سکورایت مجری امنیت سایبری پروژه تاریخ ساز فرود کاوشگر هند به‌روی کره ماه

لحظه تاریخی فرود ماه‌نورد هندی‌ها بر روی ماه
کاوشگر Chandrayaan-۳ ساخت کشور هند با موفقیت به‌روی کره ماه فرود آمد.

سازمان پژوهشگاه هوا فضای هند (ISRO) در یک جهش عظیم برای سفر اکتشاف فضایی هند، با فرود موفقیت آمیز Chandrayaan 3 بر روی کره ماه توجه جهان را به خود جلب کرده است. اوج برنامه ریزی دقیق، فداکاری، و توان علمی، این دستاورد نقطه عطف مهمی نه تنها برای ISRO بلکه برای کل کشور است. آژانس فضایی هند تعهدی تزلزل ناپذیر به شکستن مرزهای فناوری و اکتشافات نشان داده است.

سکورایت کوییک هیل Seqrite Quick Hedal امنیت سایبری هوا فضای هند

لحظه تاریخی فرود ماه‌نورد هندی‌ها بر روی ماه با امنیت سایبری کوییک هیل

با این فناوری، زیرساخت فناوری اطلاعات و نرم افزار مورد نیاز برای دستیابی به این جهش عظیم، ارزیابی این ماموریت ها از منظر امنیت سایبری بسیار مهم است. فضا ممکن است “مرز نهایی” برای اکتشاف باشد، اما برای بهره برداری نیز آماده است و به ویژه در معرض طیف وسیعی از آسیب پذیری ها و تهدیدات سایبری است.

بیایید نیاز حیاتی به امنیت سایبری در حفاظت از ماموریت های پیشرفته مانند این را درک کنیم.

نقش امنیت سایبری در ماموریت های ISRO
امنیت سایبری یک نیاز کاربردی در عملیات فضایی است. چالش ها به دلیل مقیاس، فاصله، و بحرانی بودن عملکرد سیستم ها و تجهیزات به وجود می آیند. در اینجا آمده است که چگونه نقش مهمی را برای ISRO ایفا کرد:

حفاظت از داده های حساس:
پژوهشگاه هوافضای هند با داده‌های حساس گسترده، از برنامه‌های ماموریت، نقشه های طراحی ماهواره و یافته‌های تحقیقاتی گرفته تا اطلاعات فنی حیاتی سروکار دارد. اطمینان از محرمانه بودن، یکپارچگی و در دسترس بودن این داده ها برای جلوگیری از نقض داده ها، جاسوسی و سرقت مالکیت های معنوی ضروری است.

حفاظت از فضاپیماها و ماهواره ها:
فضاپیماها، ماهواره ها و ایستگاه های زمینی همگی اهداف بالقوه ای برای حملات سایبری هستند. نقض در سیستم های کنترل کننده این دارایی ها می تواند منجر به از دست دادن کنترل، دسترسی غیرمجاز یا حتی دستکاری مسیرهای مداری شود. اجرای پروتکل های امنیت سایبری قوی برای حفظ فرماندهی و کنترل بر دارایی های فضایی آژانس فضایی هند بسیار مهم است.

ایمن سازی شبکه های ارتباطی:
شبکه های ارتباطی، نقشی محوری در عملیات ISRO دارند و تبادل داده بین ایستگاه های زمینی، ماهواره ها و کنترل ماموریت را تسهیل می کنند. یک شبکه در معرض خطر می تواند ارتباط را مختل کند، دستورات حیاتی ماموریت را به تاخیر بیندازد، یا حتی مهاجمان را قادر به رهگیری اطلاعات حساس کند. تقویت امنیت شبکه برای اطمینان از جریان یکپارچه اطلاعات حیاتی است.

پیشگیری از سرقت مالکیت معنوی:
تحقیقات و نوآوری های پیشگامانه ISRO به میزان قابل توجهی به قدرت فناوری هند کمک می کند. دشمنان سایبری ممکن است تلاش کنند تا این دارایی های فکری را برای منافع خود بدزدند یا مزیت رقابتی ISRO را تضعیف کنند. اقدامات امنیت سایبری قوی می تواند از چنین سرقتی جلوگیری کرده و سرمایه فکری ISRO را حفظ کند.

مقابله با جاسوسی و خرابکاری:
دستاوردها و پیشرفت های ISRO آن را به یک هدف جذاب برای جاسوسی و خرابکاری های سایبری تحت حمایت دولتها تبدیل می کند. پروژه‌ها، مشارکت‌ها و قابلیت‌های آژانس فضایی ممکن است توسط حملات سایبری با هدف اختلال در مأموریت‌ها، سرقت اطلاعات حساس یا آسیب رساندن به اعتبار ISRO به خطر بیفتد.

حفظ امنیت ملی:
تلاش‌های ISRO اغلب پیامدهایی برای امنیت ملی از جمله ارتباطات ماهواره‌ای، ناوبری و سیستم‌های نظارتی دارد. ایمن سازی این سیستم ها در برابر تهدیدات سایبری برای موفقیت عملیاتی ISRO و حفظ منافع امنیتی کشور حیاتی است.

تضمین اعتماد و اطمینان عمومی:
دستاوردهای ISRO باعث غرور ملی و تحسین جهانی می شود. هر حادثه سایبری که بر عملیات ISRO تأثیر بگذارد، می تواند به اعتماد عمومی و بین المللی آسیب جدی بزند. نشان دادن تعهد مستحکم امنیت سایبری برای حفظ شهرت سازمان هوا فضای هند، به عنوان یک سازمان فضایی قابل اعتماد و آینده نگر حیاتی است.

SEQRITE چگونه نقش خود را در تامین امنیت این ماموریت ایفا کرد؟
سکورایت کوییک هیل عنوان شریک قدیمی امنیت سایبری سازمان هوا فضای هند، افتخار می کند با راهکارهای پیشرفته امنیت سایبری، SEQRITE EPS، از دارایی های فناوری اطلاعات و ماموریت های پیشروی آن سازمان محافظت می کند.

این راهکار برای حفاظت ۳۶۰ درجه از عملیات فضایی حیاتی به کار گرفته شده است. کنسول یکپارچه سکورایت کنترل و مشاهده کامل تمام عملکردهای ضروری را به چندین سرپرست گروه ارائه می دهد، تا نظارت، پیکربندی و مدیریت عملکردها ساده تر گردد.

از اسکن‌های شناسایی گرفته تا مدیریت دارایی‌ها، سکورایت اندپوینت سکیوریتی کوییک هیل، حفاظت کامل از شبکه را برای ISRO برای مقابله با حملات پیچیده باج‌افزاری یا بدافزاری تضمین می‌کند. راه حل عملی سکورایت با بهره گیری از ویژگی های پیشرفته ای مانند برخی از وِیژگی های زیر، امنیت را در سراسر اندپوینتها، شبکه ها، دیوایس ها و… تضمین می کند:

مقیاس پذیری بالاتر و امنیت بیشتر برای همه دستگاه ها
استراتژی مدیریت وضله امنیتی (Patch) ساده و متمرکز برای بهره وری بالاتر و امنیت قوی تر
کاهش خطرات امنیتی را با قابلیت کنترل متمرکز دستگاه ها
محافظت پیشرفته نقاط پایانی با آنتی ویروس، تشخیص و مقابله با نفوذ، فایروال و موارد دیگر.
اسکن فعال برنامه های نصب شده برای شناسایی آسیب پذیری های پیش بینی نشده و کاهش نصب های غیرمجاز.

