سوء استفاده از سایت های وردپرس در کمپین فیشینگ Aggah

 

کمپین مهاجمین مرتبط با پاکستان از سایت های وردپرس در معرض خطر برای ارائه RAT Warzone به شرکت های تولید کننده در تایوان و کره جنوبی استفاده می کند.

 

محققان دریافتند که هکرها از وب سایت های وردپرس به خطر افتاده برای هدف قرار دادن تولیدکنندگان در سراسر آسیا با یک کمپین جدید فیشینگ استفاده می کنند که Warzone RAT را ارائه می دهد.

بر اساس تحقیقات جدید شرکت امنیت شناسایی و واکنش تهدید Anomali ، گروه تهدید Aggah ، که تصورمی شود وابسته به پاکستان است و برای اولین بار در مارس 2019 شناسایی شد ، RAT را در کمپینی با هدف انتشار بدافزار به شرکت های تولید کننده در تایوان و کره جنوبی ارائه می دهد.

به گفته محققان ، این کمپین ، که در اوایل ماه ژوئیه آغاز شد ، از آدرس های ایمیل جعلی استفاده می کند که ظاهراً از مشتریان قانونی تولیدکنندگان نشأت می گیرد و نشان می دهد که کار Aggah بوده است.

تارا گولد و روری گولد از Anomali Threat Research در گزارشی در مورد این کمپین که منتشر شد ، نوشتند: “آدرس های ایمیل جعلی کسب و کار (B2B) در برابر صنعت مورد نظر با Aggah مطابقت دارد.”

محققان واحد 42 شبکه Palo Alto برای اولین بار Aggah را در مارس 2019 در کمپینی با هدف هدف قرار دادن اشخاص در امارات متحده عربی کشف کردند که بعداً به عنوان یک کمپین فیشینگ جهانی برای ارائه RevengeRAT شناخته شد.

تصور می شد که این گروه که معمولاً سرقت اطلاعات از اهداف را انجام می دهد ، با گروه گرگان ارتباط داشته باشد: یک گروه پاکستانی که به هدف قرار دادن دولت های غربی معروف است. به گفته Anomali ، این ارتباط ثابت نشده است ، اما محققان متفق القول هستند که گروه اردو زبان از پاکستان سرچشمه گرفته است.

از جمله اهداف آخرین کمپین Aggah ، Fon-star International Technology ، یک شرکت تولیدی مستقر در تایوان بود. FomoTech ، یک شرکت مهندسی تایوانی ؛ و هیوندای الکتریک ، یک شرکت برق کره ای.

هکرها اغلب تولید کنندگان جهانی و سایر تأمین کنندگان را نه تنها برای هدف قرار دادن آنها ، بلکه به عنوان راهی برای نفوذ به برخی از مشتریان برجسته تر خود هدف قرار می دهند. نمونه ای از این امر در ماه آوریل زمانی مشاهده شد که باند REvil که اکنون منقرض شده ، با موفقیت باج افزاری را علیه Quanta ، تأمین کننده تایوانی رایانه Apple ، درست پیش از رویداد بزرگ معرفی محصول اپل ، مستقر کرد.

REvil پرونده هایی را از Quanta سرقت کرد که شامل نقشه هایی برای برخی از محصولات جدید اپل بود.

چرا باج افزار تهدیدی برای زیرساخت های حیاتی است

 

افزایش اخیر حملات باج افزاری در مقیاس بزرگ آسیب پذیری های زیرساخت های حیاتی کشور و سهولت نقض سیستم های آنها را برجسته کرده است.

 

تقریباً بیش از یک دهه پیش ، آنچه زیرساخت های حیاتی در نظر گرفته می شد تا حد زیادی محدود به کنترل ترافیک هوایی و تولید و انتقال انرژی بود و مقررات امنیتی به شدت بر این مناطق متمرکز شده است. با این حال ، امروزه به طور فزاینده ای اذعان شده است که زیرساخت ها موارد بیشتری را شامل می شود ، از سیستم های طوفان تا پردازنده های زباله ، ارائه دهندگان مخابرات ، بیمارستان ها ، خدمات مالی ، خطوط لوله و موارد دیگر.

حملات سایبری و باج افزارها بیشتر از تهدید خارجی غیر دیجیتالی برای زیرساخت های حیاتی خطر ایجاد

می کنند و اندازه و مقیاس زیرساخت ارتباط چندانی با دامنه خطر ندارد. باج افزار همان اندازه که یک شبکه تصفیه آب در مرکز شهر اسمال ویل ایالات متحده را تهدید می کند ، همانطور هم برای شبکه انرژی در مقیاس بزرگ یا خط لوله بنزین تهدید محسوب می‌شود.

