن، به نظر می‌رسد مهاجمین صرفاً با اعمال تغییرات اندک در کد منبع این باج‌افزار نسبت به انتشار آن اقدام نموده اند. لذا با توجه به نقایص ذاتی موجود در پروژه HiddenTear ، فایل‌های رمزگذاری شده توسط این باج‌افزار براحتی قابل رمزگشایی می‌باشند.

دانلود پیوست

25 شهریور 1397 برچسب‌ها: گزارشات تحلیلی
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

مشاهده و رصد فضای سایبری در زمینه #‫باج_افزار، از شروع فعالیت نمونه‌ جدیدی به نام PDB Fake خبر می‌دهد. بررسی ها نشان می دهد که فعالیت این باج افزار در تاریخ 31 ماه ژوئیه سال 2018 میلادی شروع شده است و طبق تحقیقات صورت گرفته برخی از آنتی‌ویروس‌های معتبر آن را از خانواده باج‌افزار Razy تشخیص داده‌اند. طبق مشاهدات انجام شده این باج‌افزار در حال حاضر قادر به رمزگذاری فایل‌ها نمی‌باشد و طبق بررسی‌های صورت گرفته بر روی کدمنبع آن متوجه وجود نواقصی در آن شدیم که احتمال می‌دهیم این باج‌افزار در حال توسعه باشد. همچنین طبق تحقیقات صورت گرفته متوجه انتشار این باج‌افزار از آدرس زیر شدیم :
http://aka[.]ms/ioavtest


دانلود پیوست

25 شهریور 1397 برچسب‌ها: گزارشات تحلیلی
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

رصد فضای سایبری در حوزه #‫باج_افزار، از ظهور نسخه جدید باج افزار Paradise خبر می دهد. فعالیت این نسخه از باج‌افزار در اواخر ماه مه سال 2018 میلادی مشاهده شده است. به نظر می‌رسد که این باج افزار به عنوان یک سرویس (RaaS) ارائه می‌شود. مشاهدات حاکی از آن است که باج افزار پس از نفوذ به سیستم قربانی و اتمام فرایند رمزگذاری فایل ها، به انتهای آن ها پسوند V.0.0.0.1{help@badfail.info}.Paradiseرا اضافه می کند و پیغام باج‌خواهی را به صورت یک پنجره که قابلیت بسته شدن ندارد و یک فایل متنی با نام PARADISE_README_help@badfail.info.txt در هر مکانی که رمزگذاری انجام شده و همچنین بر روی دسکتاپ قربانی قرار می‌دهد. نکته ای که در خصوص این باج افزار وجود دارد این است که مبلغ و مهلت زمانی پرداخت باج، پس از تعامل با مهاجم مشخص می‌شود.

دانلود پیوست

25 شهریور 1397 برچسب‌ها: گزارشات تحلیلی
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

مشاهده و رصد فضای سایبری در زمینه #‫باج_افزار، از شروع فعالیت نمونه‌ جدیدی به نام KeyPass خبر می‌دهد. بررسی ها نشان می دهد که فعالیت این باج افزار در اوایل ماه آگوست سال 2018 میلادی شروع شده است و به نظر می‌رسد از خانواده باج‌افزار STOP باشد. این باج‌افزار از الگوریتم رمزنگاری AES-256 برای رمزگذاری فایل‌ها استفاده می‌کند و پس از رمزگذاری، پسوند فایل‌ها را به ".KEYPASS " تغییر می‌دهد و از قربانیان تقاضای پرداخت مبلغ 300 دلار به عنوان باج می‌کند. در حال حاضر روش ورود یا انتشار این باج‌افزار دقیقاً مشخص نیست اما طبق گزارشات بدست آمده از کاربران در نقاط مختلف جهان، احتمالاً از طریق وب‌سایت هایی که نرم افزارهای کرک شده و یا قفل شکسته ارائه می‌دهند منتشر می‌شود. ضمناً باج‌افزار مورد در حال حاضر اشاره فاقد رمزگشا بوده و تنها راه مقابله با آن، بازگردانی اطلاعات از طریق فایل‌های پشتیبان می‌باشد

دانلود پیوست

25 شهریور 1397 برچسب‌ها: گزارشات تحلیلی
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

