بایگانی برچسب: s

دستگیری مغز متفکر Carbanak

سه سال قبل بود که خبر سرقت بیش از یک میلیارد یورو از موسسات مالی کشورهای مختلف توسط تهدیدی به نام Carbanak منتشر شد. حالا اعلام شده که مغز متفکر و رهبر این گروه مجرم با همکاری یوروپل، FBI و پلیس چندین کشور مختلف، در اسپانیا دستگیر شده است. Carbanak از روش های مختلفی برای سرقت پول استفاده می کرد و همین تنوع و پیچیدگی، به علاوه بزرگی مجموع ارقام سرقت شده، آن را به یکی از معروف ترین تهدیدهای چند سال اخیر در حوزه بانکی و مالی تبدیل کرده است.

اشتراک گذاری

بازداشت “عامل توسعه” یا “عامل مقابله” با واناکرای؟

یکی از مهم ترین اخباری که از دیروز در توئیتر و خبرگزاری های بزرگ دنیا منتشر شد، بازداشت Markus Hutchins یک کارشناس مشهور امنیت در خلال حضور در لاس وگاس برای کنفرانس های Blackhat و Defcon بود که به واسطه کشف راه مقابله با توسعه باج افزار WannaCry به شهرت خیلی زیادی رسیده بود. بر خلاف موضوعی که در بعضی منابع فارسی گفته شده، این فرد عامل توسعه واناکرای نیست، بلکه به اتهام مشارکت در توسعه یک بدافزار بانکی به نام kronos دستگیر شده و در صورت اثبات اتهام ممکنه تا ۴۰ سال زندان در انتظارش باشه.

اشتراک گذاری

نوآوری در سرقت اطلاعات: استفاده از ضدبدافزار!

برای استخراج اطلاعات محرمانه از کامپیوترهای ایزوله از شبکه، در اصطلاح air-gapped، روشهای مختلفی پیشنهاد شده که معمولاً مبتنی بر استفاده از کانال پنهان هستن. در روش جدیدی که اخیراً در کنفرانس Blackhat 2017 ارائه شده، این کانال پنهان با استفاده از ضدبدافزار یا همان آنتی ویروس نصب شده در سیستم ایزوله ایجاد شده. اکثر ضدبدافزارهای معروف و معتبر، یک سرویس sandbox مبتنی بر ابر دارن که نمونه بدافزارهای شناسایی شده رو مستقیم از عامل های نصب شده در سایت مشتری، یا غیر مستقیم توسط خود مشتری، دریافت و بررسی میکنه، کاری که به طور مستقل توسط سرویس هایی مثل Virustotal هم انجام میشه.

در این حمله، فرض بر اینه که بدافزار اولیه وارد سیستم ایزوله شده. بعد، اطلاعات محرمانه رو جمع آوری کرده و کنار بدافزار ثانویه بسته بندی میکنه. حالا بدافزار ثانویه عمداً ضدبدافزار نصب شده در این سیستم رو متوجه خودش میکنه، کاری که به راحتی با انجام یک عملی که معمولاً بدافزارها انجام میدن، اجرا میشه. سیستم ضدبدافزار، نمونه تشخیص داده شده رو، مستقیم یا غیرمستقیم، به sandbox آنلاین خودش میفرسته و اونجا اجرا میکنه. این یعنی بدافزار ثانویه میتونه از طریق اینترنت با نفوذگر ارتباط برقرار کنه و بسته اطلاعات همراه خودش رو ارسال کنه.

آیا sandboxها به اینترنت متصل هستن؟ ارائه دهنده ها نشان دادن که در مورد بسیاری از اونها از جمله کسپرسکی پاسخ مثبته.

نتیجه اخلاقی: اگر در یک شبکه air-gapped فایل مشکوکی پیدا کردید، بهتره در ارسالش به سرویس های آنلاین بررسی و تحلیل بدافزار، احتیاط کنید.

اسلایدهای ارائه

اشتراک گذاری

معضل ترجمه متون فنی امنیت

قبلاً گفته بودم که ترجمه متون فنی کار ساده ای نیست و پیچیدگی های خاصی داره که اگر رعایت نشه، خواننده رو به جای سهولت فهم موضوع، گمراه میکنه. از جمله همین اواخر در مورد اینکه اینترنت اشیاء درسته یا اینترنت چیزها؟

و قدیم تر درباره بعضی خبرهای ترجمه شده مثل این.

