دسته بندی: اخبار

کارشناسان امنیتی برای انجام فعالیت‌های روزمره خود به ابزارهای تخصصی نیاز دارند. کارشناسان شاغل در سازمان‌های بزرگ نه تنها به ابزارهای امنیتی رایج برای انجام هرچه بهتر وظایف خود نیاز دارند، بلکه به ابزارهایی برای مدیریت و دسترسی به حساب‌های کاربری نیاز دارند. همین مسئله باعث شده تا ابزارهای مدیریت دسترسی و هویت ( IAM ) سرنام Identity and access management به یکی از ابزارهای کلیدی موردنیاز مدیران امنیت سایبری تبدیل شوند. ابزارهایی که اجازه می‌دهند تصمیمات مهم و کلیدی در ارتباط با تشخیص هویت اتخاذ شود. یکی از نکات مهم احراز هویت و تعیین سطح دسترسی، نحوه ورود به برنامه‌های کاربردی، سیستم‌ها و ادغام آن‌ها با یکدیگر بر مبنای پست‌های سازمانی است. به‌طور معمول، کارشناسان امنیت سایبری باید میان امنیت و کاربردپذیری تعادل دسترسی برقرار کنند تا رخنه‌های امنیتی ناخواسته به‌وجود نیایند.

متاسفانه ضعف در کنترل‌های IAM و عدم هماهنگی آن‌ها با سازوکارهای احراز هویت سازمانی باعث شده تا شکاف بزرگی در این زمینه ایجاد شود. هکرها می‌توانند از این شکاف برای حمله به زیرساخت‌ها، تصاحب حساب‌های کاربری و دور زدن مکانیزم‌های امنیتی استفاده کنند. در سویی دیگر، سخت‌گیری بیش از اندازه نیز باعث ایجاد اختلال در جریان فعالیت‌های تجاری می‌شود.

بازاری بزرگ و گیج‌کننده از ابزارهای IAM

فناوری‌های IAM در چند سال گذشته پیشرفت‌های خیره‌کننده‌ای داشته‌اند. مدیریت هویت در محیط‌های چند ابری و ترکیبی، کنترل حساب‌های کاربری مدیران ارشد، امکان نظارت بر الگوهای ورود به حساب‌های کاربری، احراز هویت بر مبنای معیارهای خطرآفرین و مدیریت بخش‌های مختلف چرخه حیات کاربر به لطف پیشرفت‌های چشم‌گیر در این زمینه ساده‌تر از قبل شده است.

نارش پرسود (Naresh Persaud) از شرکت مشاوره Deloitte در این ارتباط گفته است: «مشاهده می‌کنیم که بخش‌بندی جالب توجهی در ارتباط با راه‌حل‌های IAM صورت گرفته است. علاوه بر این، امکانات زیادی مثل روان‌سازی تجربیات کاربری از طریق یادگیری ماشین، ادغام با سرویس‌های ارائه‌دهندگان سرویس‌های ابری برای مدیریت هر چه بهتر جریان کاری یا ارائه اطلاعات بیشتر درباره عملیات IAM از طریق تحلیل‌های پیشرفته به منظور ساخت طرح‌های امنیتی قوی در دسترس شرکت‌ها قرار دارد».

با توجه به این‌که، قابلیت‌های جدیدی به این ابزارها افزوده شده، انواع بی‌شماری بازار فرعی پیرامون این محصولات شکل گرفته که شامل محصولات مستقل یا ابزارهایی می‌شود که خود زیرمجموعه‌ای از یک پلتفرم‌ جامع هستند. همین مسئله باعث شده تا مصرف‌کنندگان به گزینه‌های زیادی دسترسی داشته باشند که گاهی اوقات سردرگمی کارشناسان در ارتباط با انتخاب بهترین IAM را به‌همراه دارد.

جی‌آر کانینگهام (JR Cunningham) مدیر ارشد عملیات شرکت ارائه‌دهنده سرویس‌های امنیتی مدیریت شده Nuspire می‌گوید: «بیشتر شرکت‌های تولیدی متکی به منظور اعمال خط‌مشی‌های امنیتی کارآمد به ابزارهای مدیریت و حاکمیت هویت (IGA) سرنام identity Governance And Administration  و برخی دیگر به ابزارهای مدیریت هویت ممتاز (PAM) Privileged Access Management و برخی دیگر به ترکیب هر دو ابزار وابسته است. به‌طوری که بتوانند یک یک طرح هویتی کارآمد را پیاده‌سازی کنند. همین مسئله باعث شده تا پراکندگی محصولات در حوزه احراز هویت بیش از اندازه زیاد شود. علاوه بر این، بیشتر شرکت‌های این حوزه فناوری‌های احراز هویت چند مرحله‌ای را ارائه می‌دهند. واقعیت این است که سازمان‌ها باید قابلیت‌ها و الزامات جاری خود را به درستی تعریف کنند تا اطمینان حاصل کنند محصولی متناسب با نیازهای خود را خریداری خواهند کرد».

ابزارهای IAM چه تغییری کرده‌اند؟

کانینگهام در این ارتباط می‌گوید: «آماده‌سازی یک استراتژی احراز هویت و انتخاب پلتفرم مناسب برای آن، باید بر مبنای رعایت برخی نکات انجام شود تا پلتفرمی هماهنگ با خط‌مشی‌های تجاری سازمان انتخاب شود. به‌طور مثال، کسب‌وکارهایی که قابلیت‌های احراز هویت پایه قوی مثل احراز هویت چند مرحله‌ای و ورود یکپارچه را نداشته باشند، برای مدیریت ابزارهای PAM با مشکل روبرو می‌شوند. سازمانی که این دو بخش و فرایندهای مدیریت هویت مناسب برای کارمندان را نداشته باشد، این توانایی را ندارد تا از تمامی قابلیت‌هایی که پلتفرم‌های مدیریت و حاکمیت هویت ارائه می‌کنند به بهترین شکل استفاده کند. به‌طور معمول، سازمان‌های موفق بر مبنای مسیر احراز هویت،PAM/PIM  و IGA  گام بر می‌دارند».

نارش پرسود به سازمان‌‌ها پیشنهاد می‌کند، هنگام ارزیابی فناوری‌های احراز هویت به سادگی از کنار مقیاس‌پذیری نصب و سازگاری فناوری با تمامی برنامه‌های کاربردی مورد استفاده در محیط کاری، کاربران و خطوط کسب‌وکارشان غافل شوند. او می‌گوید: «ابزارهای IAM که توانایی صورت ادغام و اتصال به نرم‌افزارهای مختلف را دارند، به سازمان‌ اجازه می‌دهند به شکل آزادنه‌تری فعالیت‌های روزمره خود را انجام دهد. البته،  دستیابی به چنین ارزشی کار ساده‌ای نیست. از این‌رو، یکی از چالش‌های اصلی پیاده‌سازی یک پلتفرم  IAM هماهنگ‌سازی آن با راه‌حل‌های رایج است. علاوه بر این، سازمان‌ها می‌توانند یک رویکرد پیش‌بینی کننده و تکثیرپذیر برای افزایش مقیاس عملیات‌ خود انتخاب کنند. به‌کارگیری یک مدل عملیاتی سرویس‌گرا نه تنها برای ‌مقیاس‌بندی با پلتفرم IAM مفید است، بلکه به کارشناسان بخش امنیت و فناوری اطلاعات سازمان اجازه می‌دهد، مدیران کسب‌وکار و تمامی افرادی که در راستای تنظیم مقیاس IAM و تحقق ارزش این فناوری باید مشارکت داشته باشند را در جریان تمامی امور قرار دهند».

آشنایی با بهترین ابزارهای IAM

اکنون که تاحدودی با مفهوم IAM و ضرورت استفاده از آن در ارتباط با مدیریت احراز هویت کاربران و حساب‌های آن‌ها در سازمان‌ها آشنا شدیم، وقت آن رسیده تا به معرفی ابزارهای IAM بپردازیم که مدیران ارشد عملیات امنیتی برای ارتقای قابلیت‌های احراز هویت در سازمان به آن‌ها نیاز دارند.

Avatier

Avatier  از شرکت‌های قدیمی فعال در زمینه مدیریت و ارائه سرویس‌های فناوری اطلاعات و هلپ‌دسک است. این شرکت بر مبنای سال‌ها تجربه در زمینه ارائه ابزارهای مدیریت گذرواژه‌ها و حساب‌های کاربری، یک پلتفرم IGA جامع طراحی کرده و در اختیار سازمان‌ها قرار داده است. این شرکت سرمایه‌گذاری قابل توجهی در زمینه خودکارسازی محصولاتش انجام داده و پلتفرم Identity Anywhere را به عنوان یک راه‌حل جامع احراز هویت که قابلیت استقرار در محیط‌های ابری دارد را توسعه داده است. جدیدترین نسخه از این محصول قابلیت پشتیبانی از احراز هویت یکپارچه بدون نیاز به گذرواژه و یکپارچه‌سازی تجربیات کاربری در پلتفرم‌های همکاری (مخصوص شرکت‌هایی که شرکای تجاری دارند)، ابر و موبایل از جمله  اسلک، تیمز و ServiceNow را دارد. این ابزار امکان اتصال بیش از 90 سازمان و 5 هزار پلتفرم و نرم‌افزار تحت ابر را ارائه می‌کند و یک کانال ارتباطی ایمن و پر سرعت بدون نیاز به کدنویسی را در اختیار سازمان‌ها قرار می‌دهد. یک ابزار کارآمد که امکان شخصی‌سازی آن وجود دارد. این پلتفرم جامع به تحلیل‌گران امنیت سایبری اجازه می‌دهد به شکل دقیقی وظایف روزانه خود را انجام دهند.

