اشتراک امنیت
مرکز امنیت و‌ رخدادهای‌ سایبری | APK

گزارش Sophos برای تهدیدات در سال ۲۰۱۸

گزارش تهدیدات Sophos در سال  2019

درحالی‌که به پایان سال 2018 نزدیک می‌شویم، خوب است نگاهی بیندازیم به حملات، بدافزارها و Exploitهایی که پژوهشگران SophosLabs در طول این سال کشف کرده‌اند. در این گزارش سه مفهوم کلی از روند‌ حملات سایبری بررسی می‌گردد که به نظر می‌رسد بیشتر مورد استفاده قرار گرفته‌اند: استفاده از تکنیک‌های حمله‌ی دستی به جای دیگر مکانیزم‌های ارائه برای نصب باج‌افزار؛ اتخاذ بیشتر تکنیک‌های به اصطلاح Living Off The Land توسط بخش گسترده‌ای از شبکه‌های توزیع بدافزار که در واقع یک نوع حملات هدفمند سایبری است و در آن مهاجم از ابزارهایی که قبلا روی سیستم هدف نصب شده استفاده می کند و کمترین فایل ممکن را سرقت می کند تا شناسایی نشود؛  و همچنین افزایش تهدید استخراج ارزهای دیجیتال و Botnetهایی که روی پلتفرم‌های تکنولوژی غیرمعمول مانند دستگاه‌های موبایل یا سخت‌افزارهای درون شبکه مانند Routerها تاثیر می‌گذارند.

حملات هدفمند و دستی

گزارش در مورد SamSam که در سال 2018 منتشر شده بود، نتیجه‌ی تقریبا سه سال مشاهده، تجزیه‌و‌تحلیل و اعمال پشتیبانی توسط تیمی تشکیل شده از بخش‌های مختلف Sophos بود. در این پژوهش به این مسئله توجه شد که در آن زمان، توجه خاصی به توانایی‌های یک مدیر سیستم باتجربه وجود داشت و همچنین در هنگام تست نفوذپذیری، Red Team ابتدا وارد یک شبکه‌ی سازمانی می‌گردد، Credentialهای مدیر را به دست می‌آورد و سپس، از دسترسی‌های مدیریتی برای دستکاری تنظیمات امنیتی داخلی آن شبکه استفاده می‌نماید. در این روش، با اینکه حملات کمتری رخ می‌داد، اما نتیجه‌ها بسیار مخرب‌تر بود و مهاجم می‌توانست باج بسیار بیشتری درخواست کند. نسل‌های پیاپی بدافزارها نیز، تدریجا تکامل یافته و در طول زمان کارآمد‌تر و مخرب‌تر شدند.

شرکت APK (امن پایه ریزان کارن) دارای مجرب ترین تیم طراحی امنیت شبکه و SOC/SIEM در کشور

پس از انتشار آن گزارش، به نظر می‌رسید که مهاجم سازنده SamSam سرعت حملات را کاهش داد، اما تعدادی از مهاجمان از همین تکنیک‌ها استفاده نمودند و همچنان شبکه‌های بزرگی را برای حمله هدف قرار دادند. نکته‌ی مشترک بین تمامی این مهاجمان این بود: تمام گروه‌های حمله‌کننده با پیدا کردن یک کلاینت ویندوزی واحد که از اینترنت قابلیت دسترسی و ورود به آن وجود داشت و با استفاده از Remote Desktop Protocol، حمله‌ی خود را آغاز می‌کردند.

استفاده از ابزارهای ویندوز در دسترس

مدت زیادی است که برخی مهاجمان منتشرکننده‌ی بدافزار از تکنیک‌هایی که در تمام رایانه‌های ویندوز مدرن متداول است به عنوان یک راه برای ارسال بدافزار استفاده می‌نمایند. اما در سال 2018 مهاجمانی که ایمیل‌های مخرب را ارسال می‌کردند به‌جای استفاده از یک فایل اجرایی مخرب، مجموعه‌ای از لینک‌ها، اسکریپت‌های غیرقابل اجرا، مستندات مایکروسافت آفیس آلوده‌شده و Office Document Macros برای انجام حملاتی زنجیره‌وار که پیچیدگی و تنوع آن مشکلات زیادی برای تشخیص آنها به وجود می‌آورد، را ارسال می‌کنند.

حملات کنونی معمولا از ترکیبی از PowerShell، Windows Script Host و Mal-Docs برای ساختن زنجیره‌ی از حملات مخرب ساخته و طراحی شده‌اند، تا از سد دفاعی بگذرند و از متداول‌ترین روش‌هایی که می‌توان با آن‌ها حملات را متوقف کرد و جلوی پیشرفتشان را بگیرد، عبور کنند.

پلتفرم‌های موبایل و IoT به عنوان Cryptojackerهای سطح پایین

ارزش ارزهای دیجیتال، مانند Bitcoin یا Monero نوسانات شدیدی دارد، اما مجرمان همچنان خواهان پولی هستند که از کاربران نصیب‌شان می‌شود، به همین دلیل افزایشی در حجم Payloadهای ناشی از بدافزار برروی دستگاه کاربران مشاهده شده است که از قدرت رایانه‌ها (هر چقدر هم که اندک باشد) استفاده می‌نمایند تا به آرامی محاسبات پیشرفته‌ای را که برای داده‌کاوی Cryptocurrency مورد استفاده قرار می‌گیرد انجام دهند. این فعالیت را با عنوان Cryptojacking، برای فعالیت‌های دستگاه‌هایی که با این هدف به آن‌ها نفوذ شده است، می‌نامند و همچنین شاهد روندی بوده‌ایم که در آن Cryptojacking روی دستگاه‌های غیرمعمولی مانند Routerهای خانگی، Storage متصل به شبکه و دوربین‌ها یا DVRهای شبکه تاثیرگذار بوده است.

گوشی‌های موبایل از اهمیت ویژه‌ای برخوردار هستند زیرا کدهای Cryptojacking به طور مخربی عمر باتری و عملکرد دستگاه‌های موبایل را کاهش می‌دهد و این چیزی است که کاربران گوشی‌ به احتمال زیاد متوجه آن می‌شوند، اما آن را به این نوع حملات ارتباط نمی‌دهند. به طور کلی، Cryptojacking هزینه‌های داده‌کاوی را (هم از نظر عملکرد و هم استهلاک) به قربانیان منتقل نموده و برای هیچ فردی به غیر از Cryptojacker که نتیجه کار Minerها (داده‌کاو‌ها) به آرامی در حساب بانکی‌اش جمع می‌شود، مزیتی ندارد.