حالا به این خبر که افتانا از اینجا عیناً نقل کرده و ترجمه ای از این یادداشت هست نگاه کنیم.

این ترجمه ای که انجام شده، هم اشتباهات فاحش لغوی داره، و هم ایرادات مفهومی. مثلاً کلمه value در جمله زیر به “مقدار” ترجمه شده!

Dynamic analysis can help determine the runtime effects of a piece of malware, but with tools for sandbox detection and evasion becoming increasingly common, its value is limited.

فقط به عنوان نمونه ای از خطاهای مفهومی این ترجمه:

Besides, knowing what a piece of malware does won’t help with file similarity analysis, as there may be dozens of ways to achieve that result.

این جمله داره میگه تحلیل پویا (زمان اجرا) نمیتونه لزوماً برای قضاوت در مورد شباهت ساختاری بدافزارها مفید باشه. چرا؟ چون بدیهیه که میشه هزار تا کد ظاهراً متفاوت (یعنی با ساختار ایستای متفاوت) نوشت که رفتار زمان اجراشون مشابه باشه. کلاً هدف این مقاله تاکید بر اهمیت کشف شباهت ساختاری (ایستای) بدافزارهاست، بر خلاف روند کلی تحلیل بدافزار که بر روش های پویا (تحلیل زمان اجرا) بنا شده.

حالا ترجمه این جمله رو میبینیم:

“علاوه بر این با مقایسه‌ی مشابهت‌های بین کد بدافزارها، نمی‌توان متوجه عملکرد یک باج‌افزار شد و نیاز داریم ده‌ها روش را مورد بررسی قرار دهیم تا به این نتایج برسیم.

یعنی کلاً مفهوم مورد نظر نویسنده معکوس شد!

اشتراک گذاری

بدافزار هدایت کننده ترافیک برای کرنل لینوکس

ویکی لیکس در ادامه افشای پروژه های Vault7 آژانس اطلاعات مرکزی ایالات متحده (CIA) به یک ماژول کرنل لینوکس با نام OutlawCountry اشاره کرده که یک جدول پنهانی در بخش فایروال لینوکس یعنی Netfilter ایجاد و به وسیله Iptables قواعد مورد نظر را در آن ایجاد میکند. قواعد داخل این جدول، دیگر قواعد فایروال را دور زده و موجب می شوند مسیر ترافیک خروجی سرور آلوده به خواست نفوذگر به سمت ماشین تحت کنترل او تغییر کند.

اشتراک گذاری

باج افزار یا خرابکار؟

بر اساس ویژگی های مشاهده شده از نسخه جدید بدافزار Petya که از چهارشنبه گذشته گسترش پیدا کرد، به جای یک باج افزار، باید آن را بدافزاری برای خرابکاری به حساب آورد. چون اطلاعاتی که Petya رمز کرده قابل رمزگشایی با کلید ارائه شده در ازای باج پرداخت شده نیست. این یعنی باج گیری نمیتوانسته هدف بلندمدت آن باشد. همچنین تخریب  Master Boot Record یک عمل خرابکارانه و بر خلاف منطق باج افزارها است.

اشتراک گذاری

روش CIAبرای نفوذ به شبکه های Air-gapped

برای سرقت اطلاعات از کامپیوتر یا شبکه ای از کامپیوترها که هیچ اتصالی به بیرون ندارن، یعنی Air-gapped هستن، بهترین راه اینه که اتصال به بیرون رو به صورت غیرمستقیم، با استفاده از مدیای مشترک مثل حافظه فلش، ایجاد کرد. شما لپ تاپ کسی رو که به اونجا رفت و آمد داره، کارمند یا پیمانکار،  آلوده می کنید. اون آدم فلش مموری شخصی یا سازمانی خودش رو که به اون لپ تاپ آلوده متصل بوده، وارد محیط ایزوله میکنه و به سیستم کاری خودش وصل می کنه. بدافزار شروع به کار میکنه، شبکه ایزوله رو شناسایی میکنه تا به سیستم های مقصد برسه. اطلاعات هدف رو برداشته و به همون سیستم کاری آلوده منتقل می کنه، با این امید که اون کارمند دوباره یک فلش مموری رو از این سیستم برداشته و به خونه میبره و متصل می کنه به لپ تاپ شخصی خودش که در مرحله اول آلوده شده بود. حالا اطلاعات هدف از شبکه ایزوله خارج شده و در دسترس نفوذگر هست. این کار توسط CIA در پروژه Brutal Kangaroo که در ادامه افشاگری ویکی لیکس از مجموعه Vault7 منتشر شده، برای سیستم های ویندوزی انجام شده.