نکته کلیدی: آینده ای درخشان در گرو امنیت سایبری
آرزوهای ISRO بی حد و حصر است و به ستاره ها و فراتر از آن می رسد. با این حال، این جاه طلبی ها با نیاز اساسی به امنیت سایبری قوی پشتیبانی می شود. حفاظت از داده های حساس، ایمن سازی دارایی های فضایی، دفاع از شبکه های ارتباطی و تضمین یکپارچگی عملیاتی آژانس، به تداوم اقدامات جامع امنیت سایبری متکی است. از آنجایی که ISRO به گسترش افق‌های خود و کمک به اکتشافات علمی و نوآوری‌های فناوری ادامه می‌دهد، یک وضعیت امنیتی سایبری قوی برای موفقیت آژانس و پیشرفت مداوم تلاش‌های اکتشاف فضایی هند و دیگر کشورهای پیشرو ضروری است.

منتشرشده در عمومی | برچسب‌شده , , , , , | دیدگاه‌تان را بنویسید:

مخفی کردن باج افزار در نصب کننده های پرکاربرد NSIS

مخفی کردن باج افزار در نصب کننده های پرکاربرد NSIS

مهاجمان سایبری برای گسترش انفجاری و جلوگیری از شناسایی، بدافزار خود را در نصب کننده های NSIS مخفی میکنند.

عوامل تهدید از تکنیک‌های جدیدی برای پنهان کردن کدهای خود و اجتناب از شناسایی به هر شکلی استفاده می‌کنند. مهاجمان اکنون از یک روند جدید از طریق NSIS (سیستم نصب اسکریپتی Nullsoft) استفاده می کنند، که یک نصب کننده منبع باز است و می تواند فایل‌های مختلف را با هم مجتمع کند. در گذشته، مهاجمان بدافزار از یک رمز کننده مبتنی بر NSIS برای پنهان کردن خود استفاده کرده بودند. این روال در خانواده‌های بدافزار Lokibot، Ave Marie stealer، AgentTesla، Formbook و غیره مشاهده شده است. در این مطلب سعی شده بینش عمیق‌تری را در مورد روند جدید حملات سایبری توضیح می‌دهد.

تجزیه و تحلیل – LOKIBOT

اجازه دهید به هش زیر نگاه کنیم (۲D4739AB2D34EEC849D903E05E8E0EB4).

این یک فایل NSIS است که از طریق ابزار DIE قابل شناسایی است.

تصویر۱: ابزار DIE که NSIS را نشان می دهد

در هنگام استخراج فایل با استفاده از ۷zip، می‌توانیم محتویات داخل پوشه را ببینیم. دارای دو محموله رمزگذاری شده و یک فایل اجرایی در داخل آن است. در هنگام اجرا، تمام فایل ها در پوشه %temp% استخراج می شوند.

تصویر۲: داخل فایل NSIS

 

اجازه دهید فایل اجرایی jyacil.exe (MD5: 81EC4B73F581DD36CBDBB6C695CD038C) را بررسی کنیم. این فایل با استفاده از VirtualAlloc API فضایی از حافظه را تخصیص می دهد و سپس پی‌لود رمزگذاری شده (botredmnra-6kb) را در فضای اختصاص داده شده کپی می کند.

تصویر ۳: حافظه اختصاص داده شده مجازی (Virtually Allocated) حاوی پی لود رمزگذاری شده

 

این پی لود توسط حلقه رمزگشایی زیر به کد Shell رمزگشایی می شود.

 

تصویر۴: حلقه رمزگشایی

 

جریان کد اکنون به کد shell رمزگشایی شده منتقل می شود، که مستقیماً مسئول رمزگشایی پی لود بزرگتر است.

تصویر ۵: کد پوسته رمزگشایی شده

 

اکنون فایل رمزگذاری شده بزرگتر از مسیر %temp% با استفاده از ReadFile API خوانده شده و در حافظه اختصاص داده شده مجازی کپی می شود. سپس فایل توسط یک حلقه رمزگشایی بزرگ رمزگشایی می شود که تکه های آن در زیر موجود است. این یک حلقه عظیم است، بنابراین فقط چند قطعه در تصویر نشان داده شده است.

تصویر ۶: حلقه رمزگشایی

 

 

شکل ۷: حلقه رمزگشایی

 

این رمزگشایی فایل PE دیگری را به همراه می آورد که محموله واقعی است.

تصویر ۸: پی‌لود

 

سپس تخلیه فرآیند انجام شده و پی لود واقعی بدافزار فعالیت خود را آغاز می کند. اجازه دهید روی بدافزار واقعی (md5: C6085AED2E2C782F81CCCA6B5FACA13E[کامپایلر Visual C++]) تمرکز کنیم.

بدافزار یک mutex ایجاد می کند تا مطمئن شود فقط یک نمونه در حال اجرا است. سپس یک فایل <randomname>.tmp ایجاد می کند تا تمام اطلاعات سرقت شده را ذخیره کند. این نام تصادفی توسط دو رشته منحصر به فرد موجود در فایل تشکیل شده است.

تصویر ۹: رشته های منحصر به فرد برای تشکیل نام تصادفی

 

آدرس اینترنتی C2 به صورت مستقیم در کد منبع به صورت رمز وارد شده است که بعدا رمزگشایی می شود.

تصویر ۱۰: آدرس URL هاردکد شده

 

تصویر ۱۱: آدرس C2 تشکیل شده پس از رمزگشایی

 

این پی لود Lokibot stealer است که اعتبارنامه ها را از نرم افزارهای زیر به سرقت برده و آنها را به آدرس اینترنتی C2 ارسال می کند:

Comodo، Maplestudio، Google Chrome، Nichrome، RockMelt، Spark، Chromium، Titanium Browser، Yandex، Torch، Mustang Browser، NetSarang، FossaMail، Postbox، MoonChild، NetGate، Total Commander، EasyFTP، FileZilla، KiTTy و غیره.

Hxxp[:]//85.202[.]169.172/goodlife/five/fre[.]php

تصویر ۱۲: رشته های مربوط به Lokibot

 

تجزیه و تحلیل بد افزار Ave Marie Stealer

اکنون به فایل دیگری متعلق به Ave Marie Stealer (MD5: CE488BABC73497C16CE8D2DE5ED218A7) نگاهی می اندازیم. این نیز یک فایل مبتنی بر NSIS است.

با استفاده از ۷zip، می‌توانیم محتویات موجود در فایل را ببینیم:

تصویر ۱۳: داخل فایل های NSIS

 

در این مورد، dyhqo.exe مسئول رمزگشایی jvqnj (فایل ۸ کیلوبایتی) است و یک کد پوسته (shellcode) را تشکیل می دهد که بعداً پی لود بزرگتر gdrat8hotr11us6qz را رمزگشایی می کند که بخش اصلی بد افزار است.