BeyondTrust

BeyondTrust  یکی دیگر از شرکت‌های موفق در زمینه ارائه راه‌حل‌های PAM است که بر مبنای ابتکارات داخلی، موفق به طراحی یک ابزار کارآمد قدرتمند برای مدیریت حساب‌های کاربری و مجوزهای دسترسی به محیط ابر‌های شده است. علاوه بر این، ابزار PAM این شرکت امکان مدیریت متمرکز دسترسی از راه دور، مدیریت نقاط پایانی ماشین‌های مبتنی بر سیستم عامل‌های ویندوز، مک، یونیکس و لینوکس را از طریق فناوری Directory Bridge ارائه می‌کند. این شرکت فناوری Cloud Privilege Broker را به عنوان یکی از ابزارهای قدرتمند در زمینه مدیریت مجوزهای دسترسی به زیرساخت‌های ابری و ماشین‌های مجازی توسعه دهد. این محصول که در گروه ابزارهای مدیریت حقوق زیرساخت‌های ابر (CIEM) سرنام cloud infrastructure entitlement management قرار می‌گیرد به کارشناسان شبکه و امنیت کمک می‌کند تا حقوق مربوط به محیط‌های چند ابری را به شکل ساده‌ای مدیریت کنند. BeyondTrust یک مکانیزم ارتباطی در ارتباط با تدوین الزامات قانونی و خط‌مشی‌ها توسعه داده است. همین مسئله باعث شده تا موسسه گارتنر، آن‌را یکی از مهم‌ترین ابزارهای پیشرفته در زمینه مدیریت حساب‌‌های کاربری توصیف کند. ابزاری که قابلیت‌های مصورسازی و تولید گزارش را دارد. مشتریان می‌توانند از طریق بسته تحلیلی BeyondInsight این شرکت از تحلیل‌های پیشرفته استفاده کنند.

CyberArk

CyberArk  یکی از بزرگ‌ترین شرکت‌های فعال در زمینه عرضه ابزارهای مدیریت مجوزهای دسترسی به حساب‌های کاربری است که طیف گسترده‌ای از راه‌حل‌های PAM را ارائه می‌کند. علاوه بر این ابزار فوق با مدل ارایه هویت و به شکل احراز هویت در قالب سرویس (IDaas) سرنام identity-as-a-service قابل استفاده است. این شرکت در سال 2020 میلادی با تصاحب شرکت  Idaptiveموفق شد، محصولات و سرویس‌های نرم‌افزاری خود را توسعه دهد. به‌طوری که ابزار نهایی تولید شده توسط این شرکت قابلیت‌های مختلفی مثل راه‌حل‌های احراز هویت چند مرحله‌ای برای نقاط پایانی، احراز هویت یکپارچه کارمندان، مدیریت هویت مشتریان، راه‌حل‌های احراز هویت بدون نیاز به گذرواژه و قابلیت‌های خود سرویس‌دهی برای مدیریت حساب‌های کاربری را دارد. محصولات این شرکت قابلیت‌های تحلیلی قدرتمندی ارائه می‌دهند و امکان استفاده از آن‌ها برای تکامل هر چه بیشتر طرح‌های ارزیابی امنیت وجود دارد. علاوه بر این، شرکت مذکور قابلیت‌های احراز هویت مبتنی بر ریسک RBA  سرنام risk-based authentication را دارد که امکان سفارشی‌سازی سطوح مدیریت ریسک را ارائه می‌کند.

علاوه بر این، CyberArk مجموعه‌ای غنی از ابزارهای مدیریت حساب‌های کاربری ابرمحور که CIEM  نام دارد را عرضه کرده است. این قابلیت‌ها رتبه‌بندی ریسک‌ها را که مناسب محیط‌های چند ابری و بزرگ است، شامل می‌شود. موسسه تحقیقاتی فورستر در این ارتباط  گفته است: « CyberAr در حوزه  IDaaSیکی از انتخاب‌های مهم برای سازمان‌هایی است که به دنبال رویکردی مبتنی بر ریسک برای IDaaS هستند. پلتفرم این شرکت توانایی همگام‌شدن با ابزارهای مدیریت هویت را دارد».

ForgeRock

شرکت ForgeRock پلتفرم جامعی در ارتباط با مدیریت دسترسی‌های کارمندان، مشتریان و شناسه‌های دستگاه‌های اینترنت اشیا را آماده کرده که امکان استفاده از آن‌ها در قالب یک بسته کامل یا مجزا وجود دارد. ابزار ارائه شده توسط این شرکت شامل مولفه‌های مدیریت هویت قوی برای سازمان‌هایی است که به دنبال امکانات IGA مثل مدیریت چرخه حیات هویت هستند. محصولات ForgeRock به دلیل امکان استفاده از آن‌ها با ابر و چارچوب‌های قدرتمند REST API  این شرکت، محبوبیت زیادی نزد توسعه‌دهندگان و مهندسان دو‌آپس دارد. البته، نکته منفی که در ارتباط با محصولات این شرکت وجود دارد، امکانات تحلیلی محدود آن‌ها نسبت به دیگر شرکت‌ها است، به‌طوری‌که قابلیت‌های تحلیل رفتار کلاینت‌ها و کاربران را ندارد.

Microsoft Azure Active Directory

مایکروسافت با ارائه محصول اکتیودایرکتوری مایکروسافت آژور که بیش از 300 هزار مشتری دارد، به سرعت تبدیل به یکی از بازیگران اصلی حوزه IAM تبدیل شده است. گارتنر، رشد سریع Azure AD را ناشی از ادغام مایکروسافت 365 و پلتفرم EMS سرنام Enterprise Mobility and Security  می‌داند. این ادغام قدرتمند باعث افزایش افزایش دو برابری تعداد دفعات نصب این محصول از سوی کاربران شده است. همچنین، این محصول به سرعت و از طریق نوآوری‌های مایکروسافت مجهز از هر دو فناوری IGA، PAM پشتیبانی می‌کند. لازم به توضیح است که پشتیبانی از فناوری CIEM  پس از تصاحب شرکت CloudKnox Security به مجموعه محصولات این شرکت افزوده شده است. یکی از نقطه ضعف‌های این محصول در ارتباط با ابزار IAM ویژه کاربران شخصی است. امکانات Azure AD برای این محصول، نسبت به محصولات پیشگامان در عرصه مدیریت سطح دسترسی محدودتر است.

منبع : techtarget

بیشتر بخوانید

یکی از دغدغه‌های مهم کارشناسان حوزه شبکه و امنیت، عدم دسترسی کاربران به سرویس‌ها و زیرساخت‌های تجاری است. هکرها می‌توانند از طریق پیاده‌سازی بردار حمله DDoS (انکار سرویس توزیع‌شده ) بدون نگرانی از بابت ردیابی و شناسایی شدن، کاری کنند که کاربران عادی قادر به استفاده از خدمات یک شرکت یا سازمان نباشند. همین مسئله باعث شده تا مدیران کسب‌وکارهای تجاری این پرسش را مطرح کنند که آیا راهکاری برای مقابله با این مدل حمله‌ها وجود دارد یا این امکان وجود دارد که از سرویس‌ها یا تجهیزات خاصی برای مقابله با این مدل حمله‌ها استفاده کنیم؟ یکی از مهم‌ترین پرسش‌های صاحبان کسب‌و‌کارها این است که DDoS Mitigation چیست؟

واقعیت این است که از شبکه‌های کوچک گرفته تا شبکه‌های بزرگ، همگی در معرض حملات DDoS قرار دارند. به همین خاطر، همواره باید برای محافظت در برابر حملات شبکه از راهکار DDoS Mitigation بهره‌مند شد. این کار می‌تواند با استفاده از تجهیزات فیزیکی یا راه‌حل‌های ابری انجام شود. استفاده از تجهیزات فیزیکی، هزینه‌بر است و ممکن است در تمامی موارد قابل استفاده نباشد، اما
DDoS Mitigation مبتنی بر ابر می‌تواند سطح بالاتری از حفاظت را عرضه کند. در این مقاله به شما خواهیم گفت که بردار حمله DDoS چیست و چه راه‌حل‌های نوینی برای مقابله با این بردار حمله در دسترس قرار دارند.

حمله DDoS چیست؟

حمله انکار سرویس توزیع‌شده (Distributed Denial of Service)، به مجموعه اقدامات مخربی اشاره دارد که با هدف ایجاد اختلال در ترافیک عادی یک سرور، سرویس یا شبکه به‌شکل هدفمند انجام می‌شود. به‌طور معمول، هکرها سعی می‌کنند اختلالی در زیرساخت‎‌های یک سازمان به‌وجود آورند تا ترافیک عادی شرکت را دچار مشکل کنند. این‌کار عمدتا به دو دلیل انجام می‌شود؛ دلیل اول کند کردن سرعت سایت است تا پاسخ‌گویی به درخواست‌های کاربران با صرف زمان زیادی انجام شود و دوم این‌که سایت به‌طور کامل از حرکت بازایستد و کاربران هیچ‌گونه پاسخی از سایت دریافت نکنند. در مجموع باید بگوییم که حمله DDoS ترافیک غیرمنتظره و شدیدی پدید می‌آورد تا عملکرد طبیعی وب‌سایت‌های اینترنتی که میزبانی آن‌ها توسط سرورها انجام می‌شود، مختل شود. در حالت کلی، باید بگوییم که یک حمله DDoS شبیه به این است که ترافیک غیرمنتظره‌ای وارد بزرگراهی شده و آن‌را مسدود کند و از رسیدن ترافیک منظم به مقصد جلوگیری کند.

امروزه، از حمله‌های DDoS برای دستیابی به داده‎‌های سازمانی، از مدار خارج کردن کسب‌وکارهای آنلاین رقبا، ایجاد اختلال در عملکرد سیستم‌‌‎عامل‌‎ها و غیره استفاده می‎‌شود. به‌طور معمول، حمله‌های DDoS از طریق طیف گسترده‌ای از آدرس‌های آی‌پی انجام می‌شود که پیش‌تر، هکرها آن‌ها را آلوده کرده‌اند. همین مسئله باعث می‌شود تا شناسایی فرد یا افرادی که این حمله را پیاده‌سازی کرده‌اند سخت یا حتا غیرممکن شود. هکرها می‌توانند حمله DDoS را از طریق به‌کارگیری انواع مختلفی از دستگاه‌‎ها و حتا تجهیزات اینترنت اشیاء پیاده‌سازی کنند. این‌کار از طریق آلوده‌سازی تجهیزات متصل به شبکه به اسکریپت‌های مخرب و کنترل آن‌ها از راه دور انجام می‌شود. این دستگاه‎های آلوده «زامبی» نام دارند و به شبکه‌ای از این دستگاه‌های آلوده، «بات‌نت» گفته می‌شود.