چطور میشه از این اتفاق جلوگیری کرد؟ تا وقتی نیاز به تبادل اطلاعات از/به شبکه ایزوله وجود داشته باشه، ریسک این نفوذ هم وجود داره. به خصوص اگر بدافزار از آسیب پذیری ۰-day استفاده کرده باشه. مدیای مشترک ارتباط شبکه ایزوله با بیرون رو به صورت یک کانال پنهان حتی به صورت یک طرفه برقرار میکنه و این برای ورود بدافزار یا خروج اطلاعات کافی خواهد بود.

اشتراک گذاری

Crashoverride: بدافزاری برای اختلال در شبکه برق

Crashoverride، بدافزاری مخصوص شبکه برق، با قابلیت های درب پشتی، ماژول امحاء داده، ماژول DoS و چند ماژول مخصوص کار بر اساس پروتکل های IEC، که این بدافزار را کاملاً منطبق با شرایط شبکه های تولید، انتقال و توزیع برق کرده است. گزارش شرکت های ESET و Dragos و گزارش CERT ایالات متحده که این بدافزار را تحلیل کرده اند.

اشتراک گذاری

آیا واناکرای یک باج افزار است؟

یک گزارش تحلیلی از بدافزار واناکرای که فراتر از تحلیل های معمول، از طریق بررسی ویژگی های فنی آن سعی می کند به این سوال پاسخ دهد که آیا واناکرای واقعا یک باج افزار است؟

اشتراک گذاری

بدافزار اندرویدی برای حمله به شبکه بی سیم

یک بدافزار جدید با نام Trojan.AndroidOS.Switcher از طریق آلوده کردن سیستم عامل اندروید، تلاش می کنه شبکه Wi-Fi سرویس دهنده به دستگاه آلوده رو هک کنه. این کار از طریق نفوذ به روتر بی سیم یا Wi-Fi با استفاده از حمله Brute force انجام می شه. بنابراین اگر پسورد پیش فرض روتر بی سیم عوض نشده باشه یا پسورد اون ضعیف باشه، بدافزار با لاگین کردن به روتر، تنظیمات DNS دستگاه رو عوض می کنه. این در واقع یک حمله سرقت DNS یا DNS Hijacking هست. در نتیجه، درخواست های DNS ارسالی از کلاینت های متصل به شبکه Wi-Fi ، به سرورهای مدنظر نفوذگر ارسال خواهد شد.
بر اساس اعلام کسپرسکی، این بدافزار به دوشکل ظاهر می شه، یکی به عنوان کلاینت موبایل موتور جستجوی چینی بایدو (Baidu) و دیگری به شکل یک برنامه موبایل پرطرفدار چینی که برای اشتراک گذاری اطلاعات مربوط به شبکه های Wi-Fi عمومی استفاده می شه. وقتی بدافزار به طور خودکار به روتر یا نقطه دسترسی بی سیم لاگین کرد و تنظیمات DNS رو عوض کرد، به تدریج تمام درخواست های DNS از اون شبکه بی سیم به سمت سرورهای مدنظر نفوذگر خواهد رفت. از اینجا به بعد انواع حملات از فیشینگ گرفته تا آلوده سازی شبکه با بدافزارهای دیگر قابل اجرا هست.
اگر ترافیک DNS به مقصد آدرس های IP زیر در شبکه مشاهده کردید، حتماً دستگاهی آلوده به این بدافزار در شبکه وجود داره:

۱۰۱٫۲۰۰٫۱۴۷٫۱۵۳
۱۱۲٫۳۳٫۱۳٫۱۱
۱۲۰٫۷۶٫۲۴۹٫۵۹
مانیتور کردن درخواست های خروجی DNS بسیار مهم هست و مثال بالا یکی از دلایل این اهمیت هست. این کار رو می شه با استفاده از سنسور IDS (تشخیص نفوذ) در داخل شبکه یا روی Gateway انجام داد. همچنین تعویض پسورد پیش فرض تجهیزات شبکه وایرلس و استفاده از پسوردی که به راحتی قابل Brute force نباشه از دیگر تمهیدات مقابله با این بدافزار هست.

اشتراک گذاری