 

در مرحله اول یک تغییر جزئی در حلقه رمزگشایی وجود دارد (باقی مانده فایل تقریباً یکسان است):

تصویر ۱۴: حلقه رمزگشایی

 

پس از رمزگشایی مرحله دوم، Ave Marie سارق (فایل دلفی) (MD5: E77D247BB34818C0C3352762C7DE0213) را دریافت می کند. رشته های مرتبط را می توان در شکل مشاهده کرد. این سارق از مرورگرهای مختلف مانند UCBrowser، CentBrowser، Comodo، Chromium، Blisk، Microsoft Edge و غیره، کلیدهای فشرده شده را می گیرد و داده ها را به سرقت می برد.

تصویر ۱۵: رشته های مربوط به Ave Marie مشاهده شده در پی لود داخلی

 

تصویر ۱۶: آدرس C2: danseeeee.duckdns.org:2022

 

 تجزیه و تحلیل: AGENTTESLA

اکنون اجازه دهید فایل دیگری متعلق به Formbook (MD5: 66BE80324D7937C5E17F5D4B08574145) را بررسی کنیم. این نیز یک فایل مبتنی بر NSIS است.

با استفاده از ۷zip می توانیم محتویات داخل فایل را ببینیم:

تصویر ۱۷: داخل فایل NSIS

 

در این مورد نیز، فایل اجرایی omrtoehch.exe مسئول رمزگشایی wygeuhclea (فایل ۶ کیلوبایتی) است و یک کد پوسته را تشکیل می دهد که بعداً پی لود بزرگتر y27ub6kcvxv73holza44 را رمزگشایی می کند که پی لود واقعی را تشکیل می دهد.

در مرحله اول یک تغییر در حلقه رمزگشایی وجود دارد (باقی مانده فایل تقریباً یکسان است). حلقه بزرگ است، بنابراین تکه هایی از کد در زیر نشان داده شده است:

تصویر ۱۸: حلقه رمزگشایی

 

پس از رمزگشایی مرحله دوم، یک پی لود دیگر دریافت می کنیم (Visual C MD5: D0FF8F95A6AA286D781528197255B805). در این فایل به وضوح می توان مشاهده کرد که یک فایل PE دیگر در داخل منابع (RCDATA) وجود دارد. استخراج آن نشان می دهد که چه کاری انجام می دهد (F2E113BE23813F22EAA3B82CCBE535EA).

تصویر ۱۹

 

این فایل یک فایل DOTNET است که توسط “Obfuscar” که یک برنامه منبع باز رمز کننده سورس .net است مبهم شده است.

 

تصویر ۲۰

 

سطح مبهم سازی کد بسیار بالاست و هر رشته در زمان اجرا رمزگشایی می شود. رشته های کدگذاری شده برجسته می‌شوند. همه کاراکترها در یک آرایه واحد از بایت ها ذخیره می‌شوند که توسط <<EMPTY_NAME>> قابل دسترسی است.

تصویر ۲۱

 

رمزگشایی توسط لیست فوق توسط عملیات XOR با بایت رمزگذاری شده، موقعیت آن در لیست و عدد اعشاری ۱۷۰ انجام می شود.

تصویر ۲۲

 

این پی لود برای دسترسی به یک رشته، تابعی را فراخوانی می کند که با دسترسی به موقعیت آن در لیست و طول آن، رشته را برمی گرداند.

پس از رمزگشایی پی لود، رشته های زیر نمایان شدند که مربوط به AgentTeslaV3 است:

\ \Account.CFN

\Account.stg

\accountrc

\accounts.xml

\Accounts\Account.rec0

\Accounts_New

\Apple Computer\Preferences\keychain.plist

\browsedata.db

\cftp\Ftplist.txt

\Claws-mail

\clawsrc

\Common Files\Apple\Apple Application Support\plutil.exe

\Comodo\IceDragon\

\CoreFTP\sites.idx

\Data\Tor\torrc

\Default\

\Default\EncryptedStorage

\Default\Login Data

\drivers\etc\hosts

\EncryptedStorage

\falkon\profiles\

\Mailbox.ini

\Microsoft\Credentials\

\Microsoft\Edge\User Data

\Microsoft\Protect\

\Moonchild Productions\Pale Moon\

\Mozilla\Firefox\

\Mozilla\icecat\

\Mozilla\SeaMonkey\

\NETGATE Technologies\BlackHawk\

\OpenVPN\config\

\Opera Mail\Opera Mail\wand.dat

\passwordstorerc

 

ناقل آلودگی

همه این فایل ها دارای زنجیره آلودگی زیر هستند:

EMAIL >> DOCUMENT/XLS/CAB/RAR >> NSIS Installers

تصویر ۲۲: ایمیل حاوی پیوست XLSX

 

کوییک هیل چگونه از خود محافظت می کند؟

  • Quick Heal از طریق تشخیص های زیر از مشتریان خود محافظت می کند:
  • IgenericPMF.S28122388
  • NSISFrmbk.S26708217
  • NSISLokibt.S26708218
  • MsilFC.S17872954
  • GenericRI.S28136194

نتیجه:

مشاهده شده مهاجمان در نحوه استقرار کدهای مخرب از طریق نصب‌کننده‌های NSIS تغییراتی ایجاد کرده اند. آنالیزهای فوق نشان که چگونه سارقان سایبری از بارگذارنده های مبتنی بر NSIS استفاده می‌کنند. همه این بارگذارنده ها دارای یک اسکریپت هستند که کد مخرب در آن جاسازی شده می باشند که فایل exe با نام تصادفی رمزگذاری شده (اندازه کوچک) اجرا می شود. فایل اجرایی exe پی لود رمزگذاری شده کوچکتر را خوانده و رمزگشایی می‌کند. سپس کد پوسته رمزگشایی شده، فایل بزرگ‌تر دارای نام تصادفی را رمزگشایی کرده و بدافزار واقعی را تشکیل می‌دهد.

بنابراین، کاربران باید از نصب‌کننده‌های NSIS که ممکن است این روزها حاوی باج افزار و سارقان سایبری باشند، آگاه باشند.

مشروح خبر در:https://blogs.quickheal.com/are-malware-operators-using-nsis-installers-to-bombard-stealers-and-avoid-detection/

تهیه شده در شرکت فناوری ارتباطات و اطلاعات فانوس

منتشرشده در تهديدات جديد | برچسب‌شده , , , , , , , , , , | دیدگاه‌تان را بنویسید:

حمله آخرین نسخه LockBit 3.0 به زیرساخت های انرژی

آخرین نسخه LockBit 3.0 زیرساخت های انرژی هند را مورد حمله قرار داد.

