بحران باج افزار در حال افزایش است و عوامل تهدید دقیقاً در حال پیشرفت و بهبود TTP های خود هستند. افزایش حملات و اقدامات متقابل مقامات مجری قانون در چند وقت اخیر ، اپراتورهای باج افزار را به تکامل استراتژی های خود سوق داده است.

چه چیزی در حال اتفاق است؟

اپراتورهای باج افزارها از سایر سازمان ها مانند توزیع کنندگان Trojan برای توسعه بدافزار استفاده می کنند.این توزیع کنندگان ، تسهیل کننده دسترسی نامیده می شوند و از طریق پیوست های مخرب یا پیوندهایی که از طریق ایمیل ارسال می شود ، قربانیان را به دام می اندازند.

چرا باید اهمیت داد؟

باج افزارها به دلیل بهبود قابلیت شناسایی ،اکنون به ندرت از طریق ایمیل منتشر می شوند. تغییر جهت بارگیری به عنوان مرحله اول بار به اپراتورهای باج افزار ، انعطاف پذیری و انتخاب بهتری را ارائه می دهد.

آمار

در حالی که در مورد استراتژی های باج افزار صحبت می کنیم ، بهتر است نگاهی به آمار هم بیندازیم.

در دو ماه گذشته ، آفریقا شاهد افزایش 38 درصدی حملات باج افزار و پس از آن اروپا با 27 درصد بوده است.

از ابتدای سال میلادی ، حملات باج افزارها 41٪ افزایش یافته است. آمریکای لاتین با 62٪ ، و پس از آن اروپا 59٪ ، بیشترین افزایش در تلاش برای جلوگیری از حملات را داشته اند.

بیشترین تهدیدها در آموزش و پرورش (347٪) ، حمل و نقل (186٪) ، خرده فروشی و عمده فروشی (162٪) و بهداشت و درمان (159٪) مشاهده شده است. همه این مقادیر بر اساس حملات هفتگی است.

بحران باج افزارها در حال افزایش است و عوامل تهدیدکننده با دقت در حال تکامل و بهبود TTP های خود هستند.

افزایش حملات و اقدامات متقابل که در چند وقت اخیر توسط مقامات انتظامی انجام شده است ، اپراتورهای باج افزار را به تکامل استراتژی های خود سوق داده است.

استراتژی های دیگری که باید به آنها توجه کرد

استراتژی دیگری که مهاجمان باج افزار در اختیار دارند ، رمزگذاری مضاعف است که در آن از انواع مختلف باج افزار برای رمزگذاری داده های مشابه استفاده می کنند.

با گذشت زمان ، مهاجمان به گونه های جدید باج افزار و بدافزار سفارشی دست یافته اند.

سخن پایانی

جرایم سایبری روز به روز در حال افزایش و تکامل هستند وتهدیدهای مبتنی بر ایمیل از ابتدای امسال به موردی قدیمی تبدیل شده است. در حالی که تلاش های جدیدی توسط مقامات اجرای قانون در سراسر جهان برای مهار این امر اعلام شده است ، امنیت سایبری هر سازمان صرف نظر از اندازه آن باید جدی گرفته شود.

هکرها از ترفند جدید برای غیرفعال کردن هشدارهای امنیتی کلان در پرونده های مخرب office استفاده می‌کنند.

یافته های جدید نشان می دهد مهاجمان از اسناد غیر مخرب برای غیرفعال کردن هشدارهای امنیتی قبل از اجرای کد ماکرو برای آلوده کردن قربانیان استفاده می کنند.

محققان آزمایشگاه McAfee با یک تاکتیک جدید روبرو شدند که “DLL های مخرب (ZLoader) را بدون اینکه هیچ کد مخربی در ماکرو ضمیمه اسپم اولیه باشد،بارگیری و اجرا می کند. “

ویروسهای ZLoader که با استفاده از این مکانیسم منتشر می شوند ، در درجه اول در ایالات متحده ، کانادا ، اسپانیا ، ژاپن و مالزی گزارش شده اند. این بدافزار  از نوادگان تروجان بدنام ZeuS است که با استفاده تهاجمی از اسناد Office با ماکرو فعال به عنوان بردار حمله اولیه برای سرقت اعتبار و اطلاعات قابل شناسایی شخصی از کاربران مؤسسات مالی هدفمند ، مشهور است.

محققان در تحقیق در مورد نفوذها دریافتند که زنجیره ویروس با یک ایمیل فیشینگ حاوی پیوست سند Microsoft Word آغاز شد که با باز شدن آن ، یک پرونده Microsoft Excel محافظت شده با رمز عبور از یک سرور از راه دور بارگیری شد. با این حال ، لازم به ذکر است که ماکروها باید در سند Word فعال شوند تا خود بارگیری آغاز شود.

محققان گفتند: «پس از بارگیری پرونده XLS ، Word VBA محتوای سلول را از XLS خوانده و ماکرو جدیدی برای همان پرونده XLS ایجاد می کند و محتویات سلول را به عنوان توابع در ماکروهای XLS VBA می نویسد.»

«پس از نوشتن و آماده شدن ماکروها ، سند Word خط مشی موجود در رجیستری را به” غیرفعال کردن هشدار ماکرو در اکسل “تنظیم می کند و عملکرد مخرب ماکرو را از پرونده اکسل فراخوانی می کند. پرونده اکسل اکنون بارگیری ZLoader را آغاز می کند. بارگذاری ZLoader پس از آن است با استفاده از rundll32.exe اجرا شد. »

با توجه به “خطر امنیتی قابل توجه” که توسط ماکروها ایجاد می شود ، این ویژگی معمولاً به طور پیش فرض غیرفعال است. با خاموش کردن هشدار امنیتی ارائه شده به کاربر ، حملات قابل توجه است زیرا اقدامات لازم برای خنثی سازی شناسایی و ماندن در زیر رادار انجام می شود.

هم چنین اشاره کردند: «اسناد مخرب نقطه ورود اکثر خانواده های بدافزار بوده و این حملات باعث تکامل تکنیک های آلودگی و مبهم سازی آنها شده و نه تنها محدود به بارگیری مستقیم بار از VBA ، بلکه باعث ایجاد عوامل به صورت پویا برای بارگیری محموله ها است.” “استفاده از این عوامل در زنجیره ویروس فقط به Word یا Excel محدود نمی شود ، اما تهدیدات بعدی ممکن است از سایر ابزارهای موجود برای بارگیری بارهای آن استفاده کند.»