باج افزار متکی به کلاهبرداری های فیشینگ یا حفره های امنیتی است که می تواند از آن استفاده کند ، از جمله آسیب پذیری های دیجیتالی و انسانی.

با افزایش پیچیدگی تهدیدات سایبری ، می توان انتظار داشت تهدید ارائه شده توسط باج افزارها تکامل یابد و اقدامات انجام شده برای حفاظت از زیرساخت های حیاتی کشور نیز باید تکامل یابد.

برای جلوگیری از خطرات احتمالی باید استانداردهای حفاظت از زیرساخت های حیاتی (CIP) در نظر گرفته شود؛  مانند جداسازی سیستم های مهم از اینترنت و جایگزینی احراز هویت تک عاملی مبتنی بر رمز عبور با اعتبار چند عاملی از جمله گواهینامه های دیجیتال بر اساس زیرساخت کلید عمومی (PKI) ، می تواند انواع دیگری از زیرساخت ها را ایجاد کند.

بسیاری از این صنایع زیرساختی قدیمی متکی به رایانه های بسیار تخصصی هستند که بر روی سیستم عامل های بسیار قدیمی کار می کنند .سیستم هایی که همیشه آنطور که باید حفاظت نشده و نگهداری نمی شوند.

فرض کنید به شما حمله خواهد شد پس باید برنامه ای برای کاهش قرار گرفتن در معرض و سپس اصلاح آن و افزایش حفاظت از سیستم های حیاتی داشته باشید. از خود بپرسید ، اگر مورد حمله قرار بگیرید چگونه آن سیستم ها را بازیابی می کنید؟ از کجا می توانید حفاظت های امنیتی اضافی را از امروز شروع کنید؟

اقدامات احتیاطی موثر عبارتند از:

تقسیم بندی شبکه ، قرار دادن داده ها و سیستم های مهم در پشت دیوار آتش و محدود کردن دسترسی فقط به کارمندانی که مشاغل آنها نیاز به دسترسی دارد.

رمزگذاری فایل ها ، ایمیل ها و پایگاه های داده ، به عنوان مثال با استفاده از گواهینامه های PKI

با انجام اقداماتی در جهت شناسایی و رفع آسیب پذیری در سیستم های خود ، از جمله به روز رسانی نرم افزار ، و با اطمینان از اینکه مهمترین عملکردهای آنها در برابر حملات سایبری و رمزگذاری داده ها به اندازه کافی مورد حفاظت است ، سازمان های زیرساختی می توانند به سرعت در جهت ایمن سازی سیستم های خود مانند سیستم های تحت پوشش CIP کار کنند.

 

مدیر امنیت هویت مایکروسافت از مشتریان درخواست کرد تا احراز هویت چند عاملی را اعمال کرده و مجوزهای حساب کاربری و فروشندگان را تشدید کنند.

به گفته مایکروسافت ، انواع تکنیک های مورد استفاده هکرهای SolarWinds پیچیده بوده اما در بسیاری از موارد معمولی و قابل پیشگیری است.

مایکروسافت برای جلوگیری از حملات بعدی با سطوح پیچیده مشابه ، به سازمان ها توصیه می کند

“ذهنیت اعتماد صفر” را اتخاذ کنند ، که این فرض را رد می کند که همه چیز در یک شبکه فناوری اطلاعات ایمن است. به این معنا که سازمان ها باید صراحتاً امنیت حساب های کاربری ، دستگاه های نقطه پایانی ، شبکه و سایر منابع را تأیید کنند.

همانطور که مدیر امنیت مایکروسافت ، الکس واینرت ، در یک پست وبلاگ خاطرنشان کرد ، سه بردار اصلی حمله ، حساب های کاربری به خطر افتاده ، حساب های فروشنده و نرم افزار فروشندگان به خطر افتاده است.

هزاران شرکت تحت تأثیر نقض SolarWinds قرار گرفتند که در اواسط دسامبر فاش شد. هکرها که با نام UNC2452/Dark Halo شناخته می شوند ، محیط ساخت نرم افزار SolarWinds ‘Orion را هدف قرار دادند و وقتی برنامه ای از کد منبع به یک فایل اجرایی دودویی که توسط مشتریان مستقر شده است ، فرآیند را دستکاری کردند.