پس از منحل شدن گروه بدنام باج افزاری Conti، اعضای سابق آن شروع به هدف قرار دادن بخش های انرژی و نیرو با یک باج افزار ناشناخته جدید کردند. اطلاعات به دست آمده توسط پژوهشگران شرکت تکنولوژی های کوییک هیل -که از قبل بخش انرژی و نیرو را به عنوان بخشی مستعد حملات سایبری شناسایی کرده بودند و سطح هشدار آن را افزایش داده بودند- حاکی از این حملات پیشرفته است. نظارت فعالانه پژوهشگران موجب شد بلافاصله پس از شناسایی در یکی از سازمان‌های بخش انرژی که مورد حمله قرار گرفت، این حملات شناسایی و آنالیز گردد. بررسی و آنالیز محققان نشان داد که نوع جدید باج‌افزار LockBit 3.0 باعث این آلودگی شده است. همین امسال این گروه خرابکار، ادعای تسلط بر دیگر گروه های باج افزاری را داشته است.

تصویر۱ – یادداشت باج افزار

سازمانی که بار اصلی این حمله باج‌افزار را متحمل شد، دارای کلاینت در مکان‌های مختلف بود که با یکدیگر و سرور در یک توپولوژی Mesh به صورت توزیع شده با هم در ارتباط بودند. گزارش‌های سیستم‌های متعدد و تله‌متری، مشخص کرد که از ابزار Windows Sys-Internal PSEXEC موجود در یک سیستم محافظت‌نشده برای اجرای payload باج‌افزار (Lock.exe) در تمام سیستم‌ها برای اقدامات بعدی استفاده شده است. نکته قابل توجه این بود که فقط درایوهای به اشتراک گذاشته شده رمزگذاری شده بودند.

دسترسی اولیه از طریق تکنیک‌های جستجوی فراگیر که در آن از چندین نام کاربری استفاده می‌شد، به دست آمد. رمزگذاری با برچسب زمانی اوایل صبح ۲۷-ژوئن-۲۰۲۲ صورت پذیرفت. فعالیت‌هایی برای مخدوش کردن بررسی های جرم شناسانه (forensic) نیز مشاهده شده که گزارش‌های رویداد را حذف کرده، چندین پراسس را از بین برده و سرویس‌ها را به طور همزمان حذف می کرد.

تجزیه و تحلیل اولیه

دقیقا یک هفته قبل از رمزگذاری برای اولین بار مشاهده شد که سرویس PSEXESVC نصب شده و رمزگذاری اتصالات SMB  برقرار شد. فایل های مخرب BAT توسط همان سرویس فقط در یک کلاینت اجرا شدند:

C:\Windows\system32\cmd.exe /c “”openrdp.bat” ”

C:\Windows\system32\cmd.exe /c “”mimon.bat” ”

C:\Windows\system32\cmd.exe /c “”auth.bat” ”

C:\Windows\system32\cmd.exe /c “”turnoff.bat” ”

 

سرویس PSEXESVC پی‌لود باج‌افزار را که باید یک کلید معتبر به همراه گزینه خط فرمان “-pass” ارسال کند را اجرا می کند. فایل های رمزگذاری شده با پسوند .zbzdbs59d تولید می شوند که نشان می دهد تولید تصادفی با هر بار بارگذاری انجام می شود.

انجین آنتی ویروس و ماژول رفتارشناسی بلادرنگ راه دور کوییک هیل نشان می دهد که پی‌لود باج افزار (Lock.exe) در چندین مکان در یک روز شناسایی شده است. این نشان می دهد که payload به همه این سیستم ها ارسال شده است اما توسط آنتی ویروس شناسایی شده است.

 

آنالیز  payload

تمام بخش‌های موجود در پی‌لود رمزگذاری شده‌اند، که فقط با دور زدن کلید رمزگشایی به عنوان پارامتر خط فرمان “-pass”  قابل رمزگشایی هستند. کلید به دست آمده برای این نمونه: ۶۰c14e91dc3375e4523be5067ed3b111

کلید برای رمزگشایی بخش های خاصی از حافظه که با پیمایش PEB به دست می‌آید و بعداً بخش های رمزگشایی شده را فراخوانی می کند، مودر پردازش قرار می گیرد.

تصویر۲ – بخش های رمزگشایی

 

با رمزگشایی رشته مبهم شده با عملگر XOR و با استفاده از کلید ۰x3A013FD5 ، تعدادی از API های Win32 و چند وارد شده دیگر که بسته بندی شده بود رمزگشایی شدند.

تصویر۳ – Resolve کردن APIهای Win32

 

افزایش سطح دسترسی

هنگامی که سطح دسترسی Admin در حین اجرا وجود نداشته باشد، از CMSTPLUA COM برای دور زدن UAC استفاده می‌کند تا امتیازات را با نمونه دیگری از پی‌لود  باج‌افزار افزایش داده و پراسس فعلی را خاتمه دهد.

تصویر۴ – دور زدن UAC

حذف سرویس و خاتمه پراسس

پراسس های خاتمه یافته شامل SecurityHealthSystray.exe و انحصار متقابل ایجاد شده در حین اجرا ۱۳fd9a89b0eede26272934728b390e06 می باشد.  با استفاده از یک لیست از پیش تعریف شده، سرویس‌های  نصب شده بررسی شده و در صورت یافتن در سیستم حذف می شوند:

  1. Sense
  2. Sophos
  3. Sppsvc
  4. Vmicvss
  5. Vmvss
  6. Vss
  7. Veeam
  8. Wdnissvc
  9. Wscsvc
  10. EventLog

تکنیک ضد اشکال زدایی

نخ های مورد استفاده برای رمزگذاری فایل با استفاده از تابع NtSetInformationThread با مقدار غیرمستند (ThreadHideFromDebugger = 0x11)  برای پارامتر ThreadInformationClass از دیباگر پنهان می شوند.

تصویر۵ – تکنیک NtSetInformationThread

 

رمزگذاری فایل

پیش از شروع رمزگذاری فایل، بدافزار با ایجاد و نوشتن یک آیکن در یک فایل تصویری در آدرس C:\ProgramData با نام zbzdbs59d.ico، آنرا به فایل های رمزگذاری شده مرتبط می کند. فایل‌ها با ایجاد نخ های متعدد رمزگذاری شده و نام هر فایل با یک رشته تصادفی تولیدی و یک پسوند ثابت تعیین می گردد.

تصویر۶ – نام فایل های رمزگذاری شده

 

فایل یادداشت باج با عنوان “zbzdbs59d.README.txt” در هر مسیر به جز Program Files و دایرکتوری Windows که رمزگذاری نشده اند ایجاد می شود. فایل توضیحات شامل دستورالعمل‌هایی برای نصب مرورگر TOR، لینک چت به همراه شناسه شخصی می باشد و طبق معمول با هشدارهایی پایان می‌یابد. پس زمینه ویندوز رایانه قربانی با نام LockBit Black تغییر یافته و دستورالعمل هایی را که باید دنبال شود ذکر می شود:

تصویر۷ – تصویر زمینه اصلاح شده

 

فعالیت ضد جرم شناسی

باج‌افزار به‌عنوان بخشی از پاک کردن ردپای خود، با تنظیم چندین کلید فرعی رجیستری با مقدار صفر، گزارش رویدادهای ویندوز را غیرفعال کرد.