مشاهده و رصد فضای سایبری در زمینه #‫باج_افزار، از شروع فعالیت نمونه‌ جدیدی به نام Jewsomwareخبر می‌دهد. بررسی­ها نشان می­دهد که فعالیت این باج ­افزار در اوایل ماه ژوئیه سال 2018 میلادی شروع شدهاست. مشاهدات حاکی از آن است که این باج‌افزار در حال حاضر قادر به رمزگذاری فایل‌ها نمی‌باشد اما طبق بررسی‌های صورت گرفته بر روی کدمنبع آن متوجه این موضوع شدیم که این باج‌افزار از الگوریتم رمزنگاری AES(Rijndael)برای رمزگذاری استفاده می‌کند که تنها فایل‌هایی با پسوندهای مشخص که در ادامه به آن‌ها اشاره خواهیم نمود، را رمزگذاری می‌کند و به انتهای آن‌ها پسوند .Jewsomwareاضافه می‌کند.

دانلود پیوست

25 شهریور 1397 برچسب‌ها: گزارشات تحلیلی
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

#‫Trickbot یک تروجان مالی معروف است که مشتری‌های بانک‌های بزرگ را هدف می‌گیرد و اعتبارنامه آن‌ها را سرقت می‌کند. این بدافزار، یک بدافزار ماژولار است که از ماژول‌های مختلفی برای فعالیت‌های مخرب خود استفاده می‌کند. این بدافزار از سال 2016 وجود داشته است و از آن زمان نسخه های جدید آن به طور مداوم و هر بار با ترفندها و ماژول‌های جدید به‌روز می‌شود.
Trickbot شامل ماژول‌هایی برای سرقت اطلاعات از مرورگرها و Microsoft outlock، قفل کردن کامپیوتر قربانی، جمع آوری اطلاعات سیستم، جمع آوری اطلاعات شبکه و سرقت اعتبارنامه‌های دامنه می‌باشد.
تحقیقات بر روی اخرین نسخه Trickbot نشان می‌دهد که این نسخه دارای یک تکنیک تزریق کد مخفی است که process hollowing (یک تکنیک تزریق کد که بخش قابل اجرا یک فرایند در حافظه با یک کد مخرب جایگزین می‌شود) را از طریق فراخوانی‌های سیستم مستقیم، تکنیک‌های ضد تحلیل و غیر فعال کردن ابزارهای امنیتی انجام می‌دهد. الگو رفتاری این نسخه Trickbot نشان می‌دهد که تا حدی مشابه تروجان بانکی Flokibot می‌باشد.
در این گزارش نسخه جدید و بردار آلودگی آن را تحلیل می‌کنیم.
تمرکز بر روی بردار آلودگی
این نسخه از Trickbot از طریق یک فایل ورد که شامل یک کد ماکرو است دانلود می‌شود. این ماکرو تا زمانی که کاربر بر روی enable content کلیک نکرده و zoomed in/out انجام نداده، اجرا نمی‌شود. در حالی که احتمالا از محیط sandbox می‌گریزد ، ممکن است از افرادی که در فایل zoom انجام ندهند نیز گریز کنند.

دانلود پیوست

21 شهریور 1397 برچسب‌ها: گزارشات تحلیلی
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

به تازگی نسخه جدیدی از #‫باج_افزار GandCrab مشاهده شده است. نسخه 4.1.2 باج‌افزار معروف GandCrab با تغییراتی قابل توجه منتشر شده است. از جمله این تغییرات می‌توان به استفاده از الگوریتم متفاوت رمزگذاری، الصاق پسوند KRAB به فایل‌های رمزگذاری شده، تغییر نام فایل اطلاعیه باج‌گیری و در دسترس قرار گرفتن یک سایت پرداخت جدید در شبکه ناشناس TOR اشاره کرد. در نسخه جدید از الگوریتم رمزگذاری Salsa20 استفاده می‌شوند. در بخشی از کدهای این نسخه نیز به دنیل برنشتاین خالق این الگوریتم اشاره شده و به نوعی از او تقدیر به‌عمل آمده است.
هنگامی که باج افزار GandCrab اجرا می شود، تمام شبکه را اسکن می کند تا تمام فایل هایی که می‌تواند رمزگذاری کند را آلوده کند.
هنگامی که فایلی را آلوده می کند پسوند KRAB. را به نام فایل رمزگذاری شده اضافه می کند.
به منظور بررسی اینکه آیا سیستم از قبل آلوده شده است یا نه و جلوگیری از اجرای دوباره ی فایل اجرایی باج افزار و از بین بردن دائمی باج افزار، یک فایل .lock با یک mutex ایجاد می کند.