پس از ساخت شبکه‌ای از بات‌ها، هکرها می‎‌توانند از طریق ارسال دستورالعمل‎‌های مخرب برای کامپیوترهای آلوده به آن‌ها فرمان دهند به اهداف مدنظر حمله کنند. هنگامی که سرور یا شبکه هدف توسط بات‌ها هدف قرار گرفته می‌شود، هر بات درخواست‎‌هایی را به آدرس آی‌پی هدف ارسال می‎‌کند. ارسال درخواست‌ها تا زمانی ادامه پیدا می‌کند که سرور یا شبکه از توانایی انجام فعالیت‌های روزمره باز ایستد. با توجه به این‌که هر بات یک دستگاه اینترنتی با آدرس آی‌پی معتبر است، تفکیک ترافیک مخرب از ترافیک عادی برای بیشتر مدیران شبکه سخت است.

چگونه یک حمله انکار سرویس توزیع‌شده را شناسایی کنیم؟

هنگامی که یک حمله DDoS اتفاق می‌افتد، نشانه‌های ملموسی از خود نشان می‌دهد که بارزترین آن‌ها کند شدن ناگهانی سرعت سایت یا سرویس‎‌های اینترنتی است. با این‌حال، به‌دلیل این‌که بخش عمده‌ای از حمله‌های داس شباهت زیادی به اختلالات اینترنتی دارند، کارشناسان شبکه مجبور هستند کارهای بیشتری برای شناسایی حمله انجام دهند. برای این منظور باید از ابزارهای تجزیه‌و‌تحلیل ترافیک استفاده کرد. از نشانه‌های روشن حمله‌های انکار سرویس توزیع‌شده به موارد زیر باید اشاره کرد:

  •  افزایش ترافیک مرتبط با یک آدرس یا محدوده آدرس‌های آی‌پی مشخص.
  •  افزایش غیرعادی ترافیک کاربرانی که الگوی مصرف مشخصی دارند. به بیان دقیق‌تر، آن‌ها از یک نوع دستگاه، موقعیت جغرافیایی مشخص و غیره اقدام به ارسال درخواست می‌کنند.
  •  افزایش ناگهانی درخواست‌ها برای مراجعه به یک صفحه یا سایت خاص.
  •  الگوهای ترافیکی ناهنجار مثل مراجعه به صفحه خاصی در ساعات غیرقابل پیش‎‌بینی.

با در نظر گرفتن موارد یادشده، می‌توان تا حدودی مانع پیاده‌سازی موفقیت‌آمیز حمله‌های سایبری شد. البته، برای این‌که تشخیص دهید آیا حمله انکار سرویس توزیع‌شده اتفاق افتاده یا خیر، باید تحلیل‌های بیشتری انجام دهید.

انواع حمله‌های انکار سرویس توزیع‌شده

حمله‌های DDoS انواع مختلفی دارند و هر یک دستگاه‌ها و مولفه‌های مختلف متصل به شبکه‌ها را هدف قرار می‌دهند. برای آن‌که بتوانید شناخت دقیقی درباره انواع مختلف حمله‌های انکار سرویس توزیع‌شده داشته باشید، ضروری است اطلاعات اولیه‌ای در مورد شبکه‌ها و کانال‌های ارتباطی داشته باشید. شبکه‌های کامپیوتری از مولفه‌ها و لایه‌های مختلفی تشکیل شده‌اند و هر لایه هدف متفاوتی را دنبال می‌کند. مدل OSI نشان‌داده‌شده در شکل ۱، چارچوب مفهومی است که عملکرد هر یک از این هفت لایه مجزا از هم را شرح می‌دهد. به‌طور کلی، حمله‌های انکار سرویس توزیع‌شده به سه گروه اصلی زیر تقسیم می‌شوند:

حمله‌های لایه‌ کاربرد (application layer)

این نوع حمله گاهی‌اوقات به نام حمله انکار سرویس توزیع‌شده لایه ۷ شناخته می‌شود که اشاره به لایه کاربرد در مدل مرجع OSI دارد. هدف این حمله مصرف سریع منابع زیرساختی هدف است. به‌طوری که هیچ منبع آزادی برای پاسخ‌گویی به درخواست‌های کاربران در دسترس نباشد. این گروه از حمله‌ها، لایه‌ای که در آن وب‌سایت‌ها روی سرور تعریف شده‌اند و در پاسخ به درخواست‌های HTTP بسته‌های اطلاعاتی را تحویل می‌دهند، هدف قرار می‌دهند. پیاده‌سازی و اجرای یک درخواست HTTP ساده‌، در سمت کلاینت هزینه‌ای ندارد، اما پاسخی که سرور ارسال می‌کند، هزینه‌بر است؛ زیرا در بیشتر موارد، سرور باید چند فایل را بارگذاری کرده و کوئری‌های پایگاه داده را برای ایجاد یک صفحه وب اجرا کند. به‌دلیل این‌که تفکیک ترافیک مخرب از مجاز سخت است، دفاع در برابر حمله‌های انکار سرویس توزیع‌شده لایه ۷ نیز دشوار است. شکل ۲ نمونه‌ای از یک حمله لایه کاربرد را نشان می‌دهد.

 

Mengenal DDoS attack dan solusinya

HTTP Flood

این حمله از طریق ارسال درخواست‎‌های HTTP گسترده برای سرور انجام می‌شود. این حمله را می‎‌توان به دو نوع ساده و پیچیده طبقه‌بندی کرد. در حمله‌های ساده به سرور یا شبکه، این‌کار از طریق یک آدرس آی‌پی انجام می‌شود. در حالی که در حمله‌های پیچیده آدرس‌های اینترنتی تصادفی مورد استفاده قرار می‌گیرند.

حمله‌های پروتکل

این حمله‌ها نیز با هدف مصرف بیش‌از‌حد منابع سرور و تجهیزات مهم شبکه و مشغول نگه داشتن دیوارهای آتش انجام می‌شود تا اختلالی بزرگ در عملکرد سرویس‌ها به‌وجود آید. حمله‌های پروتکل، از نقاط ضعف لایه 3 و 4 پشته پروتکل استفاده می‌کنند تا هدف غیرقابل دسترس شود. شکل ۳، مثالی از نحوه پیاده‌سازی حمله فوق را نشان می‌دهد.

Layer-4 & Layer 7 DDoS Script

SYN Flood

این حمله با ارسال تعداد زیادی درخواست TCP (درخواست اتصال اولیه) از طریق آدرس‌های آی‌پی جعلی با هدف عدم دسترسی به پروتکل TCP و بروز مشکلات در سرور یا شبکه مورد استفاده قرار می‌گیرد.

این حمله مشابه این است که فردی در انبار است و درخواستی از بخش فروشگاه که وظیفه رسیدگی به درخواست‌های مشتریان را دارد، دریافت کند و پس از آماده‌سازی بسته و ارسال آن برای فروشگاه به انتظار بنشیند تا تاییده نهایی از بخش حسابداری را دریافت کند. اما در این مدت، درخواست‌های متعدد دیگری را دریافت ‌کند. حال اگر این روند ادامه پیدا می‌کند، کارگر با طیف گسترده‌ای از درخواست‌ها روبه‌رو می‌شود و دیگر قادر به انجام وظایف محوله نیست؛ به طوری که نمی‌تواند به درخواست‌های بیشتری رسیدگی کند و در نتیجه درخواست‌های مشتریان بی‌پاسخ می‌ماند.

حمله‌های حجمی (Volumetric)

این بردار حمله تمام پهنای باند موجود بین هدف و کاربر را مصرف می‌کند تا مشکل ازدحام را به‌وجود می‌آورد. در حمله فوق، حجم زیادی از داده‌ها با استفاده از یک الگوی تقویتی (Amplification) برای ساخت ترافیکی بزرگ و ارسال آن به‌سمت هدف ساخته می‌شوند. به‌طور معمول، در این مدل حمله‌ها از شبکه بات‌‌ها استفاده می‌شود. شکل ۴، نحوه پیاده‌سازی حمله فوق را نشان می‌دهد.

What is a distributed denial-of-service (DDoS) attack? | Cloudflare

حمله DNS Amplification

حمله فوق بر مبنای ارسال درخواست از سرور سامانه نام دامنه باز و آدرس آی‌پی جعلی (آی‌پی قربانی) با هدف ایجاد اختلال در عملکرد سرور و شبکه هدف اجرا می‌شود. حمله فوق، شبیه به این است که فردی با یک رستوران تماس بگیرد و بگوید من از تمام غذاهایی که دارید یکی می‌خواهم، لطفا با من تماس بگیرید تا تک تک موارد سفارشم را بگویم و شماره تلفنی که می‌دهد همان شماره تلفن هدف باشد. جالب است نه؟ در حمله فوق، تنها با یک تلاش بسیار کوچک، نتیجه‌ای بزرگ حاصل می‌شود.

ممانعت از پیاده‌سازی حمله‌های انکار سرویس توزیع‌شده

دغدغه اصلی در پیشگیری از بروز حمله انکار سرویس توزیع‌شده، تشخیص و تفکیک ترافیک مخرب از عادی است. همان‌طور که پیش‌تر اشاره کردیم، حمله انکار سرویس توزیع‌شده به اشکال مختلف (پیچیده، تطبیقی، ساده) پیاده‌سازی می‌شود. به همین دلیل، راهکارها و روش‌های خاصی برای پیشگیری از بروز حمله انکار سرویس توزیع‌شده در دسترس کارشناسان امنیت قرار دارد. لازم به توضیح است که هر چه حمله پیچیده‌تر باشد، تفکیک ترافیک حمله از ترافیک عادی سخت‌تر است.

در حقیقت، هدف مهاجم یا مهاجمان ساخت شرایطی پیچیده و غیرقابل‌ حل برای سرور، شبکه یا سایت است. هکرها همواره سعی می‌کنند از رخنه‌های مستتر در سرور و شبکه برای پیاده‌سازی این مدل حمله‌ها استفاده کنند. کارشناسان شبکه می‌توانند از طریق بررسی‌های مداوم و دقیق مانع شکل‌گیری حمله‌های فوق شوند. از راهکارهای مهم برای مقابله با حمله DDoS به موارد زیر باید اشاره کرد:

مسیریابی سیاه‌چاله (‌Blackhole Routing)

این روش، بیشتر توسط مدیران شبکه استفاده می‌شود. در روش فوق یک مسیر سیاه‌چاله ایجاد شده و ترافیک‎‌ها به‌سمت این مسیر هدایت می‌شوند. به بیان دقیق‌تر، سیاه‌چاله عملکردی شبیه به یک فیلتر دارد؛ ترافیک مخرب را به درون خود کشیده و آن را از شبکه دور می‌کند. در روش مذکور ترافیک سایت به سیاه چاله ارسال می‌شود و پس از مدتی از دسترس خارج می‌شود. درست است که راهکار فوق چندان ایده‌آل نیست، اما از شبکه در برابر ترافیک‌های مخرب محافظت می‌کند.