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\*

 

وظایف ویندوز خاتمه داده شده:

IBM* PrnHtml.exe* DriveLock.exe* MacriumService.exe*
sql* PAGEANT.EXE* CodeMeter.exe* ReflectMonitor.exe*
vee* firefox.exe* DPMClient.exe* Atenet.Service.exe*
sage* ngctw32.exe* ftpdaemon.exe* account_server.exe*
mysql* omtsreco.exe mysqld-nt.exe* policy_manager.exe*
bes10* nvwmi64.exe* sqlwriter.exe* update_service.exe*
black* Tomcat9.exe* Launchpad.exe* BmsPonAlarmTL1.exe*
postg* msmdsrv.exe* MsDtsSrvr.exe* check_mk_agent.exe*

 

  • سرویس های حذف شده:
  • sc  stop “Undelete”
  • sc  delete “LTService”
  • sc  delete “LTSvcMon”
  • sc  delete “WSearch”
  • sc  delete “MsMpEng”
  • net stop ShadowProtectSvc
  • C:\Windows\system32\net1  stop ShadowProtectSvc

 

حذف نسخه های پشتیبانی Shadow Volume

  • vssadmin.exe Delete Shadows /All /Quiet

 

حذف همه اتصال های فعال شبکه

  • net use * /delete /y

فهرست جامع همه وقایع نگارها

رویدادها پاک شده

وظایف خاتمه داده شده

فعالیت های رجیستری


reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System” /v legalnoticecaption /t REG_SZ /d “ATTENTION to representatives!!!! Read before you log on” /f


reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System” /v legalnoticetext /t REG_SZ /d “Your system has been tested for security and unfortunately your system was vulnerable. We specialize in file encryption and industrial (economic or corporate) espionage. We don’t care about your files or what you do, nothing personal – it’s just business. We recommend contacting us as your confidential files have been stolen and will be sold to interested parties unless you pay to remove them from our clouds and auction, or decrypt your files. Follow the instructions in your system” /f


reg add “HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server” /v fDenyTSConnections /t REG_DWORD /d 0 /f


reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA /v RunAsPPL /t REG_DWORD /d 0 /f


reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f

 

نتیجه گیری

سیستم‌های محافظت‌نشده در شبکه با استفاده از تکنیک جستجوی فراگیر (brute-force) ابزار PSEXEC را در همه سیستم‌ها اجرا می کنند تا payload باج‌افزار برای اقدامات بعدی باج افزار فعال شود. با معرفی برنامه پاداش باگ برای  LockBit 3.0  و اتخاذ تاکتیک‌های جدید اخاذی، لازم است اقدامات احتیاطی مانند دانلود برنامه‌ها فقط از منابع مورد اعتماد، استفاده از آنتی‌ویروس اوریجینال و به روز برای محافظت بیشتر، و اجتناب از کلیک کردن بر روی پیوندهای دریافتی از طریق ایمیل یا پلتفرم‌های رسانه‌های اجتماعی صورت پذیرد.

IOC ها

شناسایی MD5
Ransom.Lockbit3.S28401281

HEUR:Ransom.Win32.InP

۷E37F198C71A81AF5384C480520EE36E

 

IPها

۳٫۲۲۰٫۵۷٫۲۲۴

۷۲٫۲۶٫۲۱۸٫۸۶

۷۱٫۶٫۲۳۲٫۶

۱۷۲٫۱۶٫۱۱۶٫۱۴

۷۸٫۱۵۳٫۱۹۹٫۲۴۱

۷۲٫۲۶٫۲۱۸٫۸۶

۵٫۲۳۳٫۱۹۴٫۲۲۲

۲۷٫۱۴۷٫۱۵۵٫۲۷

۱۹۲٫۱۶۸٫۱۰٫۵۴

۸۷٫۲۵۱٫۶۷٫۶۵

۷۱٫۶٫۲۳۲٫

۶۴٫۶۲٫۱۹۷٫۱۸۲

۴۳٫۲۴۱٫۲۵٫۶

۳۱٫۴۳٫۱۸۵٫۹

۱۹۴٫۲۶٫۲۹٫۱۱۳

Jumpsecuritybusiness[.]com

 

مشروح خبر در: https://www.seqrite.com/blog/indian-power-sector-targeted-with-latest-lockbit-3-0-variant/

تهیه شده در شرکت فناوری ارتباطات و اطلاعات فانوس

منتشرشده در تهديدات جديد | برچسب‌شده , , , , , , , , | دیدگاه‌تان را بنویسید:

بخش بهداشت و درمان برای جلوگیری از حملات سایبری نیاز به بازبینی امنیت سایبری داخلی خود دارند

بخش بهداشت و درمان برای جلوگیری از حملات سایبری نیاز به بازبینی امنیت سایبری داخلی خود دارند

✅ بخش بهداشت و درمان برای جلوگیری از حملات سایبری نیاز به بازبینی امنیت سایبری داخلی خود دارند
🔸سال ۲۰۲۰ سالی بود که شرکت های داروسازی و درمانی در کانون توجه قرار گرفتند. همه گیری بی سابقه کرونا، در زمان بستن دفاتر و کسب و کارها و تأثیرگذاری گسترده بر زندگی در سراسر جهان، در نهایت ختم به یک اتفاق بزرگ در رونمایی از یک واکسن بالقوه شد. با تحقیقات و پژوهشهای فراوان، توجه جهان به سمت شرکتهای داروسازی و درمانی سوق داده شد ، که نقش اساسی در تولید، بسته بندی و توزیع این واکسن به شدت موردتقاضا دارند.
🔹 در Seqrite کوییک هیل، ما این را در اوایل شروع همه گیری یادآوری کرده بودیم و در ماه مه تجزیه و تحلیل کردیم که چگونه صنعت داروسازی از نظر امنیت سایبری با یک چالش منحصر به فرد روبرو است – چگونه نیروهای کار از راه دور در این صنعت می توانند در حالی که از نظر دیجیتالی ایمن هستند کار کنند؟ در مقاله ای که در سال ۲۰۱۹ منتشر شد ، چالشهای اساسی برای صنعت بزرگ بهداشت و درمان که مورد تجزیه و تحلیل قرار گرفت تهدیدهای ناشی از حملات سایبری از جمله باج افزاری پررنگ نشان داده شد.