 

 

ارکستراسیون امنیتی یا SOAR همانطور که برای برخی شناخته شده است اما هنوز در حال توسعه میباشد، بنابراین تصورات نادرستی در مورد دامنه استفاده و اثربخشی آن برای یک تیم SOC وجود دارد.

در اینجا به 5 باور اشتباه درباره آن میپردازیم:

ابزارهای اتوماسیون امنیتی کار ما را انجام می دهند

در این مورد این اصل اساسی را میبایست در نظر بگیرید که : همه تهدیدها یکسان ایجاد نمی‌شوند. در حالی که برخی از تهدیدها ذاتاً پیچیده نیستند، اما به دلیل حجم و دامنه خود می توانند سازمان را تحت تأثیر قرار دهند.

حملات فیشینگ یک مثال است. اتوماسیون به ارتباطات کاربر نهایی، شناسایی اهداف مخرب یا موارد نادرست، قرنطینه و حذف ایمیل‌های مشکوک می‌پردازد. این امر نیاز به مشارکت انسان را به شدت کاهش می دهد و بسیاری از روال های خسته کننده را از حجم کار روزانه یک تحلیلگر انسانی خارج می کند.

البته، برخی از وظایفی که توسط یک تحلیلگر انجام می شود، می تواند منسوخ شود، اما با توجه به کمبود کارشناس ماهر در حوزه امنیت سایبری، فعالیت‌های بسیار زیادی برای این افراد وجود دارد.

هر فرآیند امنیتی می تواند خودکار شود.

عملیات خودکار ممکن است یک حرکت بازاریابی خوب باشد، اما هر فرآیند یا اقدام امنیتی نمی تواند خودکار شود. وظایف همچنان نسبت به اتوماسیون بدون مراقبت بسیار حساس خواهند بود و نیاز به فرآیندهای تایید دستی دارند. حتی با استفاده از فیشینگ که ذکر شد، یک سازمان می تواند تعادلی بین اتوماسیون ماشین محور و تصمیم گیری انسانی انتخاب کند. تصمیم برای تأیید اعتبار مخرب بودن ایمیل می تواند توسط یک انسان انجام شود، در حالی که وظایف اولیه و کارهای قرنطینه نهایی می توانند خودکار باشند.

ارکستراسیون امنیتی فقط یک نام فانتزی برای SIEM است.

در این مرحله، ممکن است بگویید، “من یک ابزار مدیریت اطلاعات امنیتی و رویداد  یا SIEM دارم که همین کار را انجام می دهد، اما این صحبت درست نیست. در حالی که SIEM و ابزارهای هماهنگ‌سازی امنیتی شباهت‌هایی در ویژگی‌های سطحی مانند اتوماسیون در عمل، ادغام محصول و همبستگی داده‌ها دارند، اما فرض اینکه یک ابزار می‌تواند کار دیگری را انجام دهد نادرست است.

هماهنگ سازی امنیتی و اتوماسیون امنیتی یک چیز هستند.

برای ما در صنعت امنیت، این اصطلاحات معانی مختلفی دارند.

اتوماسیون امنیتی ماشین‌ها را وادار می‌کند «کار انسانی» وظیفه‌محور انجام دهند. هماهنگی امنیتی در مورد اتصال محصولات مختلف و خودکار کردن وظایف در سراسر آن محصولات از طریق گردش کار، علاوه بر امکان نظارت و تعامل کاربر نهایی است.

اتوماسیون امنیتی زیر مجموعه ای از هماهنگ سازی امنیتی است. هماهنگ سازی امنیتی شامل ترکیب افراد، فرآیندها و فناوری برای بهبود وضعیت امنیتی سازمان است. اتوماسیون امنیتی بیشتر بر جنبه فناوری متمرکز است.

هماهنگی امنیتی فقط برای شرکت های بزرگ است.

احتمالاً این فرض وجود دارد که فقط شرکت‌های بزرگ با SOCهای مشخص و طیف گسترده‌ای از محصولات ، ارزشی را از سازمان‌دهی امنیتی استخراج می‌کنند. اما با گزارش بررسی‌های نقض داده‌های Verizon در سال 2021 نشان می‌دهد که تعداد قربانیان نقض داده‌ها در کسب‌وکارهای کوچک بسیار نزدیک به تعداد سازمان‌های بزرگ است، بنابراین نیاز به پاسخ‌های خودکار و تکرارپذیر حوادث بدون توجه به اندازه کسب‌وکار آشکار است.

دقیق ترین معیاری که باید در مورد هماهنگی امنیتی در نظر گرفت این است که سازمان شما باید با حجم بالایی از هشدارها و حوادث سر و کار داشته باشد و یا دارای یک محیط پویا با تغییرات مداوم باشد. تحت این شرایط، حتی اگر یک تیم کوچک SOC با سه تا پنج تحلیلگر امنیتی و تعداد انگشت شماری ابزار داشته باشید، از طریق فرآیندهای کاملاً تعریف شده، افزایش بهره وری کارکنان و پیکربندی SOC برای مقیاس ممکن، از هماهنگی امنیتی بهره مند خواهید شد.

 

 

 

در حالی که ابزارهای موجود سازمانی تلفن همراه می توانند آسیب پذیری های گوشی های هوشمند را کاهش دهند، نمی توانند به طور کامل از آنها جلوگیری کنندابزارهای سازمانی مانند مدیریت دستگاه تلفن همراه، تشخیص تهدید تلفن همراه و زیرساخت مجازی موبایل می‌توانند لایه‌هایی از مسائل مربوط به حریم خصوصی بالای سیستم عامل (OS) تلفن هوشمند را کاهش دهندمتأسفانه، آن‌ها نمی‌توانند برای رفع مشکلات درون سیستم‌عامل که معمولاً حول تلاش‌های کسب درآمد توسط فروشندگان OEM انجام می‌شود، کاری انجام دهنداگر سیستم عامل دارای آسیب‌پذیری باشد، داده‌های موجود در دستگاه و احتمالاً خود کاربران در معرض خطر قرار می‌گیرند

راه حل های کاربردی مانند SME PED نیز نتوانسته امنیت کاملی را ارائه دهداین امر باعث شده است که سازمان ها انتخاب کمی داشته باشند جز اینکه کارمندان را به طور کامل از استفاده از تلفن های هوشمند تجاری منع کنند یا به سادگی این واقعیت را بپذیرند که احتمال وجود خطرات امنیتی وجود دارد

