IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

بات نت

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

باز بودن درب پشتی بر روی مودم های زایکسل

به گزارش هک رید؛ شرکت امنیت سایبری نیو اسکای (NewSky)، طی گزارشی از وجود بات نت جدید در حوزه اینترنت اشیا خبر داد. این بات نت که نام آن «DoubleDoor» است، فایروال های را نشانه گرفته و از طریق درب پشتی موجود به این فایروال نفوذ می کند.Takian.ir DoubleDoor

این بات نت از طریق دور زدن ویژگی های امنیتی و تأیید های معمول به سیستم قربانی نفوذ می کند.

در این نوع از حمله با توجه به دور زدن تأیید هویت های معمول می توان کنترل کامل تجهیزات هوشمند را در اختیار گرفت.

آسیب پذیری موجود در فایروال های یاد شده با کد آسیب پذیری CVE-2015-7755 شناسایی می شود. همچنین آسیب پذیری دیگری همانند مورد یاد شده در مودم های «Zyxel» شناسایی شده که از طریق درب پشتی موجود در این مودم به سیستم ها نفوذ می کنند و آسیب پذیری مودم های زایکسل با کد CVE-2016-10401 شناسایی می شوند. از طریق این آسیب پذیری از راه دور هم می توان به سیستم نفوذ کرد، گفتنی است از طریق هر نام کاربری با استقاده از گذرواژه « <<< %s(un=’%s’) = %u» می توان به مودم های زاکسل نفوذ کرد.

از طرفی فایروال ها را می توان از طریق نام کاربری «netscreen» و گذر واژه «zyad5001» مورد حمله قرار داد.

در نهایت از طریق آسیب پذیری درب پشتی فایر وال و آسیب پذیری موجود در مودم های زایکسل میتوان حتی از راه دور به سیستم های کامپیوتری نفوذ کرد.

بدافزار Gozi ISFB در سال 2018 بطور گسترده فعالیت خواهد کرد

به گزارش سایت scmagazineuk.com ؛ طبق تحقیقات صورت گرفته توسط شرکت امنیت سایبری «Talos» تروجان بانکداری «Gozi ISFB» به طور گسترده توسط بات نت «Dark Cloud» منتشر شده است و مؤسسات مالی را هدف قرار داده است.Takian.ir Gozi ISFB

این بدافزار که کار اصلی اش مانیتورینگ و سرقت اطلاعات است از شش ماه گذشته در حال انتشار و گسترش بوده است. این بدافزار در سطح وسیعی بین بانک ها و مؤسسات مالی منتشر شده است.

شروع فعالیت این بدافزار از سه ماهه چهارم سال 2017 کلید خورد است و در جریان نفوذ این بدافزار در اوایل فعالیت های خود ایمیلی حاوی یک فایل «Microsoft Word» ارسال می کرد که در پشت آن بدافزار مذکور قرار دارد.

کارشناسان اظهار کردند که این بدافزار روی سامانه ها و سیستم های قدیمی ظعیف بوده و نمیتواند کار خود را درست انجام دهد و روی دامنه ها و آدرس آی پی های جدید به سرعت گسترش یافته است.

بسیاری از بدافزار ها برای نفوذ به سیستم قربانیان از روش فیشینگ استفاده می کنند، لذا این هوشیاری را از تمامی کاربران می طلبد تا از دانلود فایل های ناشناس و کلیک روی لینک های مخرب خود داری نمایند.

بدافزار مایلوبات، سیستم شما را مانند یک سرباز پیاده نظام به استخدام در میاورد

به گزارش سایت ویروس ریمووا، بدافزاری جدید یافت شده که با سوء استفاده از سیستم های کامپیوتری آنها را به یک بات نت، برای گسترش بیشتر خود تبدیل می نماید.Takian.ir Mylobot Malware Featured

نام این بدافزار «MyloBot» بوده است و در بازه زمانی برگزاری انتخابات آمریکا گسترش یافته است.

از طرفی این بدافزار بیشتر از طریق فضای دارک وب منتشر شده، زیرا بیش از 50 هزار سایت تبهکاری، جاسوسی و... در دارک وب وجود دارد که جولانگاه مناسبی برای بدافزارها است.

به طور معمول بدافزار های مختلفی در سطح جهان وجود دارد، اما پیچیدگی در طراحی و عملکرد این بدافزار ها آنها را متفاوت می کند.