محدودیت سرعت  (Rate Limiting)

در روش فوق، تعداد درخواست‌هایی که سرور در یک بازه زمانی خاص قبول می‌کند، محدود است. لازم به توضیح است که روش فوق بیشتر برای ممانعت از سرقت محتوا استفاده می‌شود و به‌تنهایی یک روش کارآمد برای مقابله با حمله‌های انکار سرویس توزیع‌شده نیست.

دیوارآتش برنامه وب  (Web Application Firewall)

روش WAF، یکی از راهکارهای موثر برای مقابله با حمله‌های انکار سرویس توزیع‌شده مبتنی بر لایه 7 است. شما می‌توانید WAF را میان اینترنت و سرور مبدا قرار دهید تا عملکردی شبیه به یک دیوار داشته باشد. در این حالت، دیوارآتش برنامه وب، قادر به مقابله با انواع مختلف ترافیک‌های مخرب است.

انتشار شبکه  (Anycast Network Diffusion)

در روش فوق از یک شبکه یونی‌کست برای پراکنده کردن ترافیک‌های مخرب که قصد ورود به شبکه را دارند استفاده می‌شود. راهکار فوق تقریبا به این صورت عمل می‌کند که کانال‌های جداگانه‌ای برای هدایت ترافیک تعریف می‌کند که قادر هستند ترافیک مخرب را به کانال‌های مختلفی هدایت کنند تا از شدت آن‌ها کاسته شود.

DDoS Mitigation، راهکاری قدرتمند برای مقابله با حمله DDoS 

یکی از کارآمدترین راهکارهایی که برای مقابله با حمله‌های انکار سرویس توزیع‌شده در دسترس کارشناسان امنیتی قرار دارد،DDoS Mitigation است. راهکاری که طی آن از یک سرور یا شبکه در برابر حمله‌های انکار سرویس توزیع‌شده محافظت می‌شود. DDoS Mitigation می‌تواند با استفاده از تجهیزات مخصوص شبکه یا سرویس‌های حفاظتی مبتنی بر ابر انجام شود. معماری DDoS Mitigation  بر مبنای یک رویکرد چهار مرحله‌ای به مقابله با این مدل حمله‌ها می‌پردازد که در آن یک سرویس‌دهنده‌ ابری در مرکز معماری مستقر می‌شود.

عملکرد هر یک از مولفه‌های فوق به‌شرح زیر است: 

تشخیص (Detection)

برای پیشگیری از بروز حمله انکار سرویس توزیع‌شده، یک وب‌سایت باید توانایی تشخیص حجم بالای ترافیک معمولی و مجاز را که به دلایل گوناگون ایجاد می‌شود داشته باشد. به‌طور مثال، اگر انتشار یک سرویس یا برنامه کاربردی وب‌محور باعث ایجاد بازدید جدید شود، اما سایت آن را به‌عنوان یک حمله تشخیص دهد، آن‌گاه بخش قابل توجهی از زحمات انجام‌گرفته برای افزایش بازدید به هدر می‌رود. ازاین‌رو، یکی از مهم‌ترین مراحل DDoS Mitigation، توانایی تشخیص درست ترافیک مجاز است. بررسی آدرس‌های آی‌پی، توجه به الگوی حمله‌های متداول و ارزیابی داده‌های قبلی از جمله راهکارهایی هستند که باید در چنین شرایطی از آن‌ها استفاده کرد.

پاسخ (Response)

مرحله بعد، پاسخ‌دهی است. با حذف ترافیک مخرب و تفکیک آن از ترافیک عادی قادر به مقابله با این بردار حمله هستید. شبکه با استفاده از قوانین WAF برای مقابله با حمله‌های لایه‌ کاربرد یا فرآیندهای فیلتراسیون برای مدیریت لایه‌های پایین‌تر (لایه ۳ و ۴) مانند تقویت حافظه‌ پنهان، کمک می‌کند تا اختلال به میزان قابل توجهی کاهش پیدا کند.

مسیریابی (Routing)

در این مرحله با مسیریابی هوشمندانه ترافیک که یک راه‌حل موثر در استراتژی DDoS Mitigation است، ترافیک موجود به بخش‌های کوچک‌تر تقسیم می‌شود تا سرویس‌دهی قطع نشود.

انطباق (Adapt)

شبکه‌‌ای که طراحی خوبی داشته باشد، ترافیک ورودی را برای یافتن یک الگوی خاص مانند آی‌پی متخلف، حمله‌های مشخص از کشورهای خاص یا پروتکل ویژه‌‌ای که به‌شکل نامناسب استفاده می‌شود، تحلیل می‌کند. تحلیل فوق کمک می‌کند تا ترافیک دریافتی با الگوهای حمله مقایسه شود. راهکار فوق باعث می‌شود تا بتوان به‌شکل قابل توجهی از شبکه در برابر تهدیدهای فعلی یا آینده محافظت کرد.

سرویس DDoS Mitigation چه ویژگی‌های شاخصی دارد؟

در گذشته، راه‌حل‌های سنتی DDoS Mitigation مبتنی بر خرید تجهیزاتی بودند که به‌شکل درون‌سازمانی در محل شرکت‌ها قرار می‌گرفتند و ترافیک ورودی را فیلتر می‌کردند. با این حال، رویکرد فوق شامل خرید و نگه‌داری تجهیزات گران‌قیمت بود و متاسفانه اگر حمله انکار سرویس توزیع‌شده بیش‌ازحد بزرگ بود، تجهیزات به‌سختی قادر به محافظت از زیرساخت‌ها در برابر حمله‌ها بودند. به بیان دقیق‌تر، تجهیزات برای ترافیک‌های مخرب ترابایتی قادر به انجام کار خاصی نبودند. به همین خاطر هنگام اجاره سرویس DDoS Mitigation باید به ویژگی‌های خاصی دقت کرد. این ویژگی‌ها به‌شرح زیر هستند:

ظرفیت شبکه

ظرفیت شبکه یک راه ایده‌آل برای ارزیابی سرویس DDoS Mitigation است و قدرت سرویس فوق برای مهار حمله DDoS را نشان می‌دهد. به‌طور مثال، شبکه‌ای که ظرفیت یک ترابیت در ثانیه دارد، به‌لحاظ تئوری می‌تواند تا همان حجم از ترافیک را منهای پهنای باند مورد نیاز برای حفظ عملیات معمول، مسدود کند. بیشتر سرویس‌های DDoS Mitigation ابرمحور، ظرفیت چند ترابیت بر ثانیه ارائه می‌کنند که فراتر از نیازهای سازمان‌ها است.

ظرفیت پردازش

علاوه بر ظرفیت شبکه، توان عملیاتی DDoS Mitigation، معیار مهم دیگری است که باید به آن دقت کنید و تحت عنوان قابلیت‌های پردازشی از آن نام برده می‌شود. به‌طور معمول، سرویس‌های DDoS Mitigation با نرخ انتقال بیت‌ها بر حسب ثانیه اندازه‌گیری می‌شوند. امروزه، بروز حمله‌هایی بالاتر از 50 مگابیت بر ثانیه عادی است و برخی از آن‌ها با شدت 200 تا 300 مگابیت بر ثانیه اتفاق می‌افتند. حمله‌ای که فراتر از قدرت پردازشی مکانیزم‌های امنیتی باشد، به‌راحتی قادر به مختل کردن عملکرد سیستم‌های دفاعی است. به همین دلیل ضروری است قبل از آن‌که سرویس DDoS Mitigation را اجاره ‌کنید، به‌دقت این مسئله را ارزیابی کنید.

تاخیر

برخی سرویس‌های DDoS Mitigation توانایی عبور یا به عبارت دقیق‌تر انتقال ترافیک وب‌سایت یا برنامه را دارند. اگر سرویس انکار سرویس توزیع‌شده به‌شکل درون‌سازمانی باشد، هنگام وقوع حمله، ترافیک به سرویس DDoS Mitigation تغییر مسیر می‌دهد. اگر DDoS Mitigation همواره در وضعیت فعال باشد، تمام ترافیک دریافتی شبکه از این سرویس عبور می‌کند که بالاترین سطح از امنیت را ارائه می‌دهد. نکته‌ مهمی که باید در این زمینه به آن دقت کنید، ارتباط بین مرکز داده و ارائه‌دهنده‌ DDoS Mitigation است. اگر ارتباط به شکل پایدار و پرسرعت باشد، کاربران نهایی کمترین تاخیر را تجربه می‌کنند. علاوه بر این، موقعیت جغرافیایی سرویس‌دهنده‌ DDoS Mitigation و نزدیک بودن آن به مرکز داده‌ای که از آن استفاده می‌کنید، اهمیت زیادی دارد. به‌طور مثال، تصور کنید شرکتی در آسیا قرار دارد و در نظر دارد از سرویس DDoS Mitigation مستقر در اروپا استفاده کند. در چنین شرایطی، هر درخواست کاربر ابتدا باید به شرکت ارائه‌دهنده خدمات اروپا انتقال پیدا کرده و دومرتبه به آسیا بازگردد. بدیهی است، در چنین شرایطی شاهد تاخیر قابل توجهی هستیم.

زمان Mitigation

هنگامی که حمله‌ای شناسایی می‌شود، مدت زمان مورد نیاز برای دفع حمله، باید در کمترین حالت ممکن باشد. کارشناسان امنیتی می‌توانند بیشتر حمله‌های انکار سرویس توزیع‌شده را تنها در عرض چند دقیقه از بین ببرند. به همین دلیل، در زمان اجاره یک سرویس Mitigation باید به‌مدت زمان آن دقت خاصی داشته باشید. یکی از پرسش‌های مهم پیرامون DDoS Mitigation این است که آیا سرویس مذکور می‌تواند برای مقابله با حمله‌های لایه شبکه مورد استفاده قرار گیرد؟ با توجه به این‌که بیشتر حمله‌های انکار سرویس توزیع‌شده روی لایه‌ شبکه انجام می‌شود، ماهیت حجمی دارند و آسیب زیادی به زیرساخت‌ها وارد می‌کنند، سرویس‌دهندگان Mitigation DDoS ابزارهای لازم برای مقابله با این مدل حمله‌ها را پیاده‌سازی می‌کنند. بنابراین، پاسخ مثبت است.