با توجه به آسیب‌پذیری‌ها و تهدیدات فزاینده، سازمان ها با امنیت بالا چه کاری می‌توانند انجام دهند تا هم بهره‌وری و هم ایمنی تلفن‌های هوشمند کارمندان خود را تضمین کنند؟

به جای تلاش برای سفارشی‌سازی تلفن، که تجربه نشان می‌دهد امکان‌پذیر نیست، برای کارفرمایان با امنیت بالا منطقی‌تر است که دستگاه‌های کارمندان را برای رفع نیازهای خاص خود تغییر دهند و در عین حال عملکرد و ویژگی‌هایی را که در ابتدا تلفن‌ها را جذاب و سازنده می‌کردند، حفظ کننددر حالی که چنین تغییراتی احتمالاً از یک کارفرما به کارفرمای دیگر تا حدودی متفاوت است، آنها معمولاً بر قابلیت‌های جمع‌آوری داده داخلی، کنترل مکان و ردیابی فعالیت کاربر، محدود کردن کدهای ردیابی تبلیغات و غیرفعال کردن Wi-Fi و بلوتوث تمرکز می‌کنند

تنظیم حالت امن همچنین به کارمندان اجازه می دهد تا از تلفن های هوشمند خود در نزدیکی یا داخل امکانات ایمن تعیین شده استفاده کنندبا جابه‌جایی به این تنظیم، دستگاه‌ها می‌توانند در سایت‌های تعیین‌شده جایی که می‌توانند به طور ایمن به شبکه سیمی داخلی متصل شوند، مجاز شوندمجدداً، این گوشی را قادر می‌سازد تا همانطور که در نظر گرفته شده است عمل کند و در عین حال تمام داده‌هایی را که می‌گیرد یا آشکار می‌کند، ایمن می‌کند.

فراتر از تنظیمات ایمن، سیستم عامل اصلی گوشی هوشمند باید با یک سرور مدیریت جایگزین شود که به مدیران فناوری اطلاعات کارفرما اجازه می دهد تا بیشتر جنبه های سیستم عامل، از جمله مدیریت به روز رسانی و توزیع را کنترل کننداین امر از ایجاد هرگونه به‌روزرسانی نرم‌افزاری تولید شده توسط OEM جلوگیری می‌کند، در حالی که دسترسی نیروهای خارجی به پلتفرم را بسیار دشوار می‌کند.

در نهایت، مدیریت خط مشی متمرکز برای کنترل همه دستگاه های کارمند و توزیع به روز رسانی ها و استقرار سیاست ها ضروری استاستفاده از یک کد QR که هم کانتینرها و هم سیاست های امنیتی کارفرما را تعریف می کند، امکان تهیه سریع دستگاه های جدید را فراهم می کند.

اگر به درستی اجرا شود، تنظیمات حالت امن، سرور مدیریت و مدیریت خط مشی متمرکز به سازمان‌های با امنیت بالا و کارکنان آنها اجازه می‌دهد تا بدون فراخوانی دستگاه‌های کاربر یا نیاز به رویه‌های ناخوشایند در این زمینه، با نیازهای عملیاتی در حال تغییر همراه شوندبا وجود این پادمان‌ها، سازمان‌های با امنیت بالا خود را در موقعیت بسیار قوی‌تری برای نظارت و کنترل همه دستگاه‌هایی که توسط کارمندانشان استفاده می‌شوند، خواهند یافت.

 

سازمان ها به طور متوسط ​​از 250 تا 500 فروشنده شخص ثالث استفاده می کنند. آنچه تکان دهنده است این است که چگونه شرکت ها هنوز ریسک شخص ثالث را جدی نمی گیرند و دسترسی از راه دور فروشنده را یک خطر امنیتی واقعی نمی دانند.

در اینجا پنج دلیل وجود دارد که چرا اشخاص ثالث بزرگترین نقطه خطر سازمان شما هستند.

نادیده گرفتن اشخاص ثالث توسط سازمان ها

وقتی صحبت از فروشندگان شخص ثالث می شود، سازمان ها دید بسیار محدودی دارند . 63 درصد از سازمان‌ها به مجوزهای دسترسی اشخاص ثالث به سیستم‌های حیاتی خودشان ، دسترسی ندارند و نیمی از سازمان‌ها حتی نمی‌دانند به چند شخص ثالث اجازه دسترسی داده شده است. علاوه بر این، فعالیت شخص ثالث در هنگام حضور در شبکه به طور منظم نظارت نمی شود ، به این معنی که هیچ راهی برای مسئول نگه داشتن نمایندگان فروشنده در قبال اقدامات خود در حین دسترسی به سیستم ها و اطلاعات حیاتی وجود ندارد.

کنترل اشخاص ثالث سخت است

کنترل آنها سخت است. اکثر کسب و کارها می توانند کنترل دسترسی مبتنی بر نقش را برای کارکنانی که به سیستم ها، برنامه ها و داده های حیاتی دسترسی دارند، پیاده سازی کنند. کارمندان در حال حاضر در یک سیستم HR یا AD همگام‌سازی شده‌اند، که می‌تواند تدارک دسترسی را خودکار و ساده کند و به کارکنان امکان دسترسی به سیستم‌های دقیق مورد نیازشان را بدهد. فروشندگان شخص ثالث کارمند نیستند و در سیستم های داخلی حضور ندارند و بنابراین مدیریت آن دشوارتر است. دسترسی آنها باید به گونه‌ای متفاوت و دقیق‌تر بررسی شود، زیرا احتمال تهدیدهای خارجی را ارائه می‌دهند.

بی توجه بودن به قوانین

آنها طبق قوانین بازی نمی کنند.  به طور متوسط، 52٪ از سازمان ها معتقد نیستند که اشخاص ثالث آنها از مقررات گزارش نقض داده های صنعت خود آگاه هستند و 56٪ از اثربخشی اشخاص ثالث خود در دستیابی به انطباق با مقررات امنیتی و حریم خصوصی که بر سازمان آنها تأثیر می گذارد، رتبه پایینی داده اند.

ضعف در مدیریت اشخاص ثالث

مجوزهای شخص ثالث و دسترسی از راه دور به درستی مدیریت نمی شوند یا اصلاً مدیریت نمی شوند. سازمان ها برای ایمن نگه داشتن سیستم ها و شبکه های خود به شهرت شخص ثالث یا قراردادهایی که منعقد می شوند متکی هستند که کافی نیست.