حملات اخیر سایبری به شرکت های داروسازی
🔸 چند هفته گذشته ثابت شد که این ترس بی دلیل نبوده است. در ماه اکتبر ، دکتر ردی ، مستقر در حیدرآباد، بازیگر برجسته در صنعت داروسازی هند که اخیراً مجوز انجام آزمایشات بالینی برای واکسن Sputnik V روسیه را گرفت ، مورد حمله باج افزار قرار گرفت. چند هفته بعد ، لوپین ، یک شرکت داروسازی دیگر از بمبئی ، فاش کرد که توسط یک حمله سایبری که بر سیستم های IT آن تأثیر می گذارد ، مورد اصابت قرار گرفته است.
🔹 این یک روند جهانی است که مهاجمان سایبری مخرب دارند که بعضی اوقات توسط دولت ها به کار گرفته می شوند و از تمرکز جهانی روی COVID-19 استفاده می کنند و به دنبال سرقت اطلاعات مهم هستند. مقامات امنیتی ایالات متحده هکرهای مرتبط با دولت چین را به هدف قرار دادن شرکت بیوتکنولوژی آمریکایی Moderna متهم کردند که روی واکسن نیز کار می کند. پروژه های واکسن ویروس کرونا ویروس ژاپن نیز مورد حملات سایبری قرار گرفته در حالی که کره جنوبی نیز گزارش داده است که آنها تلاش کره شمالی برای هک کردن شرکت های تحقیقاتی واکسن را خنثی کرده اند.
🔸 این اعداد در گزارش تهدید Seqrite برای فصل سوم ۲۰۲۰ منعکس شده است، جایی که صنعت بهداشت و درمان از نظر شمارش بدافزار در رتبه پنجم لیست صنایع قرار دارد. صنعت داروسازی یک صنعت حساس است، خصوصا در این زمان ها که امیدهای جهانی بر واکسن موفقی است که می تواند به همه گیری پایان دهد. به دلیل ماهیت حساس و ارزشمند داده های موجود در شرکت های داروسازی ، خطر حملات سایبری از طریق باج افزار، تهدیدهای مداوم پیشرفته (APT)، تهدیدات داخلی و سایر موارد بالا است.
🔹 شرکت های داروسازی برای اطمینان از اینکه بیشترین شانس محافظت را به خود می دهند باید اطمینان حاصل کنند که کاملاً بر روی مکانیسم های امنیتی خود تمرکز کرده و امنیت سایبری را بسیار جدی می گیرند.

افراد ، فرایندها و فناوری ها
🔸 امنیت سایبری موثر ، مدیریت خطرات مرتبط با سه عامل مهم یک سازمان است: افراد، فرایندها و فناوری ها. در این مقطع ، شرکت های داروسازی باید اطمینان حاصل کنند که درک کاملی از ساختار امنیتی موجود در سازمان های مربوطه خود دارند. پیاده سازی فرآیندها و فن آوری های جدید تنها زمانی می تواند اتفاق بیفتد که شکاف های موجود، چه از نظر افراد و چه از نظر فرایندها، مشخص شود.
🔹 اطلاعات، بزرگترین سرمایه شرکت داروسازی هستند و از این رو یک گام اساسی داشتن کنترل های دقیق دسترسی و دسته بندی داده های محرمانه است. یک رویکرد جامع باید شامل یک فرآیند بازرسی و ارزیابی دقیق باشد، سپس باید به رویکردی تبدیل شود که بیشتر به سمت پیشگیری از حادثه حرکت کند نه اینکه فقط به واکنش به حادثه متمرکز شود.
🔸 اندپوینت سکیوریتی سکورایت کوییک هیل، که اخیراً توسط AV-Test به عنوان محصول برتر برای ویندوز تأیید شده است، مجموعه ای از راه حل ها را ارائه می دهد که از شبکه و دستگاه های متصل آن در شرکتهای دارویی و بهداشت و درمان محافظت جامع به عمل می آورد.

🔹 برای دریافت راهنمایی بیشتر می توانید با شرکت فناوری ارتباطات فانوس نماینده انحصاری شرکت تکنولوژی های کوییک هیل، کی سون و وبروم در ایران در ارتباط باشید:
تلفن: ۷۷۱۴۲۵۲۶-۰۲۱
واتساپ: ۰۹۳۳۱۳۳۹۷۸۶
ایمیل: info@qhi.ir
تلگرام: @myfanoos

منتشرشده در تهديدات جديد, کوییک هیل | دیدگاه‌تان را بنویسید:

آیا شبکه های شکاف هوا امن هستند؟

🔸 یک شبکه (یا سیستم) شکاف هوا شده (air-gapped) از دیگر شبکه های مجزا شده است. این اساساً به این معنی است که سیستم یا شبکه از نظر فیزیکی به هیچ شبکه خارجی متصل نیست، خواه اینترنت یا یک شبکه محلی. اصطلاح «شکاف هوا» از لوله کشی گرفته شده است و به شکاف هوا برای حفظ کیفیت آب گفته می شود.

برگردیم به شبکه های رایانه ای، شبکه های شکاف هوا در وهله اول در محیط های با امنیت بالا مانند شبکه های نظامی و دولتی، سیستم های اطلاعاتی، نیروگاه های هسته ای یا هواپیمایی دیده می شوند. انگیزه اصلی راه اندازی شبکه های هواشکاف احساس امنیتی است که برای سازمان ایجاد می کند.

 

🔹 شبکه های شکاف هوا چگونه کار می کنند؟

از آنجایی که شبکه های هوا شکاف هیچ رابط شبکه ای ندارند، از لحاظ نظری هیچ نوع ارتباط سیمی یا بی سیم با دنیای خارج ندارند. کنترل کننده های بی سیم آنها غیرفعال هستند که موجب می شود، کل شبکه “یک سیستم بسته”شود. تنها راه ورود یا خروج داده ها به این نوع شبکه استفاده از رسانه های فیزیکی مانند درایوهای USB یا CD-ROM ها است.

شبکه های شکاف هوا معمولاً برای جداسازی زیرساخت های مهم از شبکه شرکتی استفاده می شوند تا چنین اطلاعات حیاتی به خطر نیفتد. این اطللاعات دارایی ها مهم . حیاتی سازمان هستند که در صورت از نشت و یا از بین رفتن می توانند خسارات جبران ناپذیری تحمیل کنند. به همین دلیل مدیران امنیتی ترجیح می دهند چنین اطلاعاتی را در شبکه های شکاف هوا که هیچ ارتباطی با شبکه اصلی سازمان ندارند، داشته باشند.

با این حال ، شبکه های شکاف هوا نیز ممکن است احساس امنیت کاذب ایجاد کنند. یک فرض ذاتی وجود دارد که، از آنجا که شبکه های شکاف هوا هیچ نقطه دسترسی ندارند، آنها کاملاً ایمن و امن هستند. بنابراین، از نظر امنیتی نیازی به بررسی یا ارزیابی نیست. متأسفانه، این نوع دیدگاه ممکن است اغلب منجر به مشکلات امنیتی شود.

🔸 آیا آنها واقعاً ایمن هستند؟

اولاً ، از طریق دستگاه های ذخیره سازی فیزیکی هنوز می توان به شبکه های شکاف هوا دسترسی داشت .همانطور که مشاهده کردیم، دستگاههای USB معمولاً برای انتشار انواع بدافزارها استفاده می شوند. از آنها می توان برای طیف وسیعی از فعالیت های مخرب مانند فیلتر کردن داده ها، نصب بدافزار و دستگاه های ورود به سیستم و غیره استفاده کرد.