فروشنده امنیتی آمریکایی Malwarebytes  افشا کرد که تحت تأثیر همین هکرها قرار گرفته است ، اما نه از طریق به روز رسانی های خراب Orion. هکرها در عوض با سوء استفاده از برنامه های کاربردی با دسترسی ممتاز به Office 365 و زیرساخت Azure ، Malwarebytes را نقض کردند که با این کار “دسترسی به زیرمجموعه محدود” ایمیل های داخلی Malwarebytes داده شد.

به گفته واینرت ، مهاجمان از شکاف های “تأیید صریح” در هر یک از بردارهای اصلی حمله استفاده کردند.

هم چنین اشاره کرد: “در مواردی که حساب های کاربری به خطر می افتد ، تکنیک های شناخته شده مانند اسپری رمز عبور ، فیشینگ یا بدافزار برای به خطر انداختن اعتبار کاربران مورد استفاده قرار می گیرد و به مهاجم دسترسی مهمی به شبکه مشتری می دهد.”

او استدلال می کند سیستم های هویت مبتنی بر ابر مانند Azure Active Directory (Azure AD) از سیستم های هویت داخلی امن تر هستند زیرا این سیستم ها فاقد محافظت از ابر هستند مانند حفاظت از رمز عبور

Azure AD برای از بین بردن رمزهای عبور ضعیف ، پیشرفت های اخیر در تشخیص اسپری رمز عبور ، و هوش مصنوعی پیشرفته برای جلوگیری از سازش حساب.

در مواردی که هکر موفق شد ، واینرت خاطرنشان می کند که حسابهای فروشندگان دارای امتیاز ویژه فاقد حفاظت اضافی مانند احراز هویت چند عاملی (MFA) ، محدودیت های محدوده IP ، انطباق دستگاه یا بررسی دسترسی هستند. مایکروسافت دریافته است که 99.9 درصد از حساب های آسیب دیده ای که هر ماه دنبال می کند از MFA استفاده نمی کنند.

MFA یک کنترل مهم است ، زیرا می توان از حساب های دارای امتیاز بالا برای جعل نشانه های SAML برای دسترسی به منابع ابری استفاده کرد. همانطور که NSA در هشدار خود پس از افشای هک SolarWinds خاطرنشان کرد: “اگر بازیگران سایبری مخرب نتوانند کلید امضای غیرمجاز را بدست آورند ، سعی می کنند امتیازات اداری کافی را در مستاجر ابر برای افزودن یک رابطه اعتماد اعتماد گواهی بدست آورند. برای جعل نشانه های SAML. ”

در صورت وجود مجوزهای سختگیرانه در حساب ها و دستگاه های کاربر ، این روش حمله نیز می تواند خنثی شود.

واینرت خاطرنشان می کند: “حتی در بدترین حالت جعل رمز SAML ، مجوزهای بیش از حد کاربر و از دست رفتن محدودیت های خط مشی دستگاه و شبکه به حملات اجازه پیشرفت می دهد.”

“اولین اصل Zero Trust تأیید صریح است.

با استفاده از Solorigate – نامی که مایکروسافت برای بدافزار SolarWinds استفاده می کند – مهاجمان “از تکالیف نقش گسترده ، مجوزهایی که فراتر از الزامات نقش بودند ، استفاده کردند و در برخی موارد حساب ها و برنامه هایی را که باید هیچ گونه مجوزی نداشتند رها کردند.”

واینرت اذعان کرد که هک SolarWinds “یک حمله واقعاً مهم و پیشرفته” بود ، اما تکنیک هایی که آنها استفاده می کردند می تواند به طور قابل توجهی در خطر کاهش یابد یا با این بهترین شیوه ها کاهش یابد.

 

تیم اطلاعات امنیتی مایکروسافت به کاربران و مدیران دفتر 365 هشدار داده است که در جستجوی یک ایمیل فیشینگ “فریبنده” با آدرس فرستنده های جعلی هستند.

 

مایکروسافت پس از مشاهده یک کمپین فعال که در هدف قرار دادن سازمان های Office 365 با ایمیل های متقاعد کننده و چندین تکنیک برای دور زدن تشخیص فیشینگ ، از جمله صفحه فیشینگ Office 365 ، میزبانی برنامه های ابری گوگل Google و یک سایت خطرناک SharePoint که قربانیان را ترغیب می کند تا اطلاعات خود را تایپ کنند ، هشدار داد.