اشخاص ثالث راه ورودی به دنیای بیرون هستند

دسترسی اشخاص ثالث، دری برای ورود دیگران به سازمان و دسترسی به اطلاعات، شبکه‌ها و سیستم‌های حیاتی است.  سازمان‌ها معمولاً بر اساس معماری قلعه و خندق ساخته شده‌اند که از آنها در برابر همه افراد خارجی حفاظت می‌کند. این سازوکار ظاهراً عملکرد مناسبی دارد اما در مقابل افرادی که داخل سازمان هستند چندان قوی نیست. بنابراین اگر هکری از دسترسی‌های یک شخص ثالث برای هک شرکت شما استفاده کند، به همه درها و دارایی‌های حیاتی که سعی در حفاظت از آنها دارید دسترسی خواهد داشت.

 

 

High availability یا به اختصار HA در شبکه به معنی تلاش برای بالا بردن سطح دسترسی پذیری و افزایش زمان uptime یک دستگاه است. یک دستگاه برای high available بودن، باید بتواند هنگام بروز مشکل، در سریع‌ترین زمان ممکن آن را شناسایی کند و اگر یک سرویس به این دلیل از دسترس خارج شده بود، برای آن جایگزینی داشته باشد و تا زمان رفع مشکل به درخواست‌های کاربران پاسخ بدهد. از آن‌جایی که امکان بروز یک مشکل در برنامه‌ی در حال اجرا،‌ یا برای سرور‌های سرویس ‌دهنده همیشه وجود دارد، عملا مدت زمان uptime سرویس‌ها هیچ‌وقت 100% نخواهد بود. ولی هرچه این مقدار به 100 نزدیک‌تر باشد به این معنی است که سرویس ارایه شده پایدار‌تر است.

یکی از راه‌های پیاده‌سازی HA، استفاده از redundancy یا افزونگی است. به این معنی که برای هر سرویس ارایه شده، حداقل دو پشتیبان وجود داشته باشد. شیوه‌ی توزیع ترافیک بین دو پشتیبان می‌تواند متفاوت باشد. در یکی از معماری‌ها به نام active-active، هر دو پشتیبان به طور هم‌زمان ترافیک ورودی و درخواست‌های کاربران را دریافت می‌کنند و زمانی که یکی از آن‌ها به هر دلیلی از دسترس خارج شود، تمام ترافیک تا زمانی که اشکال به وجود آمده برطرف شود، به پشتیبان دوم ارسال می‌شود. در مقابل، در معماری active-passive، در شرایط عادی تنها یکی از پشتیبان‌ها درخواست‌ها را دریافت می‌کند و پشتیبان دیگر در زمان بروز مشکل، جایگزین آن می‌شود که در حال حاضر Raja PAM از معماری active-passive استفاده می کند.

با استفاده از افزونگی از به جود آمدن تک نقطه‌ی شکست یا SPOF (single point of failure) جلوگیری می‌شود. وجود SPOF به معنی ساختار سیستم دستگاهی است که هیچ جایگزینی ندارد و اگر از دسترس خارج شود، برای مدتی سرویسی که ارایه می‌کند، قطع می‌شود. برای نمونه، شبکه‌ای از سرور‌ها را در نظر بگیرید که در آن یک فایروال وظیفه‌ی کنترل ترافیک ورودی را برعهده دارد. اگر فایروال برای مدتی خاموش شود، احتمالا سرور‌ها قادر به دریافت ترافیک ورودی یا حتی ارسال بسته نیستند و اگر چنین اتفاقی رخ دهد،‌ حمله‌ کردن به این سرور‌ها بسیار راحت‌تر از قبل خواهد بود.

 

چرا high available بودن اهمیت دارد؟

همان‌طور که پیش‌تر بیان شد،  HA بودن یک سرویس سبب می‌شود  در زمان بروز مشکل‌های غیرقابل پیش‌بینی، سرویس دادن به کاربران هم‌چنان ادامه داشته باشد.

در رابطه با ذخیره کردن اطلاعات و نگه‌داری پایگاه‌های داده، این موضوع اهمیت بیش‌‌تری پیدا می‌کند. زمانی که یک سرویس دچار مشکل می‌شود، تا هنگامی که مشکل برطرف شود، به درخواست‌های کاربران پاسخ داده نمی‌شود. ولی زمانی که یک پایگاه داده از دسترس خارج می‌شود یا عملکردی مانند قبل ندارد، احتمالا اطلاعات و داده‌های کاربران تا زمان رفع مشکل ذخیره نخواهند شد. مشکل اساسی‌تر هنگامی اتفاق می‌افتد که تمام داده‌هایی که روی یک حافظه وجود دارند، از بین بروند. در این شرایط اگر این اطلاعات روی هیچ حافظه‌ی دیگری وجود نداشته باشند، به طور کلی از بین می‌روند و شاید دیگر قابل برگشت نباشند.

 

نحوه طراحی سیستم‌های High availability

در دنیای آمار و احتمال و ریاضی چیزی به اسم 100 درصد وجود ندارد. نمی‌توان انتظار داشت که در صددرصد مواقع حالتی مطلوبی رخ دهد. نمی‌توان تصور کرد که حتی یک ماشین تمامی وظایف خود را در 100 در 100 زمان به‌خوبی انجام دهد. غیرممکن است که در سیستم و سرویسی نمره 100 از 100 را در عملکرد آن ثبت کرد. مطلوب‌ترین حالت ممکن، نزدیک‌ترین عدد ممکن به صد خواهد بود که در High availability این عدد 99.999 است.

یعنی در دسترسی‌های سطح بالا انتظار می‌رود که به‌احتمال 1 هزارم امکان ازدست‌رفتن دسترسی وجود دارد. این رقم قابل‌قبول و حتی بسیار مطلوب بوده و تا میزان زیادی اطمینان و اعتماد به یک service را برآورده می‌سازد. اما برای رسیدن به آن، باید 3 نکته مهم و اساسی را در طراحی سیستم‌های HA در نظر داشت :

  • نبود نقطه شکست یکتا
  • Crossover قابل اعتماد
  • تشخیص شکست

 

نبود نقاط شکست یکتا

منظور از نقاط شکست، اجزاء مختلفی از سیستم‌ها و سرویس‌ها بوده که در صورت خرابی و ازدست‌دادن آن‌ها، کل سیستم  سرویس از دسترس خارج خواهد شد. حال در طراحی سیستم‌های دسترسی بالا باید این نکته مهم را در نظر داشت که در کل سیستم نباید حتی یک نقطه شکست تنها وجود داشته باشد. یعنی اجزائی که نقطه شکست محسوب می‌شوند، حداقل باید ۲ عدد از آن‌ها وجود داشته باشد .