کلام آخر

در این مقاله سعی کردیم، تا حدودی بردار حمله انکار سرویس توزیع‌شده را بررسی کرده و راهکارهایی برای مقابله با این مدل حمله‌ها ارائه دهیم. به‌طور کلی، پیشنهاد می‌شود هرچند وقت یک‌بار وضعیت ترافیک سرور خود را بررسی کنید تا مانع بروز حمله‌های انکار سرویس توزیع‌شده پیچیده پیرامون شبکه‌ها و سرورها شوید. در نهایت به این نکته دقت کنید که اگر قصد استفاده از سرویس‌دهنده‌های ابرمحور در این زمینه را دارید، باید به روش‌هایی که شرکت‌ها بر مبنای آن کار می‌کنند دقت نظر خاصی داشته باشید. به‌طور مثال، برخی از آن‌ها از مکانیزم مسیریابی تهی استفاده می‌کنند تا تمام ترافیک را به یک آدرس آی‌پی غیرموجود هدایت کنند یا برخی دیگر آدرس آی‌پی سرور اصلی را پنهان می‌کنند تا هکرها نتوانند حمله انکار سرویس توزیع‌شده مستقیمی به سرور داشته باشند.

بیشتر بخوانید

کار در فضای مجازی با استفاده از اینترنت می‌تواند یک سفر پر دردسر باشد. بازیگران بدی که قصد بهره‌برداری از کاربران ناآگاه را دارند، دائما در پشت ایمیل‌ها، وب‌سایت‌ها و دعوت‌های رسانه‌های اجتماعی در کمین هستند. حتی روتر Wi-Fi شما و آن کد‌های QR که اکنون در همه جا وجود دارند نیز می‌توانند نقاط خطر باشند. به این لیست، تهدید‌های بی‌پایان ویروس و بدافزار را نیز اضافه کنید.

کاربران رایانه و دستگاه‌های تلفن همراه اغلب از مناطق خطر بی‌اطلاع هستند، با این حال اینترنت نباید یک سفر دائمی از طریق سرزمین‌های بد باشد. چیزی که برای محافظت آنلاین لازم است این است که بدانید از چه چیزی اجتناب کرده و چگونه از خود محافظت کنید. هکر

در ادامه پنج راهکار برای حفظ امنیت در فضای دیجیتال ارائه شده است:

۱. کد‌های QR، مفید، اما بالقوه مضر

این پیوند‌های تصویر با اندازه پستی به وب سایت‌ها می‌توانند نقش بسیار موثری در تسهیل کارها داشته باشند، کافی است دوربین تلفن هوشمند خود را به سمت آن بگیرید و فورا به یک وب سایت، محل پشتیبانی فنی، پیشنهاد تخفیف در خرید یا منوی رستوران بروید؛ با این حال، کد‌های QR همچنین می‌توانند شما را به مکانی تهدید آمیز ببرند که در آن بدافزار یا بدتر از آن در انتظار شماست. کد‌های QR را می‌توان طوری برنامه ریزی کرد که به هر چیزی پیوند داده شود و حریم خصوصی و امنیت شما را در معرض خطر بزرگی قرار دهد.

قبل از اسکن یک کد QR فکر کنید. اگر کد در وب سایت یا سند چاپی مورد اعتماد شما نمایش داده می‌شود، احتمالا امن است، اگر نه، یا مطمئن نیستید، آن را بررسی کنید.


۲. از کلاهبرداری‌های ایمیل «لغو اشتراک» خودداری کنید

این یک کلاهبرداری رایج در حال انجام است که نرخ موفقیت بالایی برای هکر‌ها دارد. قربانیان احتمالی، ایمیلی با محتوای یک پیشنهاد محصول یا سایر دعوت نامه‌های تجاری دریافت می‌کنند. مرحله اقدام به انصراف، فریبنده بوده و معمولا با این مضمون ارسال می‌شوند: «نمی‌خواهید ایمیل‌های ما را دریافت کنید؟ برای لغو اشتراک، اینجا را کلیک کنید» اشاره می‌کند.

گاهی اوقات ایمیل‌های تکراری آزاردهنده از شما می‌پرسند که آیا می‌خواهید اشتراک ایمیل‌های بعدی را لغو کنید. برخی حتی به شما پیوندی برای لغو اشتراک پیشنهاد می‌دهند.

هیچ گزینه‌ای را انتخاب نکنید. با کلیک بر روی لینک‌ها یا پاسخ دادن آدرس فعال شما تایید می‌شود.

هرگز آدرس ایمیل خود را در قسمت «لغو اشتراک من» وارد نکنید. ارسال کنندگان بیشتری دنبال خواهند شد.

راه حل بهتر برای حذف ایمیل‌های ناخواسته، به خصوص از طرف یک فرستنده ناشناس، علامت گذاری آن به عنوان هرزنامه است که آن را به پوشه اسپم منتقل می‌کند، همچنین می‌توانید آن فرستنده را به لیست مسدودی برنامه ایمیل خود اضافه کنید یا فیلتری را تنظیم کنید تا قبل از رسیدن به صندوق ورودی شما به طور خودکار آن را حذف کند.

۳. قفل کردن هکر‌های فیسبوک

هکرهای دیگر سعی می‌کنند حساب‌های فیسبوک را غصب کنند. آن‌ها می‌توانند رمز عبور، آدرس ایمیل و شماره تلفن شما را تغییر دهند و حتی یک کد امنیتی اضافه کنند تا مانع ورود شما به حسابتان شوند. قبل از اینکه مشکلی اتفاق بیفتد، برای جلوگیری از این شرایط فعال باشید. فیسبوک تنظیمات امنیتی زیر را ارائه می‌دهد که باید فعال کنید.

احراز هویت دو مرحله‌ای (۲FA) را فعال کنید تا به تایید ورود شما در دستگاه جداگانه نیاز داشته باشد.

برای انجام این کار، وارد حساب فیسبوک خود شده و به تنظیمات و حریم خصوصی بروید. سپس Security را انتخاب کرده و وارد شوید. به پایین اسکرول کرده و گزینه Two-factor authentication را ویرایش کنید.

تنظیمات احراز هویت دو مرحله‌ای فیسبوک

این دو ویژگی اضافی را برای مسدود کردن هکر‌های فیسبوک فعال کنید:

قابلیت Code Generator را در اپلیکیشن موبایل فیسبوک روشن کنید
هشدار‌های ورود به ایمیل خود را تنظیم کنید

ابتدا اپلیکیشن موبایل فیسبوک را باز کنید و روی ذره بین ضربه بزنید و عبارت «code generator» را وارد کنید و روی نماد جستجو ضربه بزنید. روی نتیجه Code Generator ضربه بزنید تا به صفحه بعدی بروید، سپس روی دکمه «روشن کردن کد ژنراتور» ضربه بزنید تا یک کد ۶ رقمی دریافت کنید که هر ۳۰ ثانیه تغییر می‌کند. برای ورود به حساب کاربری خود در دستگاه دیگری باید این کد را در این بازه زمانی کوتاه وارد کنید.

در مرحله بعد، هشدار‌هایی را در مورد ورود‌های ناشناس تنظیم کنید. می‌توانید این کار را از طریق رایانه یا دستگاه تلفن همراه انجام دهید.

۴. روتر Wi-Fi خود را ایمن کنید

شیوع بیماری کرونا و افزایش دورکاری در سطح جهان، راه را برای هکرها در مورد روتر‌های وای فای خانگی هموار کرده است، حملات بدافزار به شبکه‌های وای فای خانگی در حال افزایش است، زیرا تنظیمات مسکونی اغلب فاقد سطح امنیت و حفاظتی هستند که در شبکه‌های سازمانی یافت می‌شود.

یکی از ابزار‌های حمله ناخوشایند، به نام ZuoRAT، یک تروجان دسترسی از راه دور است که برای هک کردن روتر‌های اداری کوچک طراحی شده است و می‌تواند روی رایانه‌های macOS، Windows و Linux تاثیر بگذارد.

با استفاده از آن، هکر‌ها می‌توانند داده‌های شما را جمع آوری کرده و هر سایتی را که در شبکه خود بازدید می‌کنید، هک کنند. یکی از بدترین عوامل ZuroRAT این است که هنگامی که روتر شما آلوده شد، می‌تواند روتر‌های دیگر را آلوده کند تا به گسترش دسترسی هکر‌ها ادامه دهد.

۵. مراقب طرح‌های پشتیبانی فنی ساختگی باشید

برخی از کلاهبرداران با تلفن تماس می‌گیرند و به شما می‌گویند که یک بخش پشتیبانی فنی هستند که برای یک شرکت رایانه یا نرم افزار معروف کار می‌کنند. تماس گیرنده ادعا می‌کند که در پاسخ به هشداری از رایانه شما در مورد شناسایی ویروس یا بدافزار در دستگاه شما تماس می‌گیرد. کلاهبردار پیشنهاد می‌کند که اگر به سادگی شماره کارت اعتباری خود را ارائه دهید، آن را برطرف کند.

هرگز اجازه ندهید یک کلاهبردار شما را فریب دهد تا به یک وب سایت برود یا روی یک پیوند کلیک کند.
هرگز با اتصال از راه دور توسط به اصطلاح عامل پشتیبانی فنی که شروع کننده تماس با شماست موافقت نکنید. هرگز اطلاعات پرداخت را در ازای پشتیبانی فنی که شما درخواست نکرده‌اید، ندهید. شرکت‌های فنی قانونی با شما تماس نمی‌گیرند و برای رفع مشکلی که ادعا می‌کنند در دستگاه شما کشف کرده‌اند، درخواست پرداخت نمی‌کنند.

اگر مشکوک هستید که رایانه شما مشکل ویروس یا بدافزار دارد، خودتان با یک مرکز تعمیر تماس بگیرید. احتمالا قبلا یک طرح پشتیبانی یا گارانتی فعال از جایی که رایانه را خریداری کرده‌اید، دارید. اگر با یک شرکت پشتیبانی فنی تماس نگرفته‌اید، تماس یا پیامی که دریافت کرده‌اید فریب دهنده است.

بیشتر بخوانید

محققان می‌گویند هکر‌ها می‌توانند ابزار اتوماسیون ویندوز ۱۱ را به راحتی هک کرده و از طریق باج‌افزار از کاربران سوءاستفاده کنند.

در چند سال گذشته، خودکار کردن کار‌های روزمره ساده‌تر شده است. با استفاده از نرم‌افزار اتوماسیون، می‌توانید ساعات کاری خود را در صفحه‌گسترده ردیابی کنید یا زمانی که شخصی از شما در ایمیل نام می‌برد، به‌طور خودکار یک مورد از فهرست کار‌ها را ایجاد کنید. ابزار‌ها می‌توانند زندگی شما را آسان‌تر کنند، اما خطراتی را نیز به همراه دارند. ویندوز ۱۱

یک محقق امنیتی راهی برای ربودن ابزار اتوماسیون نرم افزاری مایکروسافت برای ارسال باج افزار به ماشین‌های متصل و سرقت داده‌ها از دستگاه‌ها یافته است.

مایکل بارگوری، موسس و مدیر ارشد فناوری شرکت امنیتی Zenity که پشت این کار است، گفت: این حمله از ابزار اتوماسیون، همان طور که طراحی شده است، استفاده می‌کند؛ اما به جای ارسال اقدامات قانونی، می‌توان از آن برای استقرار بدافزار استفاده کرد.

بارگوری گفت: تحقیق من نشان داد که شما به‌عنوان یک مهاجم می‌توانید به راحتی از تمام این زیرساخت‌ها استفاده کنید تا دقیقا همان کاری را که قرار است انجام دهد، انجام دهید. شما از آن برای اجرای محموله‌های خود به جای محموله‌های سازمانی استفاده می‌کنید.

این حمله مبتنی بر Power Automate مایکروسافت است. یک ابزار اتوماسیون که در ویندوز ۱۱ تعبیه شده است. Power Automate از نوعی اتوماسیون فرآیند روباتیک استفاده می‌کند که به عنوان RPA نیز شناخته می‌شود که در آن رایانه از اقدامات انسان برای تکمیل وظایف تقلید می‌کند. اگر می‌خواهید هر بار که فید RSS به‌روزرسانی می‌شود، یک اعلان دریافت کنید، می‌توانید یک فرآیند RPA سفارشی برای تحقق آن ایجاد کنید. هزاران مورد از این اتوماسیون‌ها وجود دارد و نرم افزار مایکروسافت می‌تواند Outlook، Teams، Dropbox و سایر برنامه‌ها را به هم مرتبط کند.
این نرم‌افزار بخشی از یک جنبش گسترده‌تر کم‌کد/بدون کد است که هدف آن ایجاد ابزار‌هایی است که افراد می‌توانند از آن برای ایجاد مواردی بدون داشتن دانش کدنویسی استفاده کنند.

تحقیقات بارگوری از موقعیتی شروع می‌شود که در آن یک هکر قبلا به رایانه شخصی دسترسی پیدا کرده است؛ چه از طریق فیشینگ و چه از طریق یک تهدید داخلی.

هنگامی که یک مهاجم به رایانه دسترسی پیدا می‌کند، باید چند مرحله اضافی را برای سوء استفاده از تنظیمات RPA انجام دهد؛ اما این‌ها نسبتا ساده هستند.

بارگوری که کل فرآیند را Power Pwn نامیده و در حال مستندسازی آن در GitHub است، گفت: این جا هک زیاد نیست. یک مهاجم ابتدا باید یک حساب ابری مایکروسافت که به عنوان مستاجر شناخته می‌شود، راه‌اندازی کرده و آن را طوری تنظیم کند که کنترل‌های مدیریتی بر روی ماشین‌هایی که به او اختصاص داده می‌شود، داشته باشد. این اساسا به حساب مخرب اجازه می‌دهد تا فرآیند‌های RPA را در دستگاه کاربر نهایی اجرا کند. در دستگاهی که قبلا در معرض خطر قرار گرفته بود، اکنون تنها کاری که یک هکر باید انجام دهد این است که آن را به حساب مدیریت جدید اختصاص دهد، این کار با استفاده از یک خط فرمان ساده به نام ثبت نام خاموش انجام می‌شود.

بارگوری گفت: هنگامی که این کار را انجام دادید، یک URL دریافت خواهید کرد که به شما به عنوان یک مهاجم امکان ارسال محموله‌ها را به دستگاه می‌دهد. قبل از سخنرانی خود در DefCon، او چندین نسخه نمایشی ایجاد کرد که نشان می‌داد چگونه می‌توان از Power Automate برای خروج باج‌افزار به ماشین‌های آسیب‌دیده استفاده کرد. دمو‌های دیگر نشان می‌دهند که چگونه یک مهاجم می‌تواند توکن‌های احراز هویت را از یک ماشین بدزدد.

او گفت: شما می‌توانید از طریق این تونل قابل اعتماد، داده‌ها را خارج از شبکه‌های شرکتی استخراج کنید، می‌توانید کی لاگر بسازید یا اطلاعات را از کلیپ بورد گرفته و مرورگر را کنترل کنید.

سخنگوی مایکروسافت پتانسیل این حمله را کم اهمیت جلوه داد و اشاره کرد که قبل از استفاده از یک حساب، مهاجم باید به آن دسترسی داشته باشد. هیچ مکانیزمی وجود ندارد که به وسیله آن یک دستگاه کاملا به روز شده با محافظت‌های آنتی ویروس از راه دور با استفاده از این تکنیک به خطر بیفتد. این تکنیک بر یک سناریوی فرضی متکی است که در آن یک سیستم از قبل در معرض خطر یا مستعد به خطر افتادن با استفاده از تکنیک‌های موجود مانند مهندسی اجتماعی هم برای حمله اولیه و هم برای هر حمله بعدی شبکه است.

به گفته بارگوری شناسایی این نوع حمله ممکن است سخت باشد؛ زیرا از سیستم‌ها و فرآیند‌های رسمی در سراسر آن استفاده می‌کند. وقتی به معماری فکر می‌کنید، این یک ابزار اجرای کد از راه دور است که توسط مایکروسافت ساخته شده و در تمام طول مسیر توسط مایکروسافت امضا شده است.

بارگوری گفت که قبل از سخنرانی او در DefCon، تیم مایکروسافت با او تماس گرفته و اشاره کرده اند که مدیران شبکه‌های تجاری می‌توانند با «افزودن یک ورودی رجیستری» به دستگاه‌های خود دسترسی به ابزار‌های Power Automate را محدود کنند. این فرآیند کنترل‌هایی را بر روی انواع حساب‌هایی که می‌توانند به Power Automate وارد شوند، اعمال می‌کند؛ بنابراین احتمال سوء استفاده از سیستم را کاهش می‌دهد.

با این حال بارگوری گفت: برای موفقیت‌آمیز بودن، این حرکت به تیم‌های امنیتی متکی است که سیاست‌های منسجم و روشنی را در سراسر سازمان‌های خود داشته باشند که همیشه این طور نیست.

در حالی که محبوبیت ابزار‌های RPA در حال افزایش است، قبلا حملاتی در دنیای واقعی برای سوء استفاده از پلتفرم‌ها طراحی شده‌اند. در اوایل سال ۲۰۲۰، تیم امنیتی مایکروسافت شش گروه هکر از جمله یک APT چینی را در شبکه یک شرکت پیدا کرد. یکی از گروه‌های هکر از سیستم‌های خودکار برای حذف داده‌ها استفاده کرد.

مایکروسافت در گزارش حادثه نوشت: “در اقدامی غیر معمول، مهاجم از سیستم‌های موجود مشتری، از جمله eDiscovery، ویژگی Compliance Search و Microsoft Flow برای سرقت خودکار نتایج جست و جوی خود استفاده کرد.”

بیشتر بخوانید

محققین شرکت نوزومی نتورک از شناسایی آسیب پذیری های روز صفری خبر دادند که در سیستم های RTLS موجود است و می تواند کارگران محیط های صنعتی را به خطر بیاندازد.

محققین موفق به شناسایی چندین آسیب پذیری شده اند که سیستم های مکان یابی آنی یا همان بی درنگ (RTLS) مجهز به فناوری باند فوق عریض (UWB) را تحت الشعاع قرار می دهند. مهاجمین می توانند با استفاده از این آسیب پذیری ها حملات مهاجم میانی را صورت دهند و داده های مکانی را دستخوش تغییرات کنند.

طبق گزارش شرکت امنیت سایبری nozominetworks این آسیب پذیری های روز صفر می توانند خطرات امنیتی جدی را برای کارگران محیط های صنعتی به دنبال داشته باشند. در صورت بهره برداری یک بازیگر مخرب از این آسیب پذیری ها، آن ها این توانایی را خواهند داشت تا مناطق امن اختصاص داده شده به کارگران را دچار تغییرات کنند. این مناطق امن که توسط RTLS تعیین شده، از کارگران فعال در مناطق خطرناک محافظت می کنند.

RTLS به منظور شناسایی و ردیابی خودکار و آنی موقعیت مکانی اشیاء یا افراد مورد استفاده قرار می گیرد. این کار با استفاده از تگ هایی ممکن می شود که به دارایی های مورد نظر الصاق می شود. این تگ ها می توانند سیگنال های USB را در نقاط مرجع تعیین شده ای به نام اَنکِرز پخش و موقعیت مکانی آن ها را شناسایی کنند.

اما نقص های امنیتی شناسایی شده در راهکارهای RTLS بدین معنا هستند که این سیستم ها می توانند آلوده شوند و ضمن مسدود سازی بسته های شبکه ای تبادل شده میان انکرها و سرور مرکزی، حملات دستکاری ترافیک را صورت دهند.

مهاجمین با استفاده از این موضوع می توانند به مناطق محدود شده دسترسی پیدا کنند و ضمن اختلال در محیط های تولیدی، موارد با ارزش را به سرقت ببرند.

حال برویم دو مورد از شرایطی که ممکن است این آسیب پذیری به وجود بیاورد را مورد بررسی قرار دهیم:

  1. مهاجم می تواند با تغییر موقعیت مکانی تگ ها این طور نشان دهد که کارگر نزدیک منطقه خطرناک قرار دارد و خط تولید را متوقف کند در حالی کارگرها از منطقه خطر فاصله دارند.
  2. در شرایط دوم که برعکس مورد اول است مهاجم طوری تنظیمات را تغییر می دهد که نشان دهد کارگر دور از منطقه خطر قرار دارد. بنابراین ماشین های خطر زا شروع به کار می کنند این در حالی است کارگران در محدود خطر هستند!

بیشتر بخوانید

محققی به نام گوری از شناسایی روشی جدید به نام ETHERLED برای استخراج و سرقت اطلاعات از سیستم های Air-Gapped با استفاده از چراغ LED خبر داد.

محققی اسرائیلی به نام مردیچای گوری از شناسایی یک روش جدید برای استخراج و سرقت اطلاعات از سیستم های Air Gap شده با استفاده از نشانگرهای ال ای دی خبر داد.

رایانه ای که دارای Air gap می باشد از شبکه های ناایمن جدا شده است، به این معنی که به طور مستقیم به اینترنت وصل نشده است و همچنین به هیچ سیستم دیگری که به اینترنت متصل باشد، وصل نمی شود. یک رایانه Air gap شده نیز از نظر فیزیکی جدا شده است، به این معنی که داده ها فقط از طریق جسمی (از طریق USB، رسانه قابل جابجایی یا آتش نشانی با دستگاه دیگر) می توانند به آن منتقل شوند. تمام سازمان هایی که داده های بسیار حساس دارند (مانند واحد های کنترل تسلیحات) از این نوع شبکه استفاده می کنند.

این روش که ETHERLED نام دارد، چراغ های چشمک زن را به سیگنال های مورس کدی تبدیل می کند که می توانند توسط مهاجم رمزگشایی شوند.

به دست آوردن این سیگنال نیازمند استفاده از دوربین با دید مستقیم به چراغ های ال ای دی موجود بر روی کارت شبکه کامپیوترهای Air Gap است. این سیگنال ها یا همان علامت ها می توانند به داده های باینری تبدیل شوند که به سرقت اطلاعات کمک می کنند.

این سیستم ها در شبکه های Air Gap شده فعالیت می کنند و همچنان یک کارت شبکه را مورد استفاده قرار می دهد. در صورتی مهاجم آن ها را به بدافزار آلوده کند، خواهد توانست با هدف ارسال امواج داده های رمزنگاری شده، کارت درایور را با نسخه ای از آن  جا به جا کند که رنگ ال ای دی و تعداد چشمک زدن های آن را تغییر می دهند.

از این روش می توان در دیگر سخت افزارهای دارای ال ای دی مانند پرینترها، اسکنرها و… نیز استفاده کرد.

این حمله با کاشت بدافزار بر روی کامپیوتری آغاز می شود که حاوی نسخه دستکاری شده سفت افزار مرتبط با کارت شبکه است. این کار می تواند کنترل رنگ، تعداد چشمک ها و طول مدت آن ها را به دست مهاجمین بسپارد.

این بدافزار همچنین می تواند با حمله مستقیم به درایو کنترل کننده رابط شبکه، وضعیت اتصال آن را تغییر دهد و ال ای دی های آن ها را تنظیم کنند.

این محقق مدعی شد این درایور آلوده می تواند با بهره برداری از ویژگی های سخت افزاری، سرعت اتصال شبکه را دستخوش تغییرات کند و مشخصات چراغ های چشمک زدن را تغییر دهد.

بازیگران مخرب می توانند برای گرفتن این سیگنال ها از راه دور، هر چیزی اعم  از دوربین گوشی های هوشمند (تا 30 متر)، پهبادها (تا 50 متر)، وبکم های هک شده (10 متر)، دوربین های جاسوسی هک شده (30 متر) و تلسکوپ یا لنزهای سوپر زوم تله فوتو (تا 100 متر) را مورد استفاده قرار دهند.

زمان لازم برای نشت اطلاعاتی مانند پسورد از طریق ETHERLED  بین 1 ثانیه تا 1.5 دقیقه، برای کلیدهای خصوصی بیت کوین بین 2.5 ثانیه تا 4.2 دقیقه و برای کلیدهای 4096 بیت RSA بین 42 ثانیه تا 60 دقیقه است. (بسته به روش حمله)

بیشتر بخوانید
Diverse computer hacking shoot

مرکز مدیریت راهبردی افتا با توجه به بهره‌جویی باج‌افزار DeadBolt از ضعف امنیتی در Photo Station، از همه راهبران امنیتی سازمان‌های دارای زیرساخت حیاتی خواست تا تجهیزات QNAP خود را آپدیت کنند.

به گزارش کارگروه امنیت بهپارت به نقل از مرکز مدیریت راهبردی افتا، گردانندگان باج‌افزار DeadBolt این بار از یک آسیب‌پذیری در Photo Station برای رمزگذاری دستگاه‌های ذخیره‌سازی متصل به اینترنت ساخت شرکت QNAP، سوءاستفاده می‌کنند.

با توجه به هشدار شرکت کیونپ، کارشناسان امنیتی مرکز افتا از سازمان‌های دارای تجهیزات QNAP خواسته‌اند دستگاه‌ها و تجهیزات ذخیره‌ساز معروف به NAS را به‌طور مستقیم به اینترنت متصل نکنند و همچنین از قابلیت myQNAPcloud Link ارائه شده توسط QNAP استفاده کرده یا سرویس VPN را فعال کنند.

شرکت کیونپ به کاربران خود توصیه اکید کرده است Photo Station تجهیزات خود را به آخرین نسخه‌های غیرآسیب‌پذیر، به‌روز کنند و یا از محصول QuMagie به‌عنوان جایگزینی قدرتمند به‌جای Photo Station برای مدیریت ذخیره‌سازی تصاویر در تجهیزات NAS ساخت این شرکت استفاده کنند.

مهاجمان باج‌افزار DeadBolt دی ۱۴۰۰ نیز با بهره‌جویی از یک آسیب‌پذیری روز صفر دستگاه‌های NAS را در سرتاسر جهان هدف قرار دادند و اطلاعات این سیستم‌ها را رمزگذاری کردند.

در این حملات مهاجمان، پس از رمزگذاری تجهیزات NAS، در اطلاعیه باج‌گیری، خواستار پرداخت ۰.۰۳ باج بیت‌کوین (تقریباً ۱۲۷۷ دلار) به‌ازای یک کلید رمزگشایی برای بازیابی فایل‌ها شدند.

مهاجمان سایبری، کلید رمزگشایی اصلی را به قیمت ۵۰ بیت‌کوین عرضه می‌کنند که می‌تواند به همه قربانیان این باج‌افزار اجازه رمزگشایی فایل‌ها را بدهد.

بنا به گفته کارشناسان مرکز افتا، شرکت کیونپ، از دوازدهم شهریور در واکنش به موج جدیدی از حملات باج‌افزار DeadBolt در توصیه‌نامه‌ای به راهبران امنیتی توصیه کرده است علاوه بر به‌روزرسانی تجهیزات خود، به‌صورت جدی از رمزهای عبور قوی در تمام حساب‌های کاربری NAS استفاده و از اطلاعات و داده‌های خود به‌صورت منظم نسخه‌های پشتیبان تهیه کنند.

شرکت کیونپ ضمن انتشار هشداری، از مشتریان توصیه کرده است که دستگاه‌ها و تجهیزات NAS را مستقیماً به اینترنت متصل نکنند؛ همچنین از قابلیت myQNAPcloud Link ارائه شده توسط QNAP استفاده کرده یا سرویس VPN را فعال کنند.
به مشتریان شرکت کیونپ توصیه اکید شده است که Photo Station را به آخرین نسخه‌های غیر آسیب‌پذیر زیر، به‌روز کنند:

QTS 5.0.1: Photo Station 6.1.2 +
QTS 5.0.0/4.5.x: Photo Station 6.0.22 +
QTS 4.3.6: Photo Station 5.7.18 +
QTS 4.3.3: Photo Station 5.4.15 +
QTS 4.2.6: Photo Station 5.2.14 +

کیونپ به کاربران پیشنهاد می‌کند که از محصول QuMagie به‌عنوان جایگزینی قدرتمند به‌جای Photo Station برای مدیریت ذخیره‌سازی تصاویر در تجهیزات NAS ساخت این شرکت استفاده کنند.
مهاجمان باج‌افزار DeadBolt در دی 1400 نیز با بهره‌جویی از یک آسیب‌پذیری روز صفر دستگاه‌های NAS را در سرتاسر جهان هدف قرار دادند‌ و اطلاعات این سیستم‌ها را رمزگذاری کردند.
در این حملات مهاجمان باج‌افزاری،  پس از رمزگذاری تجهیزات NAS، پسوند .deadbolt را به نام فایل‌ها اضافه کرده و پیام رمزگذاری فایل‌ها توسط باج‌افزار DeadBolt را به‌صورت زیر در صفحه ورود دستگاه‌های NAS به کاربران نمایش می‌دهند:

“WARNING: Your files have been locked by DeadBolt”

بیشتر بخوانید

یک ابزار جدید مدیریت از راه دور (RAT) که اسناد مایکروسافت آفیس و Adobe PDF را برای ارائه کدهای مخرب مسلح می‌کند، در انجمن‌های وب تاریک و کانال‌های تلگرام مشاهده شد.

این بدافزار توسط محققان امنیتی در Resecurity در آخر هفته کشف شد و در توصیه‌ای که در یکشنبه، 21 آگوست 2022 منتشر شد، Escanor نام‌گذاری شد. بازیگران تهدید نسخه‌های مبتنی بر اندروید و رایانه‌های شخصی RAT را به همراه یک ماژول محاسبات شبکه مجازی مخفی (HVNC) ارائه می‌کنند و برای سلاح سازی از اسناد Microsoft Office و Adobe PDF برای سوءاستفاده و پیاده‌سازی کدهای مخرب استفاده می‌کنند.

طبق گفته تیم Resecurity، RAT برای اولین بار در 26 ژانویه 2022 برای فروش عرضه شد. این بدافزار در ابتدا به‌عنوان یک ایمپلنت HVNC طراحی شد و این بدافزار به‌سادگی به مهاجمان اجازه می‌داد تا یک اتصال راه دور بی‌صدا را با رایانه قربانی برقرار کنند. این ابزار بعداً به یک RAT تجاری در مقیاس کامل با مجموعه‌ای از ویژگی‌های غنی تبدیل شد.

Resecurity نوشت: Escanor در وب تاریک شهرت زیادی به دست آورده است و بیش از 28000 مشترک در کانال تلگرام جذب کرده است. درگذشته، این بازیگر دقیقاً با همین نام، نسخه‌های کرک شده سایر ابزارهای وب تاریک، ازجمله Venom RAT و Pandora HVNC را منتشر کرد که احتمالاً برای غنی‌سازی بیشتر قابلیت‌های Escanor استفاده می‌شدند.

در مورد نسخه موبایل Escanor (معروف به Esca RAT)، این بدافزار به‌طور فعال توسط مجرمان سایبری برای حمله به مشتریان بانکداری آنلاین از طریق رهگیری رمزهای یک‌بارمصرف (OTP) استفاده می‌شود. این ابزار را می‌توان برای جمع‌آوری مختصات GPS قربانی، نظارت بر ضربه‌های کلید، فعال کردن دوربین‌ها و مرور فایل‌ها در دستگاه‌های تلفن همراه از راه دور برای سرقت داده‌ها استفاده کرد.

علاوه بر این، Resecurity هشدار داد که نام دامنه مورداستفاده توسط Escanor قبلاً در ارتباط با Arid Viper، گروهی فعال در منطقه خاورمیانه در سال 2015 شناسایی‌شده بود که عمدتاً دارایی‌های نظامی اسرائیل را هدف قرار می‌داد.

در مورد Escanor، اکثر قربانیان آن در ایالات‌متحده، کانادا، امارات متحده عربی، عربستان سعودی، کویت، بحرین، مصر، اسرائیل، مکزیک و سنگاپور شناسایی‌شده‌اند که برخی از دسترسی‌های مخرب در جنوب شرق آسیا مشاهده‌شده‌اند.

بیشتر بخوانید

بنا بر ادعای گوگل، گروه هک ایرانی Charming Kitten  که توسط دولت حمایت می‌شود، از ابزار جدیدی برای دانلود پیام های‌ ایمیل از حساب‌های هدفمند Gmail، Yahoo و Microsoft Outlook استفاده کرده است.

نام این ابزار Hyperscraper است و مانند بسیاری از ابزار‌ها و عملیات عامل تهدید، به دور از هرگونه پیچیدگی است.

اما عدم پیچیدگی فنی آن با اثربخشی مؤثری همراه است و به هکر‌ها اجازه می‌دهد صندوق ورودی قربانی را بدون گذاشتن ردپای زیادی از نفوذ، بدزدند.

نفوذکننده‌ ایمیل ساده و در عین حال کارآمد
در یک گزارش فنی امروز، محققان گروه تحلیل تهدیدات گوگل (TAG) جزئیاتی را در مورد عملکرد Hyperscraper به اشتراک گذاشتند و گفتند که این بدافزار در حال توسعه فعال است.

گروه Google TAG این ابزار را به Charming Kitten، یک گروه تحت حمایت ایران که با نام‌های APT35 و Phosphorus نیز شناخته می‌شود، نسبت می‌دهد و می‌گوید که اولین نمونه‌ای که آن‌ها پیدا کرده‌اند مربوط به سال ۲۰۲۰ است.

محققان Hyperscraper را در دسامبر ۲۰۲۱ پیدا کردند و با استفاده از یک حساب کاربری آزمایشی Gmail آن را تجزیه و تحلیل کردند. این یک ابزار هک نیست، بلکه ابزاری است که به مهاجم کمک می‌کند تا داده‌های‌ ایمیل را بدزدد و پس از ورود به حساب‌ ایمیل قربانی، آن‌ها را در دستگاه خود ذخیره کند.

دریافت اعتبار (نام کاربری و رمز عبور، کوکی‌های احراز هویت) برای صندوق ورودی هدف در مرحله قبلی حمله، معمولاً با سرقت آن‌ها انجام می‌شود.

ابزار Hyperscraper یک مرورگر تعبیه شده دارد و عامل کاربر را به تقلید از یک مرورگر وب قدیمی تقلید می‌کند، که یک نمای اولیه HTML از محتوای حساب Gmail ارائه می‌دهد.

«این ابزار پس از ورود به سیستم، تنظیمات زبان حساب را به انگلیسی تغییر می‌دهد و از طریق محتویات صندوق پستی تکرار می‌شود، پیام‌ها را به‌صورت جداگانه به‌عنوان فایل‌های eml دانلود می‌کند و آن‌ها را به شکل خوانده نشده علامت‌گذاری می‌کند».  هنگامی که عملیات استخراج کامل شد، Hyperscraper زبان را به تنظیمات اصلی تغییر می‌دهد و هشدار‌های امنیتی را از Google حذف می‌کند.

محققان Google TAG می‌گویند که انواع قدیمی‌تر ابزار Charming Kitten می‌توانند داده‌ها را از Google Takeout، سرویسی که به کاربران اجازه می‌دهد داده‌ها را از حساب Google خود برای پشتیبان‌گیری یا استفاده از آن با یک سرویس شخص ثالث صادر کنند، درخواست کنند.

هنگام اجرا، Hyperscraper با یک سرور command-and-control (C2) در تماس است که منتظر تأیید برای شروع فرآیند exfiltration است.

اپراتور می‌تواند ابزار را با پارامتر‌های لازم (حالت عملیات، مسیر یک فایل کوکی معتبر، رشته‌شناسه) با استفاده از آرگومان‌های خط فرمان یا از طریق یک رابط کاربری حداقلی، پیکربندی کند.

 google iranian hackers use new tool to steal email from victims 2

اگر مسیر فایل کوکی از طریق خط فرمان ارائه نشده باشد، اپراتور می‌تواند آن را کشیده و در فرم جدیدی ر‌ها کند.

 google iranian hackers use new tool to steal email from victims 3
هنگامی که کوکی با موفقیت تجزیه شد و به حافظه پنهان محلی مرورگر وب اضافه شد، Hyperscraper یک پوشه “دانلود” ایجاد می‌کند که در آن محتویات صندوق ورودی مورد نظر را تخلیه می‌کند.

محققان خاطرنشان می‌کنند که اگر کوکی دسترسی به حساب را فراهم نکند، اپراتور می‌تواند به صورت دستی وارد شود.

google iranian hackers use new tool to steal email from victims 4

ابزار Hypercraper گذر از تمام بخش‌های یک حساب‌ ایمیل را خودکار می‌کند، پیام‌ها را باز می‌کند و آن‌ها را با فرمت EML دانلود می‌کند و آن‌ها را همانطور که در ابتدا پیدا شده باقی می‌گذارد.

اگر پیامی در ابتدا به‌عنوان خوانده‌نشده علامت‌گذاری شده بود، ابزار Charming Kitten پس از کپی کردن، آن را در همان حالت باقی می‌گذارد.

ابزار Hyperscraper تمام‌ ایمیل‌ها را به صورت محلی، روی دستگاه اپراتور، همراه با گزارش‌هایی که تعداد پیام‌های دزدیده شده را نشان می‌دهند، ذخیره می‌کند و داده‌های دیگری غیر از وضعیت و اطلاعات سیستم را به سرور C2 ارسال نمی‌کند.

google iranian hackers use new tool to steal email from victims 5

در پایان کار، Hyperscraper مسیر‌های خود را با حذف هر‌ ایمیلی از Google که می‌تواند به قربانی از فعالیت عامل تهدید هشدار دهد (اعلان‌های امنیتی، تلاش‌های ورود به سیستم، دسترسی به برنامه‌ها، در دسترس بودن بایگانی داده‌ها) را پنهان می‌کند.

گوگل مشاهده کرده است که Hyperscraper در تعداد کمی از حساب‌های کاربری، که همگی متعلق به کاربران در ایران هستند، استفاده می‌شود.

اهداف Charming Kitten که در آن از Hyperscraper استفاده شده است از طریق هشدار‌هایی در مورد حملات مورد حمایت دولت مطلع شده‌اند.

کاربرانی که چنین هشداری را دریافت کرده‌اند تشویق می‌شوند تا با ثبت‌نام در برنامه حفاظت پیشرفته Google (AAP) و با فعال کردن ویژگی مرور ایمن پیشرفته، دفاع خود را در برابر مهاجمان پیچیده‌تر تقویت کنند، که هر دو یک لایه امنیتی اضافه به مکانیسم‌های حفاظتی موجود ارائه می‌کنند.

گزارش Google TAG در مورد Hyperscraper امروز شاخص‌هایی از سازش مانند دو سرور C2 و هش برای ابزار‌های باینری پیدا شده را به اشتراک می‌گذارد.

بیشتر بخوانید

شرکت‌های Internet Search و T.Hunter سرویسی را برای جستجوی حساب کاربری خاص تلگرام ( Telegram ) با استفاده از آدرس IP ایجاد کرده‌اند. شما می‌توانید هویت یک فرد را با جمع‌آوری کلان داده‌ها و درخواست‌های کاربر به راحتی مشخص کنید.

ایگور بدروف، مدیر Internet Search، گفت: «در یک ثانیه، می‌توانند تا صد‌ها کاربر در یک آدرس IP وجود داشته باشد. برای شناسایی یکی از آن‌ها، باید اطلاعات غیر ضروری را فیلتر کنید، به عنوان مثال، سایر مناطق، داده‌های دستگاه‌های پایانی که از طریق آن به شبکه دسترسی دارد، اطلاعات مربوط به سیستم عامل و سایتی که به آن رفته است.» تلگرام

به گفته این کارشناس، اکثر سایت‌ها لاگ ذخیره می‌کنند، یعنی اطلاعات مربوط به دستگاه، اتصال، آدرس IP و غیره کاربر را می‌بینند. در حال حاضر ۶۴ منبع داده مختلف توسط IP به سرویس جستجوی حساب یک شخص در تلگرام متصل می‌شوند.

ولادیمیر ماکاروف، محقق OSINT از T.Hunter توضیح می‌دهد که برای جستجوی افراد، داده‌ها را از چندین “سایت خود” دریافت می‌کنند و همچنین ردپای دیجیتالی را از تلگرام با ارجاع به کاربر برای بیش از یک سال جمع‌آوری می‌کنند.

این سرویس دارای اطلاعات بیش از ۶ میلیون نفر است. و با وارد کردن آدرس IP در سیستم جستجو می‌توانید شخص خاصی را پیدا کنید.

تلگرام در سال ۲۰۲۲ جز پنج اپلیکیشن پردانلود دنیا بود و تعداد کاربران فعال این پیام‌رسان از مرز ۷۰۰ میلیون نفر در ماه گذشت.

بیشتر بخوانید
error: شما اجازه کپی کردن ندارید !!