“تیم امنیتی مایکروسافت” اعلام کرد: یک کمپین فعال فیشینگ از ترکیب حیله گر آدرس های اصلی فرستنده با ظاهری مشروع ، آدرس های فرستنده نمایش جعلی که حاوی نام کاربری و دامنه های هدف هستند و نام هایی که از خدمات قانونی تقلید می کنند استفاده می کند.

“آدرس های فرستنده اصلی شامل تغییرات کلمه” ارجاع “است و از دامنه های مختلف سطح بالا استفاده می کند ، از جمله دامنه com [.] com ، که به طور گسترده توسط کمپین های فیشینگ برای جعل و غلط تایپی استفاده می شود.”

فیشینگ همچنان مشکلی سخت برای مشاغل است که نیاز به آموزش منظم راه حل های فنی ، مانند احراز هویت چند عاملی در همه حساب ها داردکه مایکروسافت و CISA به شدت آن را توصیه می کنند.

فیشینگ جزء اصلی حملات سازش با ایمیل تجاری (BEC) است که بر اساس آخرین آمار FBI در سال گذشته بیش از 4.2 میلیارد دلار برای آمریکایی ها هزینه داشته است. هزینه آن بسیار بیشتر از حملات باج افزارهای معروف است. BEC ، که متکی بر حساب های ایمیل آسیب دیده یا آدرس های ایمیل مشابه آدرس های مجاز است ، فیلتر نمی شود زیرا در ترافیک معمولی و مورد انتظار ترکیب می شوند.

این حملات از Microsoft SharePoint در نام نمایشی استفاده می کند تا قربانیان را ترغیب کند تا روی پیوند کلیک کنند. این ایمیل به عنوان یک درخواست “اشتراک فایل” برای دسترسی به “گزارش کارکنان” ، “پاداش ها” و سایر محتواهایی که در یک صفحه گسترده اکسل قرار گرفته اند ، مطرح می شود. همچنین دارای پیوندی است که به صفحه فیشینگ منتقل می شود و مارک های مایکروسافت زیادی وجود دارد.

در حالی که لوگوهای متقاعد کننده مایکروسافت در سراسر ایمیل پراکنده شده اند ، آدرس اصلی فیشینگ به یک منبع ذخیره سازی Google متکی است که قربانی را به دامنه Google App Engine AppSpot می‌کشاند.

ایمیل ها حاوی دو نشانی اینترنتی هستند که هدرهای HTTP را نادرست نشان داده اند. نشانی اینترنتی فیشینگ اصلی یک منبع ذخیره سازی Google است که به یک دامنه AppSpot اشاره می کند و نیاز به کاربر دارد که قبل از ارائه دامنه دیگری از محتوای کاربر Google با صفحه فیشینگ Office 365 وارد سیستم شود.

نشانی اینترنتی دوم در تنظیمات اعلانات قربانی را به یک سایت SharePoint آسیب دیده پیوند می دهد. هر دو نشانی اینترنتی برای ورود به صفحه نهایی نیاز به ورود به سیستم دارند .مایکروسافت خاطرنشان می کند که این کمپین “زیرکانه تر از حد معمول” است.مایکروسافت از ویژگی “Safe Links” Defender for Office 365 phishing برای حفاظت از فیشینگ استفاده می کند که ایمیل فیشینگ را “در لحظه ای که کاربر روی پیوندی کلیک می کند که با لیست صفحات فیشینگ شناخته شده خود مطابقت دارد” از بین می‌برد.همچنین جزئیاتی را در GitHub در مورد زیرساخت های مرتبط با ایمیل های جعلی که از SharePoint و سایر محصولات برای فیشینگ معتبر تقلید می کنند ، منتشر کرده است.

و خاطرنشان کرد: “اپراتور همچنین از زیرساخت های URL مجاز مانند Google ، Microsoft و Digital Ocean برای میزبانی صفحات فیشینگ خود استفاده می کند.”

مشارکت تیم قرمز مزایایی نسبت به سایر روش ها و فناوری ها در بهبود وضعیت امنیتی یک سازمان دارد.

تیم قرمز می تواند توانایی ها و نقایص دارایی های مختلف امنیتی یک سازمان را شناسایی کند و ارزیابی منحصر به فردی از آمادگی یک سازمان برای مقاومت در برابر تلاش های یک هکر مخرب ارائه می دهد.

درک این نکته مهم است که این ارزیابی به خوبی هکرهای انجام دهنده آن است و ارزیابی کنندگان به اندازه دامنه و قواعد تعامل با آنها محدود یا دارای قدرت هستند. در همه مواردی که با شرایط مناسب در نظر گرفته می شوند ، تیم قرمز در مقایسه با رفع واکنش های امنیتی ، پس از رفع آنها ، بازده هزینه بالاتری در بهبود وضعیت امنیتی ایجاد می کند.

