شما عضو این انجمن نبوده یا وارد نشده اید. لطفا برای مشاهده کامل انجمن و استفاده از آن وارد شوید یا ثبت نام کنید .

امتیاز موضوع:
  • 76 رأی - میانگین امتیازات: 3.07
  • 1
  • 2
  • 3
  • 4
  • 5

[-]
کلمات کلیدی
افزار بدافزار eternalblue موج جدیدی wmi سایبری flame هکر حمله‌های medoc واناکرای scure باج f wannacry و پتیا petya ایران از nyu امنیت psexec

باج افزار پتیا (Petya) و موج جدیدی از حمله‌های سایبری
#1
[تصویر:  do.php?img=3440]

به نظر می‌رسد بعد از واناکرای (Wannacry)، حالا نوع جدیدی از باج افزار پتیا (Petya) شرکت‌های بزرگ را هدف خود قرار داده است. ماه گذشته میلادی بود که تعداد زیادی از کاربران کشورهای اروپایی از جمله انگلستان از آلوده شدن سیستم خود به باج افزار واناکرای خبر دادند. سوء استفاده هکرها از سیستم کاربران به واسطه باج افزارها موضوع جدیدی نبود؛ اما در ماه آوریل گروه The Shadow Brokers با انتشار اطلاعاتی، از بهره‌گیری واناکرای از یک آسیب پذیری پیچیده موسوم اترنال بلو (EternalBlue) خبر داد و مدعی توسعه آن توسط آژانس امنیت ملی ایالات متحده آمریکا یا به اختصار NSA شد. با تکیه بر این موضوع، می‌توان گفت هکرها از یک سلاح سایبری پیشرفته و در سطوح ملی در برابر شهروندان و سیستم‌های ساده آنها استفاده کرده‌اند. این موضوع درست شبیه آن است که بخواهید با تانک آبرامز به دنبال سرقت از بانک یک شهر کوچک باشید.

حالا بعد از یک ماه، با نوع جدیدی از باج افزارها که می‌توان آن را در خانواده باج افزار پتیا (Petya) قرار داد، رو به رو هستیم که بر اساس گزارش‌ها، هزاران سیستم مختلف در سراسر جهان از جمله کمپانی‌های چند ملیتی بزرگ Maersk ،Rosneft و Merck را آلوده کرده است. پتیا هنوز از اترنال بلو استفاده می‌کند، اما تا به این لحظه بسیاری از سازمان‌هایی که هدف قرار گرفته بودند در برابر آن ایمن شده‌اند و دیگر نیازی به نگرانی در مورد این روزنه نیست. در عوض، نوع جدید باج افزار پتیا از رخنه‌ها و نقاط آسیب پذیر اساسی‌تر در اجرای شبکه‌ها یا مهم‌تر از آن، ارائه وصله‌های نرم افزاری مختلف، بهره‌برداری می‌کند. در واقع شاید آنها به اندازه کدهای مخرب NSA قابل توجه و چشمگیر نباشند، اما به مراتب قدرت بالاتری داشته و می‌توانند سازمان‌ها را با تلاش برای بازگشت به حالت عادی، در شرایط سخت‌تری قرار دهند.

دیو کندی (Dave Kennedy) با ارسال توییتی جدید، از آلوده شدن بیش از 5 هزار سیستم در کمتر از 10 دقیقه خبر داده است. همچنین این باج افزار با بازنویسی اولین سکتور هارد دیسک، موجب ناپایداری سیستم و ری استارت شدن آن با نمایش پیام مربوطه می‌شود.
اگرچه واناکرای سیستم‌های ضعیف را هدف قرار می‌داد، اما این نوع جدید از باج افزار پتیا شبکه شرکت‌های بزرگ و ایمن را آلوده کرده است که می‌توان آن را الگویی برای پخش شدن این ویروس در نظر گرفت. زمانی که یک کامپیوتر در شبکه‌ای خاص آلوده می‌شد، پتیا با استفاده از ابزارهای شبکه همچون WMI و PsExec، کامپیوترهای دیگر آن شبکه را نیز آلوده می‌کرد.

معمولا از هر دو این ابزارها به منظور دسترسی از راه دور با سطوح مدیریتی استفاده می‌شود، اما یکی از محققان حوزه امنیت، لسلی کارهارت (Lesley Carhart)، می‌گوید اغلب، هکرها از آنها برای انتشار بدافزار در یک شبکه آلوده استفاده می‌کنند. به عقیده وی، استفاده از WMI روشی بسیار موثر و مداوم برای هکرها بوده و به ندرت توسط ابزارهای امنیتی مسدود می‌شود. ابزار Psexec نیز با وجود نظارت بیشتر روی آن، هنوز هم کارآمدی بسیار بالایی دارد.

برخی مواقع، حتی شبکه‌هایی که در برابر اترنال بلو ایمن شده بودند نیز در برابر حمله‌هایی که از طریق شبکه داخلی آنها انجام می‌شد، آسیب پذیر بودند. به گفته شان سالیوان (Sean Sullivan) از F-Scure، چنین چیزی در ادامه حمله‌های سایبری مشهور پتیا در گذشته هستند که کمپانی‌های بزرگ را برای دریافت پول، هدف قرار داده بود.

این حمله‌ها به عنوان گروهی برای هدف قرار دادن تجارت‌های مختلف آغاز شده است و شما باید از رخنه‌ای استفاده کنید که برای آسیب زدن و دریافت باج از شرکت‌های تجاری، فوق‌العاده باشد.