دانلود پیوست

24 مرداد 1397 برچسب‌ها: گزارشات تحلیلی
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

فناوری امنیت سایبری #‫EDR (پاسخ‌گویی و تشخیص نقاط پایانی)، نیاز به نظارت و پاسخ‌گویی مستمر به تهدیدهای امنیتی پیشرفته را برآورده می‌کند. در اینجا فهرستی از مهم‌ترین فناوری‌های EDR قابل توجه، آمده است.
EDR یک فناوری امنیت سایبری است که نیاز به نظارت و پاسخ مستمر به تهدیدهای امنیتی را برآورده می‌کند. این فناوری زیرمجموعه‌ای از فناوری امنیت نقاط پایانی و بخش حساسی از وضعیت مطلوب امنیتی است. EDR با سایر بسترهای حافظت نقاط پایانی (EPP) مانند آنتی‌ویروس و ضدتروجان متفاوت است. آن‌ها تمرکز عمده خود را بر توقف خودکار تهدیدها در مرحله پیش از اجرا نگذاشته‌اند ولی EDR یک مشاهده و بینش درستی از نقاط پایانی را فراهم می‌کند تا به تحلیل‌گرها در جهت کشف، بررسی و پاسخ‌گویی به تهدیدات بسیار پیشرفته و حملات گسترده‌تر که در نقاط پایانی متعدد گسترش می‌یابند، مساعدت کند. با این وجود بسیاری از ابزارهای تشخیص و پاسخ‌گویی نقاط پایانی، EDR را با EPP ترکیب می‌کنند.
2 گستردگی EDR
بازار EDR با دلیلی منطقی، به سرعت در حال رشد است. نقض‌های (breaches) امنیتی بیش از زمان‌های دیگر در حال افزایش است و اغلب از طریق نقاط پایانی، به شبکه راه می‌یابند. تنها چیزی که جهت رخنه و ورود مخفیانه موردنیاز است یک کاربر با اطلاعات کم در زمینه‌های امنیتی و افرادی که از آن‌ها سوءاستفاده کنند، است.

دانلود پیوست

21 مرداد 1397 برچسب‌ها: گزارشات تحلیلی
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

شرکت Sophos دریکی از جدیدترین فعالیت‌های خود یک آنالیز دقیقی از گروه بسیار خطرناک #‫باج_افزار، که تحت عنوان SamSam نام‌گذاری شده، ارائه کرده است. آزمایشگاه FortiGuard به‌عنوان عضوی از Fortinet با اتحادیه تهدید سایبری (CTA), کلیه شاخص‌های مرتبط با این تسخیر (IoCs ) را قبل از انتشار، برای اطمینان از اینکه مشتریان FortiGuard از آخرین افشا، محافظت می‌شوند, دریافت کرده است. باج‌افزار SamSam، برای اولین بار در اواخر سال 2015 به‌عنوان یک خطر با مشخصه ریسک پایین، ظاهر شد. ولی از آن موقع به‌شدت گسترش‌یافته است و طیف وسیعی از سازمان‌ها، مؤسسات بهداشت و درمان و آموزش‌وپرورش و دولت‌های محلی را مورد هدف قرار داده است. Sophos برآورد کرده است که تا به امروز، گروه مسئول SamSam تقریباً شش میلیون دلار از قربانیان خود اخاذی کرده است. SamSam با کمک یک استراتژی متمرکز جهت بهره‌برداری از آسیب‌پذیری‌ها و سپس به‌صورت انتقال جانبی در طول شبکه به‌سمت هدف شناسایی‌شده، ماشین‌های قفل‌شده را مورد هدف قرار می‌دهد. جهت جلوگیری از تشخیص، این حملات معمولاً در زمان حساب‌شده، بعد از ساعات کاری، انجام می‌شود.

دانلود پیوست

20 مرداد 1397 برچسب‌ها: گزارشات تحلیلی
صفحات: «« « ... 2 3 4 5 6 ... » »»