تیم قرمز را می‌توان به عنوان یک ابزار تیز در نظر گرفت زیرا در دست های غیر آموزش دیده یا غیراخلاقی می تواند بسیار خطرناک باشد. در جایی که بسیاری از فن آوری های امنیتی حول مفهوم واکنش ساخته شده اند ، تیم قرمز به یک سازمان اجازه می دهد تا قبل از شروع مصالحه ، نه بعد از آن ، مسائل امنیتی را دنبال کند. ممکن است ادعا شود که فعالیتهایی مانند اسکن آسیب پذیری و مدیریت خوب  نیز پیشگیرانه است اما توجه به این نکته مهم است:

اگرچه این اتفاق اساس واکنش به یک رویداد امنیتی در داخل یک سازمان نیست ، اما هر دو ، واکنش به رویدادهای امنیتی در جای دیگر است که جزئیاتی را برای آسیب پذیری های جدید ارائه می دهد تا بتوان آنها را اسکن یا برطرف کرد.

 برخی دیگر تیم قرمز را یک ابزار ماهیتی فعال می دانند که هدف آن شناسایی شاخص های سازش از سوی بازیگران موجود در سازمان است که ممکن است متجاوز شناخته شده باشند یا نباشند.

منبع : کتاب Professional Red Teaming از Jacob G.Oakley

ترفندهای جدید مبهم سازی برای به چالش کشیدن امنیت

یک کمپین فیشینگ جدید با بدافزار BazarBackdoor کشف شده است. این کمپین از روش فشرده سازی برای مخفی کردن بدافزار به عنوان یک پرونده تصویری استفاده می کند. این روش می تواند Secure Email Gateways (SEGs) را فریب دهد تا پیوست های مخرب را به عنوان پرونده های تمیز شناسایی کند.

به گفته محققان Cofense ، روش فشرده سازی می تواند برخی SEG ها را دور بزند زیرا محدودیت هایی در بررسی کامل یا اسکن یک پرونده فشرده دارد.

کمپین جدید BazarBackdoor از ماه گذشته فعال است و چندین گیرنده شرکت را با استفاده از موضوع روز محیط زیست ، که در 5 ژوئن جشن گرفته می شود ، فریب داد.

این ایمیل حاوی بایگانی های ZIP و RAR در پیوست است. این یک فایل JavaScript است که بدافزار BazarBackdoor را برای دسترسی از راه دور به ماشین های هدف ارائه می دهد.

هم چنین از پرونده جاوا اسکریپت بسیار مبهم برای بارگیری مخرب با پسوند تصویر استفاده می شود.

این عمل ، همانطور که کارشناسان می گویند ، در بین هکرها روندی رو به رشد است زیرا احتمال پرونده های مخرب را برای جلوگیری از شناسایی افزایش می دهد.

استفاده از چندین نوع بایگانی به طور عمدی توسط مهاجمان استفاده می شود زیرا این امکان را دارد که حد فشرده سازی SEG را از بین ببرد یا به دلیل ناشناخته بودن نوع بایگانی امکان پذیر نیست.

جاوا اسکریپت مبهم پس از اجرا ، با استفاده از اتصال HTTP GET ، محموله BazarBackdoor را با پسوند .png بارگیری می کند.

این بدافزار پس از استقرار در رایانه قربانی ، می تواند Cobalt Strike را که یک ابزار واقعی است که برای تمرینات پس از بهره برداری ایجاد شده و به صورت جانبی گسترش می یابد ، بارگیری و اجرا کند.

با شروع سال ، BazarBackdoor تغییر شکل داد. در حال حاضر ، عوامل تهدید در پشت آن پیچیده تر شده و از روش های جدیدی برای انتشار بدافزار استفاده می کنند.

این تهدیدی نگران کننده است و نیاز به نظارت مستمر از سوی نهادهای امنیتی دارد.

پردازنده های Intel 11th Gen Intel Core vPro با پشتیبانی از Hardware Shield و ویژگی های TDT قادر به شناسایی حملات باج افزار در سطح سخت افزاری و لایه های زیرین نرم افزار آنتی ویروس هستند.

در نمایشگاه Consumer Electronic Show 2021 ، اینتل اعلام کرد که از طریق بهبود فناوری محافظ سخت افزار و فناوری شناسایی تهدید (TDT) ، قابلیت های شناسایی باج افزار را به پردازنده های جدید یازدهمین نسل Core vPro خود اضافه می کند.