بات نت «botnet MyloBot» سیستم قربانیان را به بردگی گرفته و علاوه بر آلوده کردن خود سیستم از رایانه قربانی برای انتشار بیشتر خود، سوء استفاده می کند.

به طور کلی هدف قرار گرفت سامانه کامپیوتری عبارت اند از: در اختیار گرفتن میزبانی، سرقت اطلاعات، نصب باج افزار، نصب بدافزار، غیر فعال کردن آنتی ویروس و....

بات نت یاد شده علاوه بر توانایی های فوق، سیستم قربانی را به یک منتشر کننده بات نت تبدیل می کند. این امکان بسیار منحصر به فرد بوده و گسترش این بات نت را هموار می سازد.

این بات نت پس از ورود به سیستم کاربر «Windows Defender» را غیر فعال کرده، به روز رسانی ها را میبندد، درگاه های خاص فایروال ویندوز را غیر فعال کرده و سپس در پوشه ای به نام « %APPDATA%» بدافزار قرار می دهد.

سیستم رایانه ای قربانی همانند بات نت زامبی به دنبال آلوده کردن سیستم های دیگر است.

این بدافزار در دارک وب منتشر شده و به سرعت گسترش یافته است، زیرا برخی هکرها از این نوع بات نت ها برای تخریب طیف گسترده ای از سیستم ها استفاده می کنند. به طور مثال هکرها با آلوده کردن چند سیستم رایانه ای در یک نهاد یا سازمان و تبدیل آن به زامبی برای آلوده کردن سامانه های دیگر بهره می برند.

بیست میلیون کاربر، قربانی افزونه های مسدود کننده تبلیغات در گوگل کروم

به گزارش شرکت امنیتی AdGuard، افزونه های بسیاری، مرتبط با مسدود نمودن تبلیغات در فروشگاه کروم وجود دارند که حداقل پنج مورد از انها جعلی هستند و اطلاعات وب سایت کاربران را سرقت می نماید.Takian.ir Fake ad blockers in the Chrome store

به گزارش این شرکت، این پنج مسدود کننده جزو برترین و محبوب ترین مسدود کننده ها بین کاربران بوده اما نسخه موجود در «Chrome Store» جعلی بوده و با یک کد اضافی اطلاعات وب سایت های مورد بازدید کاربر را سرقت می کند.

در همین راستا گوگل این پنج برنامه را حذف کرده است. این افزونه ها اطلاعات را جمع آوری کرده و با ارسال آنها به سرور های راه دور در عملکرد مرورگر کروم اختلال ایجاد می کردند.

شرکت امنیت سایبری «AdGuard» طی گزارشی اعلام کرد که این نرع از برنامه ها که به صورت افزونه به دیگر برنامه ها اضافه می شود، بات نت هایی هستند که اطلاعات را سرقت می کنند.

از سال 2017 تعداد افزونه های تقلبی که با مقاصد خاص کاربران رافریب می دهند افزایش پیدا کرده است. این افزونه های عموما بارویکرد جاسوسی و سرقت اطلاعات وارد سیستم قربانی می شوند. طبق آمار های موجود سال گذشته 37 هزار نفر افزونه جعلی «AdBlock Plus» را روی سیستم خود نصب کرده اند.

طبق این گزارش تا کنون 20 میلیون کاربر قربانی افزونه های مسدود کننده تبلیغات شده اند.

حملات جدید توسط بات نت میرای

محققان شرکت امنیت سایبری «Fortinet»، اظهار کردند که نسخه جدید میرای، ابزاری بسیار قدرتمند است و از سال 2016 تا امروز در سراسر اروپا و آمریکا فعال بوده است.
Takian.ir Miray botnet

بات نت میرای به روش های گوناگون اقدام به نفوذ و تخریب سیستم ها می کند. به طور مثال نسخه اولیه میرای حملات اختلال سرویس توزیع شده (DDoS) را کلید زد، در ویرایش های بعدی این بات نت شاهد استخراج ارزهای دیجیتالی با سوءاستفاده از دستگاه های سخت افزاری کاربران بودیم. البته از آنجایی که عمده فعالیت های این بات نت در حوزه اینترنت اشیا بوده است، بیشتر در این جهت رشد داشته و شناخته شده است.