برای مثال در شبکه (network) سازمان‌ها و شرکت‌ها، سرور یک نقطه شکست است. زیرا در صورت خرابی آن نتورکی وجود نخواهد داشت. از‌این‌رو در طراحی High availability یک شبکه  باید از ۲ سرور (حداقل) استفاده کرد تا ریسک ازدست ‌رفتن سیستم کاهش یابد.

 

Crossover معبر قابل‌اعتماد

معبر یا crossover مولفه‌ای است که به‌عنوان راه ‌حل پشتیبان از آن یاد می‌شود. مانند استفاده از Y به‌جای X برای جلوگیری از آفلاین شدن سرویس یا سیستم در زمانی که X را از دست دهیم.

تشخیص شکست

دو نکته بالا برای جلوگیری از قطع دسترسی کامل سرویس‌ها در زمان شکست اجزاء بودند، درحالی‌که تشخیص شکست، بیشتر به‌منظور بهبود عملکرد HA استفاده می‌شود. یعنی در یک سرویس و سیستم باید شکست‌ها و خرابی‌ها قابل‌مشاهده باشند تا هم به‌سرعت تعمیر شوند و هم در آینده از وقوع دوباره آن‌ها تاحدامکان جلوگیری کرد.

 

برای اطمینان از تحقق High availability، علاوه بر سه نکته مهم و اساسی ذکر شده، استفاده از سیستم متعادل‌کننده بار نیز در طراحی دسترسی بالا لازم است. زمانی که کاربران زیادی از سرویس ارائه شده استفاده می‌کنند، نیاز است تا حجم بالای درخواست‌ها دریافتی و پاسخ‌های ارسالی بر اساس منابع موجود متعادل شود.

نحوه کارکرد HA

PAM را در دو سرور مجزا deploy میکنیم. به pam اصلی لایسنس ha-master و به دومین سرور pam ،لایسنس ha-slave را اختصاص میدهیم.

نکته :HA Raja PAM  از معماری active-passive استفاده می کند.

تنظیمات

به سرور pam master رفته:

از منوی side bar وارد setting شده سپس به بخش high availability میرویم.

  • صفحه ی باز شده تنها یک قسمت دارد که با فشردن دکمه ی refresh یک secret code ساخته میشود.

به سرور pam slave رفته:

از منوی side bar وارد setting شده سپس به بخش high availability میرویم.

صفحه ی باز شده 5 آیتم دارد:

  • Master URL Address: در واقع همان آدرس ip سرور pam master که بصورت -> Http://ip server master / data-service وارد میشود.
  • Master Secret:  همان Secret Code   تولید شده را در این بخش می گذاریم.
  • Sync Interval Minutes: چند ثانیه یکبار میخواهید pam slave با pam master همگام سازی شود؟
  • High Availibility Sync Activate: برای انجام عملیات همکام سازی باید این گزینه فعال باشد.
  • Last Sync AT: آخرین زمانی که PAM SLAVE و PAM MASTER همگام سازی شده است.

چگونگی کار

طبق Sync Interval Minutes که در قسمت pam slave انتخاب کردیم هر n ثانیه یک بار pam slave به pam master متصل می شود و اطلاعات را در پایگاه داده خود ذخیره میکند.

هنگامی که به هر دلیلی PAM Master از سرویسی ارائه ندهد PAM Slave جای آن را می گیرد و کاربران می توانند از PAM Slave بدون  downtime از PAM  استفاده نمایند.

 

 

 

 

به دنبال کمپین جاسوسی سایبری SolarWinds در سال 2020، که در آن هکرهای روسی به روز رسانی های آلوده را به یک پلتفرم مدیریت فناوری اطلاعات که به طور گسترده مورد استفاده قرار می گیرد، منتقل کردند، یک سری حملات بیشتر را در زنجیره تامین نرم افزار همچنان بر نیاز فوری به قفل کردن زنجیره های نرم افزاری تاکید می کند. و این موضوع به‌ویژه در منبع باز، جایی که پروژه‌ها ذاتاً غیرمتمرکز هستند و اغلب به‌صورت موقتی تلاش می‌کنند، شدیدتر است.

GitHub که خود متعلق به مایکروسافت است، اعلام کرد که قصد دارد از امضای کد، نوعی مهر و موم دیجیتال، برای بسته‌های نرم‌افزاری npm با استفاده از پلتفرم امضای کد Sigstore پشتیبانی کند. این ابزار از همکاری بین صنعت نشأت گرفت تا برای منبع باز بسیار آسان تر شود تا تأیید کنند که کدی که ایجاد می کنند همان کدی است که در نهایت به بسته های نرم افزاری می رسد که واقعاً توسط افراد در سراسر جهان بارگیری می شود.

جاستین هاچینگز، مدیر محصول GitHub می گوید: در حالی که اکثر بسته های npm منبع باز هستند، در حال حاضر هیچ تضمینی وجود ندارد که بسته ای در npm از همان کد منبع منتشر شده ساخته شده باشد. حملات زنجیره تامین در حال افزایش است و افزودن اطلاعات ساخت امضا شده به بسته‌های منبع باز که تأیید می‌کند نرم‌افزار از کجا آمده و چگونه ساخته شده است، راهی عالی برای کاهش سطح حمله است.

به عبارت دیگر، همه چیز در مورد ایجاد یک بازی تلفنی تایید شده رمزنگاری شده و شفاف است.

دن لورنک، مدیر عامل Chainguard، که Sigstore را توسعه می دهد، تأکید می کند که اگرچه GitHub تنها جزء اکوسیستم متن باز نیست، اما یک میدان شهری کاملاً حیاتی برای جامعه است زیرا اکثریت قریب به اتفاق پروژه ها در آنجا ذخیره و منتشر می شوند.

با ارائه Sigstore به مدیران ، شفافیت بسیار بیشتری در هر مرحله از سفر نرم افزار وجود دارد، و ابزار Sigstore به توسعه دهندگان کمک می کند تا بررسی های رمزنگاری و الزامات را هنگام حرکت نرم افزار در زنجیره تامین مدیریت کنند.

Sigstore توسط بنیاد لینوکس، گوگل، رد هت، دانشگاه پردو و Chainguard توسعه داده شده است. پلتفرم توسعه نرم افزار منبع باز Kubernetes اکنون از Sigstore پشتیبانی می کند و یک ابزار رسمی برای امضای توزیع بسته های Python با استفاده از Sigstore وجود دارد.