همچنین طی همکاری با Cybereason ، هر دو شرکت گفتند که این اولین موردی است که “سخت افزار کامپیوتر در شناسایی حملات باج افزار نقش مستقیم دارد”

این پردازنده چگونه کار می کند؟

همه اینها از طریق دو ویژگی اینتل یعنی Hardware Shield و Intel Threat Detection Technology (TDT) امکان پذیر است. هر دوی این فناوری ها مستقیماً روی پردازنده کار می کنند و بخشی از Intel vPro ، مجموعه ای از فناوری های سازمانی است که اینتل با برخی پردازنده های خود روانه بازار می کند.

Hardware Shield ، فناوری ای است که UEFI / BIOS و TDT را قفل می کند . این فناوری با استفاده از Telemetry CPU ،امکان شناسایی کدهای مخرب را دارد.

ایده پشت ویژگی های جدید اینتل این است که برخی از داده های خود را با نرم افزار امنیتی به اشتراک بگذارید و به آن اجازه دهید بدافزارهایی را که ممکن است در مکان هایی که برنامه های آنتی ویروس به آنها دسترسی ندارند مخفی کند ، شناسایی کند.

واحد نظارت بر عملکرد پردازنده اینتل (PMU) اینتل در زیر برنامه ها ، سیستم عامل و لایه های مجازی سازی سیستم قرار دارد و نمایش دقیق تری از تهدیدات فعال ، در کل سیستم را ارائه می دهد”. “همانطور که تهدیدها در زمان واقعی شناسایی می شوند ، Intel TDT سیگنالی با قابلیت اطمینان بالا را ارسال می کند که می تواند باعث ایجاد روند کار در Vendor’s code شود.”

طبق  صحبت های اینتل و Cybereason ، این فناوری جدید به شركتها این اجازه را می دهد كه حملات باج افزار را در صورت ورود، باج افزار با پنهان كردن در داخل ماشین های مجازی ، از شناسایی آنها جلوگیری كنند ، زیرا Hardware Shield و TDT لایه های زیادی را در زیر آن اجرا می كنند.

عملی است که می توانید امنیت سیستم های خود را با تلاش برای هک کردن آنها آزمایش کنید.

عملی است که می توانید امنیت سیستم های خود را با تلاش برای هک کردن آنها آزمایش کنید.

تیم قرمزمی تواند یک گروه آزمایش کننده تست نفوذ یا یک تیم در سازمان شما باشد ، اما در همه موارد ، نقش آنها یکسان است: تقلید از رفتار یک هکر مخرب و تلاش برای ورود به سیستم های شما.

با تصور یک سناریوی خیالی به راحتی می توان ارزش اینکار را درک کرد. یک سازمان ممکن است یک فرآیند امنیتی  بسیار پیشرفته داشته باشد و اطمینان داشته باشد که سیستم های آن توسط افراد خارجی نقض نمی شوند، درحالیکه تیم قرمز ممکن است این موضوع را درک کند و رویکرد مستقیم تری را در پیش بگیرد: جعل کارت دسترسی کارمندان و ورود به آن سازمان .

حتی در بعضی موارد ، به کمک کارمندان ، به آنها اجازه می دهند به داده های حساس دسترسی پیدا کنند ، کپی کنند و بیرون بروند.

چگونه یک سناریوی حمله برای تیم قرمز بسازیم؟

سناریوی حمله ، توالی منطقی تکنیک ها ، تاکتیک ها و رویه ها (TTPs) است که توسط دشمنان برای راه اندازی حملات سایبری و دستیابی به اهدافشان استفاده می شود.

در تستی که در آزمایشگاه های شرکت Picus انجام شد ، سناریوهای حمله را به صورت ساختاری ایجاد و آنها را برای آزمایش کارآیی کنترل های امنیتی در برابرحملات اجرا کردند. این عمل بسیار شبیه به تقلید از هکرهاست ؛ در واقع نوعی از درگیری تیم قرمز که یک تهدید شناخته شده را تقلید می کند.تیم های قرمز سناریوهای مختلفی را برای آزمایش جنبه های خاصی از TTPs های نفوذی ها در شبیه سازی عملیات آنها ایجاد می کنند. بنابراین ، توسعه سناریوهای حمله بخشی اساسی در عملیات تیم قرمز است. بسته به پیچیدگی کار، تیم های قرمز ممکن است هفته ها تصمیم بگیرند که از کدام TTPs برای تهیه سناریو استفاده کنند.