بسیاری از تجهیزات اینترنت اشیا به دلیل گستردگی فعالیت بات نت میرای مورد تهاجمات گسترده قرار گرفته اند.

در یک مورد از این حملات، با یافتن آسیب پذیری در دوربین های مدار بسته، مدل های « Netgear R7000 و R64000» امکان نفوذ و سرقت اطلاعات آنها فراهم شد. این آسیب پذیری با شناسه «CVE-2016-6277» معرفی شده است.

طبق بررسی های صورت گرفته توسط کارشناسان امنیت سایبری برخی بات نت ها ادامه دهنده راه میرای بوده و عملکردشان تفاوت زیادی با میرای ندارد.

به عنوان مثال بات نت «Sora botnet» یا «Owari bot» نمونه ای از این موارد هستند که عموما با رویکرد سرقت اطلاعات وارد سیستم کاربران می شود.

با توجه به گسترش اینترنت اشیا و گستردگی این حوزه هکرها اقبال بیشتری به هک و نفوذ در این زمینه نشان می دهند. همین موضوع سبب شده تا بات نت ها و بدافزار های موجود در این حوزه گسترش بیشتری پیدا کنند.

سازنده بات نت میرای 8.6 میلیون دلار جریمه شد

به گزارش سایت nbcnewyork.com، این شبکه بات نت برای آلوده کردن بیش از ۱۰۰ هزار رایانه متصل به اینترنت و سرقت اطلاعات مالی از آنها و حمله به رایانه های دیگر به کار گرفته شد.takian.ir rutgers university computer hacker ordered to pay 86 million

هکر دستگیر شده Paras Jha نام دارد و ۲۲ ساله است. وی علاوه بر پرداخت جریمه سنگین مالی باید شش ماه نیز در حبس خانگی به سر ببرد. این هکر حملات سایبری متعددی را نیز طراحی کرده است.

شبکه بات نت میرای علاوه بر تلاش برای سرقت پول های کاربران، برای حمله به وب سایت های تجاری و متعلق به شرکت های گوناگون به کار گرفته می شد و با ارسال ترافیک سنگین اینترنتی دسترسی به سایت های یادشده را ناممکن می کرد.

از طریق این شبکه بات نت تبلیغات آنلاینی نیز برای کاربران ارسال می شد و با کلیک کردن بر روی آنها پول های کلانی به جیب سه گرداننده شبکه های بات نت سرازیر می شد.

علاوه بر شرکت های تجاری برخی دانشگاه های آمریکایی نیز هدف حملات بات نت یادشده بوده اند که از جمله آنها می توان به دانشگاه راجرز، همین طور برخی شرکت های اینترنتی و برخی واحدهای شرکت اوراکل اشاره کرد.

Paras Jha پیش از این در دسامبر سال ۲۰۱۷ هم به علت کلاهبرداری های اینترنتی در آلاسکا مورد پیگرد قضایی قرار گرفته و به پرداخت ۱۲۷ هزار دلار جریمه محکوم شده بود.

سواستفاده بات نت ها از بلاکچین بیت کوین برای فرار از شناسایی

 

آکامای تحقیقات جدیدی را منتشر کرده و در آن روش های استفاده شده توسط اپراتورهای یک کمپین بات نت استخراج رمزارزها برای فرار از شناسایی که در آن مجرمان اینترنتی با سواستفاده از معاملات بیت کوین برای انجام عملیات غیرقانونی استخراج رمزارز در حالی که تحت نظارت هستند را توضیح میدهد.

از معاملات بلاکچین بیت کوین (BTC) برای پنهان کردن آدرس های سرور C&C پشتیبان بهره برداری میشود تا بات نت ها بتوانند بدون وقفه دستورات و کدهای مهاجمان را دریافت کنند.

چنین سرورهایی به طور مداوم توسط تیم های امنیتی و مقامات نظامی شکار میشوند تا این دست کمپین ها را از کار بی اندازند. با این حال، به دلیل پیشتیبان گیری، غیرفعال کردن آنها ممکن است مشکل زا و سخت باشد.

به گفته محققان آکامای، این یک روش ساده اما "موثر" برای شکست اقدامات امنیتی در راستای حذف است که تاکنون اپراتورهای مهاجم بیش از 30 هزار دلار در مونرو (که قبلتر یک کد استخراج رمزارز آنرا در عکس یک بازیگر هالیوودی مخفی سازی کرده بودند) استخراج کرده اند.