Hutchings GitHub می گوید: “روش های سنتی مدیریت کلیدهای امضا به اندازه جامعه منبع باز به خوبی مقیاس نمی شوند و بینشی در مورد نحوه ساخت نرم افزار ارائه نمی دهند.” یکی از چیزهایی که ما در مورد Sigstore دوست داریم این است که که پیکربندی آن برای کاربران نهایی صفر است، بنابراین ما می‌توانیم این را با اکوسیستم توسعه‌دهنده خود بدون توجه به محل زندگی کد منبع، افزایش دهیم.»

مشابه تلاش‌های عظیم صنعت برای ترویج رمزگذاری وب HTTPS، که تا حد زیادی با ابزارهایی مانند Let’s Encrypt از گروه تحقیقاتی امنیت اینترنت غیرانتفاعی امکان‌پذیر شد، Sigstore برای تشویق به پذیرش رایگان بودن و استفاده آسان متکی است.

Hutchings GitHub می‌گوید: «ما می‌خواهیم جهانی را ببینیم که در نهایت تمام مصنوعات نرم‌افزار امضا شده و به کد منبع پیوند داده می‌شوند. به همین دلیل بسیار مهم است که یک فناوری open source مانند Sigstore بسازیم که سایر مخازن بسته بندی نیز بتوانند از آن استفاده کنند.

 

گروه تحلیل تهدیدات گوگل (TAG) یک فروشنده ایتالیایی نرم افزارهای جاسوسی را مشاهده کرد که از برخی از ISP ها برای آلوده کردن کاربران اندروید و iOS با ابزارهای نظارت تجاری کمک می گرفت. کاربران هدف از ایتالیا و قزاقستان بودند.

این حملات از دانلودهای درایو به منظور آلوده کردن قربانیانی استفاده می کردند که از آنها خواسته شد تا برنامه های مخربی را نصب کنند که به عنوان برنامه های حامل تلفن همراه قانونی استتار شده بودند تا پس از قطع اینترنت توسط ISP آنها دوباره آنلاین شوند.

پس از غیرفعال شدن، مهاجم یک پیوند مخرب از طریق پیامک ارسال می‌کند و از قربانیان می‌خواهد برنامه‌ای را نصب کنند که به عنوان یک برنامه حامل تلفن همراه ظاهر می‌شود تا اینترنت را دوباره فعال کند.

 روش حمله جایگزین

اگر یک ISP نمی تواند درگیر شود، مهاجمان برنامه های مخرب را به عنوان برنامه های پیام رسانی پنهان می کنند، که کاربران باید دانلود کنند.

مهاجمان صفحه ای به زبان ایتالیایی برای دانلود مسنجر، اینستاگرام یا واتس اپ ارائه کردند.

کارشناسان با بررسی کد صفحه، تنها لینک های دانلود واتس اپ را که منجر به بدافزار مهاجم برای کاربران اندروید و iOS می شود، مشاهده کردند. 

هدف قرار دادن کاربران iOS

برنامه های مخرب مستقر در دستگاه های قربانی در فروشگاه App یا Google Play در دسترس نیستند. با این حال، نسخه iOS برنامه از روش پیشنهادی اپل برای توزیع برنامه های داخلی اختصاصی در دستگاه های اپل پیروی کرد.

برنامه با یک گواهی معتبر امضا شده است که تمام الزامات امضای کد را در هر دستگاه iOS رعایت می کند.برنامه iOS با اکسپلویت‌های داخلی مختلفی برای افزایش امتیازات روی دستگاه آلوده و سرقت فایل‌ها عرضه شد..

این اکسپلویت ها مربوط به CVE-2018-4344، CVE-2019-8605، CVE-2020-3837، و CVE-2020-9907 هستند، همچنین شامل دو آسیب پذیری CVE-2021-30883 و CVE-2021-309  

هدف قرار دادن کاربران اندروید

مشاهده می شود که برنامه مخرب اندروید هیچ گونه سوء استفاده همراه ندارد، وانمود می کند که برنامه قانونی سامسونگ است. گمان می رود که این همان جاسوس افزار Hermit باشد که چند روز پیش شناسایی شد. 

نتیجه

مجرمان سایبری که با ارائه دهندگان ISP برای هدف قرار دادن کاربران کار می کنند باید به عنوان یک موضوع حساس تلقی شوند. به کاربران گوشی‌های هوشمند پیشنهاد می‌شود هنگام دریافت پیامک، برنامه‌هایی را که برای نصب ارائه می‌دهند، هوشیار بمانند. همچنین، قبل از نصب یک برنامه، باید قانونی بودن برنامه ها را بررسی کنید.

 

مدیر امنیت هویت مایکروسافت از مشتریان درخواست کرد تا احراز هویت چند عاملی را اعمال کرده و مجوزهای حساب کاربری و فروشندگان را تشدید کنند.

به گفته مایکروسافت ، انواع تکنیک های مورد استفاده هکرهای SolarWinds پیچیده بوده اما در بسیاری از موارد معمولی و قابل پیشگیری است.

مایکروسافت برای جلوگیری از حملات بعدی با سطوح پیچیده مشابه ، به سازمان ها توصیه می کند

“ذهنیت اعتماد صفر” را اتخاذ کنند ، که این فرض را رد می کند که همه چیز در یک شبکه فناوری اطلاعات ایمن است. به این معنا که سازمان ها باید صراحتاً امنیت حساب های کاربری ، دستگاه های نقطه پایانی ، شبکه و سایر منابع را تأیید کنند.

همانطور که مدیر امنیت مایکروسافت ، الکس واینرت ، در یک پست وبلاگ خاطرنشان کرد ، سه بردار اصلی حمله ، حساب های کاربری به خطر افتاده ، حساب های فروشنده و نرم افزار فروشندگان به خطر افتاده است.

هزاران شرکت تحت تأثیر نقض SolarWinds قرار گرفتند که در اواسط دسامبر فاش شد. هکرها که با نام UNC2452/Dark Halo شناخته می شوند ، محیط ساخت نرم افزار SolarWinds ‘Orion را هدف قرار دادند و وقتی برنامه ای از کد منبع به یک فایل اجرایی دودویی که توسط مشتریان مستقر شده است ، فرآیند را دستکاری کردند.