* TTPs :  Techniques, Tactics, and Procedures

بهترین تمرینات تیم قرمز برای اطمینان از امنیت شبکه شما

به نفع هر مدیر  SOC یا متخصص امنیت اطلاعات است که در تمرینات موثر تیم قرمز سرمایه گذاری کند تا درک کاملی از آسیب پذیری های شبکه داشته باشد.

اگر شما یک مدیر SOC هستید که از یک تیم قرمز یا یک تیم تست نفوذ استفاده می کنید ، حتما می دانید که مهارت داشتن آنها ضروری است. در پایان روز ، این افراد مسئول زیرساخت های شما و یافتن روزنه هایی هستند که همه سیستم های دیگر نمی توانند از آن استفاده کنند.

تمرینات تیم قرمز نه تنها آسیب پذیری شبکه را تشخیص می دهد ، بلکه موارد تاثیرگذار بر نواقص شبکه امنیت در سازمان شما ، از جمله مناطقی که بیشترین تخلف را ایجاد می کند نیز ارائه می دهد.

تمرینات تیم قرمز چگونه کار می کند؟

تمرینات موفقیت آمیز تیم قرمز تصویر روشنی از اینکه از کجا و چگونه یک هکر می تواند شبکه شما را خراب کند و چه میزان خسارت به کسب و کار شما وارد می کند را می دهد. در اکثر موارد ، یک متخصص تیم قرمز استخدام می شود که از توانایی و تخصص کافی در زمینه آسیب پذیری های امنیتی برخوردار است .

در این تمرین ها از تکنیک های مختلفی از جمله فیشینگ و مهندسی اجتماعی استفاده می شود که مستقیماً به کارمندان شما یا نام کاربری و رمزهای عبور آنها اختصاص دارد و یا با تحقیق روی کاربران خاص و رایانه شخصی آنها با استفاده از مرورگر اینترنت یا نصب بدافزار در سایت و هدف قرار دادن آنها  می توان به این اطلاعات دست پیدا کرد.

بحران باج افزار در حال افزایش است و عوامل تهدید دقیقاً در حال پیشرفت و بهبود TTP های خود هستند. افزایش حملات و اقدامات متقابل مقامات مجری قانون در چند وقت اخیر ، اپراتورهای باج افزار را به تکامل استراتژی های خود سوق داده است.

چه چیزی در حال اتفاق است؟

اپراتورهای باج افزارها از سایر سازمان ها مانند توزیع کنندگان Trojan برای توسعه بدافزار استفاده می کنند.این توزیع کنندگان ، تسهیل کننده دسترسی نامیده می شوند و از طریق پیوست های مخرب یا پیوندهایی که از طریق ایمیل ارسال می شود ، قربانیان را به دام می اندازند.

چرا باید اهمیت داد؟

باج افزارها به دلیل بهبود قابلیت شناسایی ،اکنون به ندرت از طریق ایمیل منتشر می شوند. تغییر جهت بارگیری به عنوان مرحله اول بار به اپراتورهای باج افزار ، انعطاف پذیری و انتخاب بهتری را ارائه می دهد.

آمار

در حالی که در مورد استراتژی های باج افزار صحبت می کنیم ، بهتر است نگاهی به آمار هم بیندازیم.

در دو ماه گذشته ، آفریقا شاهد افزایش 38 درصدی حملات باج افزار و پس از آن اروپا با 27 درصد بوده است.

از ابتدای سال میلادی ، حملات باج افزارها 41٪ افزایش یافته است. آمریکای لاتین با 62٪ ، و پس از آن اروپا 59٪ ، بیشترین افزایش در تلاش برای جلوگیری از حملات را داشته اند.

بیشترین تهدیدها در آموزش و پرورش (347٪) ، حمل و نقل (186٪) ، خرده فروشی و عمده فروشی (162٪) و بهداشت و درمان (159٪) مشاهده شده است. همه این مقادیر بر اساس حملات هفتگی است.

بحران باج افزارها در حال افزایش است و عوامل تهدیدکننده با دقت در حال تکامل و بهبود TTP های خود هستند.

افزایش حملات و اقدامات متقابل که در چند وقت اخیر توسط مقامات انتظامی انجام شده است ، اپراتورهای باج افزار را به تکامل استراتژی های خود سوق داده است.

استراتژی های دیگری که باید به آنها توجه کرد

استراتژی دیگری که مهاجمان باج افزار در اختیار دارند ، رمزگذاری مضاعف است که در آن از انواع مختلف باج افزار برای رمزگذاری داده های مشابه استفاده می کنند.