بزرگترین نمونه از این نوع فعالیتهای مخرب ، کرم استاکس نت بود . در سال ۲۰۱۰ کشف شد و به برنامه هسته ای ایران صدمات اساسی وارد کرد و باعث از هم گسیختن سانتریفیوژها شد. این کرم از طریق درایوهای USB آلوده به محیط شبکه وارد شد. این رویداد یک یادآوری جدی ارائه می دهد که شبکه های شکاف هوا را می توان با تأثیر زیادی به خطر انداخت.

ثانیا ، حتی اگر شبکه های شکاف هوا از دنیای خارج جدا شده باشند، اما آنها از یک تهدید اصلی دیگر در زمینه امنیت سایبری جدا نیستند: خود انسان ها. مهندسی اجتماعی همچنان یک عامل اصلی تهدید است و در این نوع شرایط، خطرات بزرگتر می شوند. تهدیدهای داخلی مانند کارمندان سرکش هنوز هم می توانند برای دسترسی به شبکه شکاف هوا استفاده شوند. کارکنان با دسترسی به شبکه های خاص شکاف هوا ممکن است حافظه ذخیره سازی قابل جابجایی خود را آلوده به بدافزار کنند که در صورت قرار دادن در یک سیستم شکاف هوا، می تواند سیستم و شبکه را آلوده کند.

🔹 جداسازی امنیت را تضمین نمی کند!

سرانجام ، با پیشرفت تکنولوژی ، هیچ تضمینی وجود ندارد که صرف ایزوله سازی و جداسازی از یک شبکه خارجی، یک سیستم شکاف هوا را ایمن نگه دارد. مواردی وجود داشته است که از بین بردن داده ها از طریق روش های دیگری نیز اتفاق افتاده است، مانند درهای پشتی ناشناخته که به نرم افزار / سخت افزار وارد شده اند ، سیگنال های فرکانس FM ، هک حرارتی یا ارتباطات حوزه نزدیک (NFC)

🔸 نتیجه این که بی نیازی به امنیت کامل شبکه های شکاف هوا، فقط بر اساس ایزوله سازی بنا شده است. شبکه های سازمانی همچنین باید با تأکید بیشتر بر کنترل دسترسی و فضای ذخیره سازی قابل حمل، اقدامات امنیتی سایبری را برای این شبکه ها پیاده کنند. سازمان ها می توانند طیف وسیعی از راه حل های امنیتی شبکه و سرور شرکت فناوری ارتباطات و اطلاعات فانوس را برای تقویت سیستم های شکاف هوا خود در نظر بگیرند .

 

🔹 برای دریافت راهنمایی بیشتر می توانید با شرکت فناوری ارتباطات فانوس نماینده انحصاری شرکت تکنولوژی های کوییک هیل و سکورایت در ایران در ارتباط باشید:

تلفن: ۷۷۱۴۲۵۲۶-۰۲۱

واتساپ: ۰۹۳۳۱۳۳۹۷۸۶

ایمیل: info@qhi.ir

تلگرام: @myfanoos​

 

 

منتشرشده در مقالات | برچسب‌شده , , , | دیدگاه‌تان را بنویسید:

مهمترین تهدیداتی که بخش های بهداشت و درمان را هدف قرار می دهد.

مهمترین تهدیداتی که بخش های بهداشت و درمان را هدف قرار می دهد.

تهدیدات سایبری بهداشت و درمان

در حالی که تقریبا تمام صنایع و بخش ها در معرض خطر تهدیدات اینترنتی قرار دارند، تاثیرات این تهدیدات در بخش های خاص می تواند فاجعه آمیز باشد. یکی از این بخش ها، درمان و مراقبت های بهداشتی است. حمله سایبری به یک سیستم پزشکی و درمانی می تواند خطرناک و تهدید کننده زندگی باشد – تصور کنید که بیماران مراقبت های حیاتی از سیستم نگهداری و مانیتورینگ خارج شوند.

ادامه‌ی خواندن

منتشرشده در مقالات | برچسب‌شده , , , , , , , , , , | دیدگاه‌تان را بنویسید:

مراقب باج افزار نابود کننده فایل با نام Armage باشید!

Coverpage-650x390آزمایشگاه های امنیتی کوییک هیل یک باج افزار جدید به نام Armage شناسایی کرده است. این باج افزار پسوند ‘.Armage’ را به فایل هایی که رمزگذاری می کند می افزاید.

باج افزار Armage از الگوریتم رمزنگاری AES-256 برای رمزگذاری فایل ها استفاده می کند تا غیرقابل استفاده شوند. آن را از طریق هرزنامه های ایمیل و فایل های متنی مخرب منتشر می کند.

آنالیز فنی
هنگامی که بر روی کامپیوتر آلوده اجرا می شود، باج افزار Armage پیام خط فرمان الگوریتم رمزنگاری مورد استفاده خود را باز می کند. شکل ۱ را ببینید.

دستور خط فرمان

شکل ۱٫ دستور خط فرمان

باج افزار برای انجام فعالیت های مخرب و یا رمزگذاری داده ها هیچ گونه مصنوعی را رها نمی کند. کل فعالیت های مخرب (رمزنگاری) توسط فایل مادر خود انجام می شود.

پس از حمله، همانطور که در شکل ۲ نشان داده شده باج افزار با استفاده از Windows API FindFirstFileA، برای رمز گشایی داده ها اولین فایل را به صورت الفبایی جستجو می کند، و برای یافتن فایل بعدی همانطور که در شکل ۳ نشان داده شده است از FindNextFileA API استفاده می کند.

شکل 2. FindFirstfileA API استفاده شده است

شکل ۲٫ FindFirstfileA API استفاده شده است

شکل 3. API FindNextFileA برای یافتن فایل ها به صورت بازگشتی استفاده می شود

شکل ۳٫ API FindNextFileA برای یافتن فایل ها به صورت بازگشتی استفاده می شود

پس از رمزگذاری داده ها از پوشه، Armage فرمت ‘Notice.txt’ را رها می کند- یک هشدار باج با سایر جزئیات پرداخت باج ذکر می شود. علاوه بر این، باج افزار فرمت “Notice.txt” را در همه پوشه هایی که داده ها رمزنگاری شده اند، رها می کند.

شکل 4. کد مورد استفاده برای ایجاد یک فایل جدید 'Notice.txt'

شکل ۴٫ کد مورد استفاده برای ایجاد یک فایل جدید ‘Notice.txt’

شکل 5. کد برای نشان دادن جزئیات به قربانی استفاده می شود.

شکل ۵٫ کد برای نشان دادن جزئیات به قربانی استفاده می شود.

هشدار باج نیز در زیر ذکر شده است.

‘فایل هایتان با الگوریتم AES-256 رمزنگاری شده است. برای دریافت کلید رمز به ایمیل: armagedosevin@aol.com پیام بفرستید. ‘

براساس آنالیز فایل PE، متوجه شدیم که باج افزار خود را درون فرآیندهایی که با امتیازات مدیریتی اجرا می شوند تزریق می کند تا بتواند کپی های سایه را با استفاده از فرمان ‘vssadmin delete shadows / all’ حذف کند.

این دستور برنامه vssadmin.exe را اجرا می کند و تمام نسخه ها را بی صدا می کند. شکل ۵ کد مورد استفاده برای حذف کدهای سایه را نشان می دهد.