جنبه آزاردهنده این داستان در جایگاه اول، نحوه آلوده شدن این کامپیوترها به باج افزار پتیا است. به گفته محققان Talos Intelligence، احتمالا این باج افزار از طریق آپدیتی جعلی برای یکی از سیستم‌های حسابداری کشور اوکراین با نام MeDoc پخش شده است. اگرچه MeDoc این ادعا را رد کرده، اما گروهی دیگر از متخخصان نیز با اشاره به یک امضای دیجیتال جعلی در دریافت این آپدیت، نسبت به یافته‌های Talos ابراز نگرانی کرده‌اند. در صورت کارآمد بودن این امضا برای هکرها، می‌توان گفت راهی تمیز و مناسب برای دسترسی به تقریبا تمام سیستم‌های مجهز به این نرم افزار وجود داشته است.
از طرفی، این فرضیه رد پای سنگین پتیا در سازمان‌های داخلی کشور اوکراین را نیز توجیه خواهد کرد چرا که 60 درصد سیستم‌های آلوده، در این کشور هستند و بانک مرکزی و بزرگترین فرودگاه اوکراین نیز شامل آن می‌شوند.

این اولین باری نیست که هکرها با آلوده کردن سیستم‌هایی با آپدیت‌ خودکار اقدام به پخش بدافزارها می‌کنند؛ هرچند، این حمله‌ها معمولا به کشورهای ایالتی محدود بوده‌اند. در سال 2012 و در اقدامی که بسیاری آن را به دولت آمریکا نسبت می‌دهند، هکرها با آلوده کردن پروسه آپدیت سیستم عامل ویندوز، بدافزار شعله (Flame) را وارد ایران کردند. سال 2013 نیز حمله‌ای سایبری روی بانک‌ها و ایستگاه‌های تلویزیونی کره جنوبی، سبب پخش شدن بدافزارها در سیستم‌های داخلی این کشور شود.
محقق امنیتی مرکز NYU، جاستین کاپوس (Justin Cappos)، کسی که روی ایمن کردن روش‌های ارائه وصله‌های نرم افزاری به عنوان بخشی از The Update Framework فعالیت دارد، معتقد است این کاستی‌های زیربنایی به شکل قابل توجهی مشترک هستند. معمولا سازمان‌های مختلف موفق به تایید آپدیت‌ها نشده و یا کارهای لازم برای ایمن کردن موارد زیربنایی را انجام نمی‌دهند. در همین زمان، آپدیت‌های نرم افزاری یکی از قدرتمندترین راه‌ها برای آلوده کردن سیستم‌ها خواهند بود. کاپوس در رابطه با این بدافزار که معمولا با دسترسی مدیریتی اجرا می‌شود، می‌گوید:

این قطعه نرم افزاری در کامپیوتر هر کسی وجود داشته، اتصالاتی را ایجاد می‌کند که تمایل به رمزگذاری دارند و از تمام دیوارهای آتش شما عبور می‌کند.

پاسخ
 سپاس شده توسط saman ، sara67 ، saberi ، elshan


موضوع‌های مشابه…
موضوع نویسنده پاسخ بازدید آخرین ارسال
  حمله‌ی سایبری، تولید خودرو در گروه رنو - نیسان را متوقف کرد elshan 4 3,621 ۰۰/۴/۲۷، ۰۳:۵۶ عصر
آخرین ارسال: behvandshop
  حمله MITM یا مرد میانی چیست؟ saberi 4 1,835 ۹۹/۱/۲۴، ۱۱:۲۲ صبح
آخرین ارسال: elshan
  حمله سایبری به ایمیل های سازمانی در سطح کشور saberi 0 1,348 ۹۷/۳/۳، ۰۴:۲۴ صبح
آخرین ارسال: saberi
  آماده‌باش سازمان‌های امنیتی برای حملات سایبری روسیه به زیرساخت saberi 0 1,291 ۹۷/۲/۲۶، ۰۵:۱۸ صبح
آخرین ارسال: saberi
  بدافزار جدیدی که تماس ها را مخفیانه ضبط می کند hoboot 1 1,869 ۹۷/۲/۲، ۱۲:۲۴ عصر
آخرین ارسال: KGasht
  عامل حمله سایبری به مراکز داده کشور شناسایی شد hoboot 0 2,085 ۹۷/۱/۱۸، ۱۱:۳۹ عصر
آخرین ارسال: hoboot
  بدافزاری که به Microsoft word حمله می‌کند farnaz 0 1,364 ۹۷/۱/۱۰، ۱۱:۳۷ عصر
آخرین ارسال: farnaz
  پشت پرده حملات سایبری به روزنامه ها و سایتهای خبری در 22بهمن hoboot 0 1,895 ۹۶/۱۱/۲۲، ۰۷:۱۰ عصر
آخرین ارسال: hoboot
  جزئیات حمله سایبری به سایت روزنامه های کشور mesterweb 0 1,559 ۹۶/۱۱/۲۲، ۰۶:۵۳ عصر
آخرین ارسال: mesterweb
  هشدار آژانس امنیت سایبری انگلستان در مورد آنتی ویروس های روسی saberi 0 1,534 ۹۶/۹/۱۴، ۰۵:۳۵ صبح
آخرین ارسال: saberi

پرش به انجمن:


کاربرانِ درحال بازدید از این موضوع: 1 مهمان