با گذشت زمان ، مهاجمان به گونه های جدید باج افزار و بدافزار سفارشی دست یافته اند.

سخن پایانی

جرایم سایبری روز به روز در حال افزایش و تکامل هستند وتهدیدهای مبتنی بر ایمیل از ابتدای امسال به موردی قدیمی تبدیل شده است. در حالی که تلاش های جدیدی توسط مقامات اجرای قانون در سراسر جهان برای مهار این امر اعلام شده است ، امنیت سایبری هر سازمان صرف نظر از اندازه آن باید جدی گرفته شود.

امنیت لینوکس از ویندوز بیشتر است. همه ما این را می دانیم. اما این بدان معنا نیست که امنیت کاملی دارد.

این برنامه ، سرورهای لینوکس را برای کتابخانه های از رده خارج ، روی دیسک و حافظه اسکن می کند. برخلاف سایر ابزارهای دیگر ، همچنین می تواند با گزارش در مورد کتابخانه های آسیب پذیر در حافظه که ممکن است توسط اسکنرهای دیگر از دست بروند ، نکات منفی کاذب را پیدا کند.

UChecker که مخفف عبارت “userspace checker” است ، نه فقط با خانواده RHEL بلکه با تمام توزیع های مدرن لینوکس تحت مجوز عمومی  GNU کار می کند. این اطلاعات عملیاتی دقیق در مورد اینکه کدام برنامه از کدام کتابخانه آسیب پذیر استفاده می کند را ارائه می دهد. این برنامه همچنین شناسه مربوط به فرآیند و نام فرآیند را به شما ارائه می دهد. با استفاده از این اطلاعات می توانید ببینید که کدام کتابخانه ها باید به روز شوند.

این برنامه را می توان با ابزارهایی مانند Nagios یا سایر ابزارهای نظارت ، ورود به سیستم و مدیریت ادغام کرد تا از سیستم امنیتی بهتری برای سرورهای شما برخوردار شود.

پس از اجرای UChecker از پوسته ، دو گزینه برای به روزرسانی کتابخانه های خود دارید. اول ، روش قدیمی وجود دارد. در این صورت ، شما کتابخانه های خود را با سیستم بسته بندی خود به روز می کنید و سرورها را دوباره راه اندازی می کنید. یا فقط می توانید تمام پردازش ها را مجدداً راه اندازی کنید زیرا حتی با UCherker نمی توانید مطمئن باشید که در کدام پروسه ها هنوز هم می توان از کتابخانه های قدیمی استفاده کرد.

یا می توانید از قابلیت Live patching سرویس TuxCare LibraryCare برای اعمال وصله های امنیتی در کتابخانه های OpenSSL و Glibc بدون نیاز به راه اندازی مجدد سرور استفاده کنید. خدمات TuxCare ، چترامنیتی و پشتیبانی CloudLinux هستند. این شامل Live patching برای کامپوننت های مهم  Linux از هسته تا کتابخانه های مشترک گسترده است. در هنگام راه اندازی مجدد سرورها یا سرویس ها برای نصب جدیدترین وصله های امنیتی ، دیگر نیازی به ایجاد اختلال در سرویس بطور طولانی مدت و پرهزینه نیست و نیازی به پنجره تعمیر و نگهداری disruptive ندارد.

CloudLinux همچنین قول داده است که خدمات پشتیبانی Linux TuxCare وصله ها و به روزرسانی های منظمی را برای تمام اجزای سیستم های لینوکس سازمانی و همچنین پشتیبانی از حوادث 24 ساعته و 7 ساعته فراهم کند ، حتی اگر سیستم ها ازEOL گذشته باشند. بنابراین ، اگر انواع توزیع های لینوکس را اجرا می کنید و برخی از آنها قدیمی هستند ، این سرویس ارزش بررسی را دارد.

 جیم جکسون ، رئیس CloudLinux ، اشاره کرد: «برخی از وصله ها به پیکربندی مجدد و راه اندازی مجدد سرورها نیاز دارند که به مدت بسیار طولانی به صورت آفلاین ، دشوار است. زمان بسیار حیاتی است ، زیرا هکرها به دنبال سوء استفاده از آسیب پذیری ها هستند .»

هم چنین گفت:

 «هر چیزی که به شما کمک کند کتابخانه های بالقوه ناامن را در سریع ترین زمان ممکن شناسایی و وصله کنید ، همیشه چیز خوبی است.»