فروشنده امنیتی آمریکایی Malwarebytes  افشا کرد که تحت تأثیر همین هکرها قرار گرفته است ، اما نه از طریق به روز رسانی های خراب Orion. هکرها در عوض با سوء استفاده از برنامه های کاربردی با دسترسی ممتاز به Office 365 و زیرساخت Azure ، Malwarebytes را نقض کردند که با این کار “دسترسی به زیرمجموعه محدود” ایمیل های داخلی Malwarebytes داده شد.

به گفته واینرت ، مهاجمان از شکاف های “تأیید صریح” در هر یک از بردارهای اصلی حمله استفاده کردند.

هم چنین اشاره کرد: “در مواردی که حساب های کاربری به خطر می افتد ، تکنیک های شناخته شده مانند اسپری رمز عبور ، فیشینگ یا بدافزار برای به خطر انداختن اعتبار کاربران مورد استفاده قرار می گیرد و به مهاجم دسترسی مهمی به شبکه مشتری می دهد.”

او استدلال می کند سیستم های هویت مبتنی بر ابر مانند Azure Active Directory (Azure AD) از سیستم های هویت داخلی امن تر هستند زیرا این سیستم ها فاقد محافظت از ابر هستند مانند حفاظت از رمز عبور

Azure AD برای از بین بردن رمزهای عبور ضعیف ، پیشرفت های اخیر در تشخیص اسپری رمز عبور ، و هوش مصنوعی پیشرفته برای جلوگیری از سازش حساب.

در مواردی که هکر موفق شد ، واینرت خاطرنشان می کند که حسابهای فروشندگان دارای امتیاز ویژه فاقد حفاظت اضافی مانند احراز هویت چند عاملی (MFA) ، محدودیت های محدوده IP ، انطباق دستگاه یا بررسی دسترسی هستند. مایکروسافت دریافته است که 99.9 درصد از حساب های آسیب دیده ای که هر ماه دنبال می کند از MFA استفاده نمی کنند.

MFA یک کنترل مهم است ، زیرا می توان از حساب های دارای امتیاز بالا برای جعل نشانه های SAML برای دسترسی به منابع ابری استفاده کرد. همانطور که NSA در هشدار خود پس از افشای هک SolarWinds خاطرنشان کرد: “اگر بازیگران سایبری مخرب نتوانند کلید امضای غیرمجاز را بدست آورند ، سعی می کنند امتیازات اداری کافی را در مستاجر ابر برای افزودن یک رابطه اعتماد اعتماد گواهی بدست آورند. برای جعل نشانه های SAML. ”

در صورت وجود مجوزهای سختگیرانه در حساب ها و دستگاه های کاربر ، این روش حمله نیز می تواند خنثی شود.

واینرت خاطرنشان می کند: “حتی در بدترین حالت جعل رمز SAML ، مجوزهای بیش از حد کاربر و از دست رفتن محدودیت های خط مشی دستگاه و شبکه به حملات اجازه پیشرفت می دهد.”

“اولین اصل Zero Trust تأیید صریح است.

با استفاده از Solorigate – نامی که مایکروسافت برای بدافزار SolarWinds استفاده می کند – مهاجمان “از تکالیف نقش گسترده ، مجوزهایی که فراتر از الزامات نقش بودند ، استفاده کردند و در برخی موارد حساب ها و برنامه هایی را که باید هیچ گونه مجوزی نداشتند رها کردند.”

واینرت اذعان کرد که هک SolarWinds “یک حمله واقعاً مهم و پیشرفته” بود ، اما تکنیک هایی که آنها استفاده می کردند می تواند به طور قابل توجهی در خطر کاهش یابد یا با این بهترین شیوه ها کاهش یابد.

 

تیم اطلاعات امنیتی مایکروسافت به کاربران و مدیران دفتر 365 هشدار داده است که در جستجوی یک ایمیل فیشینگ “فریبنده” با آدرس فرستنده های جعلی هستند.

 

مایکروسافت پس از مشاهده یک کمپین فعال که در هدف قرار دادن سازمان های Office 365 با ایمیل های متقاعد کننده و چندین تکنیک برای دور زدن تشخیص فیشینگ ، از جمله صفحه فیشینگ Office 365 ، میزبانی برنامه های ابری گوگل Google و یک سایت خطرناک SharePoint که قربانیان را ترغیب می کند تا اطلاعات خود را تایپ کنند ، هشدار داد.

“تیم امنیتی مایکروسافت” اعلام کرد: یک کمپین فعال فیشینگ از ترکیب حیله گر آدرس های اصلی فرستنده با ظاهری مشروع ، آدرس های فرستنده نمایش جعلی که حاوی نام کاربری و دامنه های هدف هستند و نام هایی که از خدمات قانونی تقلید می کنند استفاده می کند.

“آدرس های فرستنده اصلی شامل تغییرات کلمه” ارجاع “است و از دامنه های مختلف سطح بالا استفاده می کند ، از جمله دامنه com [.] com ، که به طور گسترده توسط کمپین های فیشینگ برای جعل و غلط تایپی استفاده می شود.”

فیشینگ همچنان مشکلی سخت برای مشاغل است که نیاز به آموزش منظم راه حل های فنی ، مانند احراز هویت چند عاملی در همه حساب ها داردکه مایکروسافت و CISA به شدت آن را توصیه می کنند.

فیشینگ جزء اصلی حملات سازش با ایمیل تجاری (BEC) است که بر اساس آخرین آمار FBI در سال گذشته بیش از 4.2 میلیارد دلار برای آمریکایی ها هزینه داشته است. هزینه آن بسیار بیشتر از حملات باج افزارهای معروف است. BEC ، که متکی بر حساب های ایمیل آسیب دیده یا آدرس های ایمیل مشابه آدرس های مجاز است ، فیلتر نمی شود زیرا در ترافیک معمولی و مورد انتظار ترکیب می شوند.

این حملات از Microsoft SharePoint در نام نمایشی استفاده می کند تا قربانیان را ترغیب کند تا روی پیوند کلیک کنند. این ایمیل به عنوان یک درخواست “اشتراک فایل” برای دسترسی به “گزارش کارکنان” ، “پاداش ها” و سایر محتواهایی که در یک صفحه گسترده اکسل قرار گرفته اند ، مطرح می شود. همچنین دارای پیوندی است که به صفحه فیشینگ منتقل می شود و مارک های مایکروسافت زیادی وجود دارد.