شکل 6. کد مورد استفاده برای حذف کپی های سایه

شکل ۶٫ کد مورد استفاده برای حذف کپی های سایه

Api-New-300x168

شکل ۷٫ API برای رمزگذاری فایل ها استفاده می شود

در قسمت پایین API های مورد استفاده توسط باج افزار برای رمزگذاری داده ها استفاده می شود

شکل 8. فایل های رمز شده با فرمت '.armage'

شکل ۸٫ فایل های رمز شده با فرمت ‘.armage’

چگونه کوییک هیل از کاربران خود در برابر باج افزار Armor محافظت می کند

کوییک هیل با موفقیت Armage را با لایه های محافظتی چند لایه زیر مسدود می کند:

محفاظت از ویروس
شناسایی مبتنی بر رفتار
ضد-باج افزار

شکل 9. سیستم شناسایی مبتنی بر رفتار، تروجان را مسدود می کند.

شکل ۹٫ سیستم شناسایی مبتنی بر رفتار، تروجان را مسدود می کند.

شکل 10. ابزار ضد-باج افزار، بدافزار را نیز مسدود می کند

شکل ۱۰٫ ابزار ضد-باج افزار، بدافزار را نیز مسدود می کند

چگونه در برابر حملات باج افزار ایمن بمانیم

  • همیشه از داده های مهم خود در درایو های خارجی مانند هارد دیسک و فلش پشتیبان تهیه کنید. از یک سرویس ابری قابل اطمینان برای ذخیره داده ها استفاده کنید.
    هرگز نسخه های نرم افزاری رایگان و یا کرک شده را نصب نکنید.
    هرگز صفحات تبلیغاتی نشان داده شده در وبسایت ها را بدون دانستن اینکه آنها واقعی هستند، باز نکنید.
    هنگام استفاده از MS Office، ماکروها را غیرفعال کنید.
    به منظور محافظت از سیستم خود در برابر تهدیدات ناشناخته، آنتی ویروس خود را به روز کنید.
    هرگز بر روی لینک ها یا فایل های دانلودی موجود در ایمیل های ناشناخته یا ناخواسته کلیک نکنید.
منتشرشده در تهديدات جديد | برچسب‌شده , , , , , , , , , , , | دیدگاه‌تان را بنویسید:

کسب امتیاز ۹۹٫۵٪ توسط توتال سکیوریتی کوییک هیل (ویندوز) در آزمون AV-Comparatives

Quick_Heal_AV_Comparativesتوتال سکیوریتی کوییک هیل (ویندوز) رتبه ۹۹٫۵٪ را در آزمون حفاظت جهان واقعی که توسط آزمایش کنندگان نرم افزار امنیتی AV-Comparatives پیشرو در جهان کسب کرد. ادامه‌ی خواندن

منتشرشده در عمومی | دیدگاه‌تان را بنویسید:

۳ نوع از حملات فیشینگ و راهنمایی برای جلوگیری از آنها

types_of_phishing_attacksفیشینگ یکی از قدیمی ترین کلاهبرداری ها در کتاب هکرها است. اما به هر حال ممکن است فیشینگ همچنان ابزار سودآورتری برای مجرمان سایبری باشد. این خبر در مورد ۳ نوع از حملات معمول فیشینگ می باشد و برای جلوگیری از آنها شما را راهنمایی می کند. ادامه‌ی خواندن

منتشرشده در تهديدات جديد | برچسب‌شده , , , , , , , , , , , | دیدگاه‌تان را بنویسید:

حملات باج افزار پتیا سراسر دنیا را فرا گرفت، روش های پیشگیری از باج افزار Petya!

petya_ransomware_quick_healآزمایشگاه های امنیتی کوییک هیل به یک نسخه جدید از باج افزار پتیا دست یافتند که کاربران در سطح جهان را تحت تأثیر قرار می دهد. به نظر می رسد این نشانه های اولیه یک حمله باج افزار جدید می باشد که به سرعت در سراسر جهان درحال گسترش است. در حال حاضر، چندین گزارش متعدد از کشورهای مختلف درباره این نوع حمله باج افزار مشاهده کردیم. ادامه‌ی خواندن

منتشرشده در تهديدات جديد | برچسب‌شده , , , , , , , , , , , , , , , , , , , , , , , , , , | دیدگاه‌تان را بنویسید:

۸ نکته برای جلوگیری از حمله جاسوس افزارها

8_tips_to_avoid_spywareجاسوس افزارها، نرم افزارهایی هستند که فعالیت های اینترنت گردی شما را جاسوسی کرده، ضربه های روی صفحه کلید را ضبط کرده و تقریبا هر نوع داده ای از جمله اطلاعات شخصی تان مانند کارت اعتباری و یا اطلاعات بانکی، شناسه های ورود و رمز عبور را جمع آوری می کند. در این خبر، ما ۸ راهکار برای جلوگیری از حمله جاسوس افزارها ارائه می دهیم و اطلاعات شما را ایمن نگه می داریم. ادامه‌ی خواندن

منتشرشده در عمومی | برچسب‌شده , , , , , , , , , , , , , | دیدگاه‌تان را بنویسید:

باج افزار Thanatos – آنالیز توسط آزمایشگاه های امنیتی کوییک هیل

Thanatos_Ransomwareآزمایشگاه های امنیتی کوییک هیل باج افزار جدیدی با تکنیک رمزنگاری AES کشف کرده که پس از رمزگذاری فایل های قربانی ۰٫۰۱ بیتکوین باج درخواست می کند که به باج افزار Thanatos معروف است. ادامه‌ی خواندن

منتشرشده در تهديدات جديد | برچسب‌شده , , , , , , , , , , , , , , | دیدگاه‌تان را بنویسید:

نمی توان میزان آسیب بدافزارهای اندروید مورد استفاده هکرها را تخمین زد

sanjay-katkar-quick-heal-techسانجای کتکار، مدیر ارشد فنی شرکت کوییک هیل می گوید که باج افزارها بزرگترین مشکل در سال ۲۰۱۷ محسوب شده و انتشار گسترده آن و ضربه ای که به بسیاری از کاربران وارد کرده باعث شده تا افراد به دنبال راهکارهای امنیتی بگردند. ادامه‌ی خواندن

منتشرشده در کوییک هیل | برچسب‌شده , , , , , , , , | دیدگاه‌تان را بنویسید:

مراقب کلاهبرداری واتساپ که وعده کفش رایگان آدیداس می دهد باشید!

WhatsApp_Scam_Adidas_Scam1یک روز صبح از طرف دوستم پیامی دریافت کردم. فکر کردم پیام صبح بخیر معمولی است اما متن پیام به شرح زیر بود:
“آدیداس برای نودو سومین جشن سالگرد خود ۳۰۰۰ جفت کفش رایگان اختصاص داده است. کفش هایتان را دریافت کنید <link>”

ادامه‌ی خواندن

منتشرشده در عمومی | برچسب‌شده , , , , , , , , , , , | دیدگاه‌تان را بنویسید: