شرکت‌های Internet Search و T.Hunter سرویسی را برای جستجوی حساب کاربری خاص تلگرام ( Telegram ) با استفاده از آدرس IP ایجاد کرده‌اند. شما می‌توانید هویت یک فرد را با جمع‌آوری کلان داده‌ها و درخواست‌های کاربر به راحتی مشخص کنید.

ایگور بدروف، مدیر Internet Search، گفت: «در یک ثانیه، می‌توانند تا صد‌ها کاربر در یک آدرس IP وجود داشته باشد. برای شناسایی یکی از آن‌ها، باید اطلاعات غیر ضروری را فیلتر کنید، به عنوان مثال، سایر مناطق، داده‌های دستگاه‌های پایانی که از طریق آن به شبکه دسترسی دارد، اطلاعات مربوط به سیستم عامل و سایتی که به آن رفته است.» تلگرام

به گفته این کارشناس، اکثر سایت‌ها لاگ ذخیره می‌کنند، یعنی اطلاعات مربوط به دستگاه، اتصال، آدرس IP و غیره کاربر را می‌بینند. در حال حاضر ۶۴ منبع داده مختلف توسط IP به سرویس جستجوی حساب یک شخص در تلگرام متصل می‌شوند.

ولادیمیر ماکاروف، محقق OSINT از T.Hunter توضیح می‌دهد که برای جستجوی افراد، داده‌ها را از چندین “سایت خود” دریافت می‌کنند و همچنین ردپای دیجیتالی را از تلگرام با ارجاع به کاربر برای بیش از یک سال جمع‌آوری می‌کنند.

این سرویس دارای اطلاعات بیش از ۶ میلیون نفر است. و با وارد کردن آدرس IP در سیستم جستجو می‌توانید شخص خاصی را پیدا کنید.

تلگرام در سال ۲۰۲۲ جز پنج اپلیکیشن پردانلود دنیا بود و تعداد کاربران فعال این پیام‌رسان از مرز ۷۰۰ میلیون نفر در ماه گذشت.

بیشتر بخوانید

یک عامل تهدید مرتبط با عملیات باج‌ افزار LockBit 3.0 از ابزار کامند لاین Windows Defender برای بارگذاری بیکون‌های Cobalt Strike در سیستم‌های آسیب‌دیده و فرار از شناسایی توسط نرم‌افزار امنیتی سواستفاده می‌کند.

بدافزار Cobalt Strike یک مجموعه تست نفوذ قانونی با ویژگی‌های گسترده است که در بین عوامل تهدید برای انجام شناسایی پنهان شبکه و حرکت جانبی قبل از سرقت داده‌ها و رمزگذاری آن‌ها، محبوب است.

با این حال، راه‌حل‌های امنیتی در تشخیص بیکون‌های Cobalt Strike بهتر شده‌اند و عاملان تهدید را وادار می‌کنند که به دنبال راه‌های نوآورانه برای استقرار toolkit خود باشند.

در یک مورد اخیر پاسخ حادثه برای یک حمله باج‌ افزار LockBit، محققان در Sentinel Labs متوجه سواستفاده از ابزار کامند لاین Microsoft Defender «MpCmdRun.exe» برای بارگذاری جانبی DLL‌های مخربی شدند که بیکون‌های Cobalt Strike را رمزگشایی و نصب می‌کنند.

به خطر انداختن اولیه شبکه در هر دو مورد با بهره‌برداری از یک نقص Log4j در سرور‌های آسیب‌پذیر VMWare Horizon برای اجرای کد PowerShell انجام شد.

بارگذاری جانبی بیکون‌های Cobalt Strike در سیستم‌های در معرض خطر برای LockBit چیز جدیدی نیست، زیرا گزارش‌هایی در مورد زنجیره‌های آلودگی مشابه با تکیه بر سواستفاده از ابزار‌های کامند لاین VMware وجود دارد.

سواستفاده از Microsoft Defender
پس از ایجاد دسترسی به یک سیستم هدف و به دست آوردن اختیارات کاربر مورد نیاز، عوامل تهدید از PowerShell برای بارگیری سه فایل استفاده می‌کنند:  یک کپی تمیز از یک ابزار Windows CL، یک فایل DLL و یک فایل LOG.

مشخصاً MpCmdRun. exe یک ابزار کامند لاین برای انجام وظایف Microsoft Defender است و از دستوراتی برای اسکن بدافزار، جمع‌آوری اطلاعات، بازیابی موارد مورد نیاز، انجام ردیابی تشخیصی و غیره پشتیبانی می‌کند.

وقتی که اجرا شد،  MpCmdRun.exe یک DLL قانونی به نام «mpclient.dll» را بارگیری می‌کند که برای عملکرد صحیح برنامه لازم است.

در موردی که توسط SentinelLabs تجزیه و تحلیل شده است، عوامل تهدید نسخه تسلیح شده خود از mpclient.dll را ایجاد کرده‌اند و آن را در مکانی قرار داده‌اند که بارگذاری نسخه مخرب فایل DLL را در اولویت قرار می‌دهد.

کد اجرا شده یک payload رمزگذاری شده Cobalt Strike را از فایل «c0000015.log» بارگیری و رمزگشایی می‌کند، که همراه با دو فایل دیگر از مرحله اولیه حمله حذف شده است.

در حالی که مشخص نیست چرا شرکت وابسته LockBit از VMware به ابزار‌های کامند لاین Windows Defender برای بارگذاری جانبی بیکون‌های Cobalt Strike تغییر رویکرد داده است، ممکن است به دلیل دور زدن حفاظت‌های هدفمند اجرا شده در پاسخ به روش قبلی باشد.

استفاده از ابزار‌های “living off the land” برای فرار از تشخیص EDR و AV این روز‌ها بسیار رایج است. از این رو سازمان‌ها باید کنترل‌های امنیتی خود را بررسی کنند و با ردیابی استفاده از فایل‌های اجرایی قانونی که می‌توانند توسط مهاجمان استفاده شوند، از خود هوشیاری کافی و وافی را نشان دهند.

بیشتر بخوانید
error: شما اجازه کپی کردن ندارید !!