در حالی که لوگوهای متقاعد کننده مایکروسافت در سراسر ایمیل پراکنده شده اند ، آدرس اصلی فیشینگ به یک منبع ذخیره سازی Google متکی است که قربانی را به دامنه Google App Engine AppSpot می‌کشاند.

ایمیل ها حاوی دو نشانی اینترنتی هستند که هدرهای HTTP را نادرست نشان داده اند. نشانی اینترنتی فیشینگ اصلی یک منبع ذخیره سازی Google است که به یک دامنه AppSpot اشاره می کند و نیاز به کاربر دارد که قبل از ارائه دامنه دیگری از محتوای کاربر Google با صفحه فیشینگ Office 365 وارد سیستم شود.

نشانی اینترنتی دوم در تنظیمات اعلانات قربانی را به یک سایت SharePoint آسیب دیده پیوند می دهد. هر دو نشانی اینترنتی برای ورود به صفحه نهایی نیاز به ورود به سیستم دارند .مایکروسافت خاطرنشان می کند که این کمپین “زیرکانه تر از حد معمول” است.مایکروسافت از ویژگی “Safe Links” Defender for Office 365 phishing برای حفاظت از فیشینگ استفاده می کند که ایمیل فیشینگ را “در لحظه ای که کاربر روی پیوندی کلیک می کند که با لیست صفحات فیشینگ شناخته شده خود مطابقت دارد” از بین می‌برد.همچنین جزئیاتی را در GitHub در مورد زیرساخت های مرتبط با ایمیل های جعلی که از SharePoint و سایر محصولات برای فیشینگ معتبر تقلید می کنند ، منتشر کرده است.

و خاطرنشان کرد: “اپراتور همچنین از زیرساخت های URL مجاز مانند Google ، Microsoft و Digital Ocean برای میزبانی صفحات فیشینگ خود استفاده می کند.”

مشارکت تیم قرمز مزایایی نسبت به سایر روش ها و فناوری ها در بهبود وضعیت امنیتی یک سازمان دارد.

تیم قرمز می تواند توانایی ها و نقایص دارایی های مختلف امنیتی یک سازمان را شناسایی کند و ارزیابی منحصر به فردی از آمادگی یک سازمان برای مقاومت در برابر تلاش های یک هکر مخرب ارائه می دهد.

درک این نکته مهم است که این ارزیابی به خوبی هکرهای انجام دهنده آن است و ارزیابی کنندگان به اندازه دامنه و قواعد تعامل با آنها محدود یا دارای قدرت هستند. در همه مواردی که با شرایط مناسب در نظر گرفته می شوند ، تیم قرمز در مقایسه با رفع واکنش های امنیتی ، پس از رفع آنها ، بازده هزینه بالاتری در بهبود وضعیت امنیتی ایجاد می کند.

تیم قرمز را می‌توان به عنوان یک ابزار تیز در نظر گرفت زیرا در دست های غیر آموزش دیده یا غیراخلاقی می تواند بسیار خطرناک باشد. در جایی که بسیاری از فن آوری های امنیتی حول مفهوم واکنش ساخته شده اند ، تیم قرمز به یک سازمان اجازه می دهد تا قبل از شروع مصالحه ، نه بعد از آن ، مسائل امنیتی را دنبال کند. ممکن است ادعا شود که فعالیتهایی مانند اسکن آسیب پذیری و مدیریت خوب  نیز پیشگیرانه است اما توجه به این نکته مهم است:

اگرچه این اتفاق اساس واکنش به یک رویداد امنیتی در داخل یک سازمان نیست ، اما هر دو ، واکنش به رویدادهای امنیتی در جای دیگر است که جزئیاتی را برای آسیب پذیری های جدید ارائه می دهد تا بتوان آنها را اسکن یا برطرف کرد.

 برخی دیگر تیم قرمز را یک ابزار ماهیتی فعال می دانند که هدف آن شناسایی شاخص های سازش از سوی بازیگران موجود در سازمان است که ممکن است متجاوز شناخته شده باشند یا نباشند.

منبع : کتاب Professional Red Teaming از Jacob G.Oakley

ترفندهای جدید مبهم سازی برای به چالش کشیدن امنیت

یک کمپین فیشینگ جدید با بدافزار BazarBackdoor کشف شده است. این کمپین از روش فشرده سازی برای مخفی کردن بدافزار به عنوان یک پرونده تصویری استفاده می کند. این روش می تواند Secure Email Gateways (SEGs) را فریب دهد تا پیوست های مخرب را به عنوان پرونده های تمیز شناسایی کند.

به گفته محققان Cofense ، روش فشرده سازی می تواند برخی SEG ها را دور بزند زیرا محدودیت هایی در بررسی کامل یا اسکن یک پرونده فشرده دارد.

کمپین جدید BazarBackdoor از ماه گذشته فعال است و چندین گیرنده شرکت را با استفاده از موضوع روز محیط زیست ، که در 5 ژوئن جشن گرفته می شود ، فریب داد.

این ایمیل حاوی بایگانی های ZIP و RAR در پیوست است. این یک فایل JavaScript است که بدافزار BazarBackdoor را برای دسترسی از راه دور به ماشین های هدف ارائه می دهد.

هم چنین از پرونده جاوا اسکریپت بسیار مبهم برای بارگیری مخرب با پسوند تصویر استفاده می شود.

این عمل ، همانطور که کارشناسان می گویند ، در بین هکرها روندی رو به رشد است زیرا احتمال پرونده های مخرب را برای جلوگیری از شناسایی افزایش می دهد.

استفاده از چندین نوع بایگانی به طور عمدی توسط مهاجمان استفاده می شود زیرا این امکان را دارد که حد فشرده سازی SEG را از بین ببرد یا به دلیل ناشناخته بودن نوع بایگانی امکان پذیر نیست.

جاوا اسکریپت مبهم پس از اجرا ، با استفاده از اتصال HTTP GET ، محموله BazarBackdoor را با پسوند .png بارگیری می کند.

این بدافزار پس از استقرار در رایانه قربانی ، می تواند Cobalt Strike را که یک ابزار واقعی است که برای تمرینات پس از بهره برداری ایجاد شده و به صورت جانبی گسترش می یابد ، بارگیری و اجرا کند.

با شروع سال ، BazarBackdoor تغییر شکل داد. در حال حاضر ، عوامل تهدید در پشت آن پیچیده تر شده و از روش های جدیدی برای انتشار بدافزار استفاده می کنند.

این تهدیدی نگران کننده است و نیاز به نظارت مستمر از سوی نهادهای امنیتی دارد.