 الصاق جزئیات زنجیره

آکامای گزارش میدهد که اولین قدم در زنجیره حمله، بهره برداری از آسیب پذیری های RCE (اجرای کد از راه دور) مانند CVE-2015-1427 و  CVE-2019-9082 (Hadoop Yarn and Elasticsearch)است که بر عملکرد نرم افزار تاثیر میگذارد.

در بعضی حملات به جای ربودن سیستم، RCE ها برای ایجاد اسکنرهای سرور Redis اصلاح میگردند. هدف آنها یافتن اهداف اضافی Redis برای استخراج ارزهای رمزنگاری شده است.

برای ایجاد RCE، یک Script Shell در سیستم آسیب پذیر مستقر میشود تا بدافزار استخراج Skidmap را راه اندازی کند. این اسکریپت میتواند استخراج کنندگان موجود را از بین برده و ویژگی های امنیتی را غیرفعال کند یا کلیدهای SSH را تغییر دهد.

چگونگی مقاوم ماندن

برای ادامه توزیع بدافزار و حفظ پایداری آن، از روت کیت ها و برنامه ریزهای کاری محدودی به نام Cron Jobs استفاده میشود. اما برای آلوده سازی مجدد سیستم هایی که به عنوان هدف مشخص شده اند، از آدرس و دامنه های IP Static استفاده میشود که میگویند معمولا توسط تیم های امنیتی "شناسایی، سوزانده و یا توقیف میشوند".

به همین علت اپراتورها زیرساخت هایی به عنوان پشتیبان در این کمپین گنجانده اند تا آلوده کننده های ناموفق بتوانند آلودگی را ذخیره و بارگذاری کنند، دستگاه آلوده را به روز رسانی کنند و از دامنه ها و زیرساخت های جدید استفاده نمایند.

روش غیرقابل قبول و غیرمشهود

طبق تجزیه و تحلیل محققین آلکامای، در دسامبر سال 2020، اپراتورهای این کمپین ها، آدرس کیف پول بیت کوین را در نسخه جدید بدافزارهای استخراج رمزارز افزودند. آنها همچنین یک Bash یک خطی و یک URL برای یک wallet-checking API اضافه کردند؛ که نشان میدهد داده های کیف پول توسط API ای که برای محاسبه آدرس آی پی استفاده میشده، دریافت میگردیده است.

بعدا این آدرس برای حفظ ماندگاری و مقاومت، مبهم سازی و انباشت داده های پیکربندی بلاک چین استفاده میشود. آنها مقدار کمی بیت کوین را به کیف پول منتقل میکنند تا سیستم های آلوده رها شده را بازیابی کرده و دوباره وارد مدار کنند.

محققان ادعا میکنند که این روش توزیع اطلاعات پیکربندی "به طور موثری غیرمشهود و غیر قابل کنترل است".

تغییر مقادیر ساتوشی

اپراتورها از چهار اسکریپت Bash یک خطی برای تبدیل داده های کیف پول به آدرس آی پی مورد نظر استفاده میکنند. این اسکریپت ها یک درخواست HTTP به جستجوگر API بلاکچین برای کیف پول و مقادیر ساتوشی از دو معامله اخیر که به دستور پیشتیبانی و IP کنترل تبدیل شده اند، ارسال مینماید.

در نتیجه آلودگی از آدرس کیف پول به عنوان یک رکورد DNS استفاده میکند، در حالی که مقادیر تراکنش به عنوان یک رکورد A استفاده میشوند.

متغیر aa شامل آدرس کیف پول بیت کوین، متغیر bb شامل نقطه پایانی API که آخرین دو تراکنش مورد استفاده برای تولید آدرس IP را برمیگرداند و متغیر cc حاوی آدرس IP C2 نهایی پس از اتمام فرآیند تبدیل و تغییر است. برای دستیابی به این تبدیلات و تغییرات، چهار Bash یک خطی تو در تو (به ازای هر هشت عدد، یکی) با هم ترکیب شده اند. در حالی که به سختی میتوان آشفتگی cURL ها، seds، awks و pipes را در اولین نگاه درک کرد، اما این یک تکنیک نسبتا ساده است.

گونه جدید شل اسکریپت برای اخاذی اینترنتی و فعال سازی Mirai

 

محققان امنیت سایبری روز دوشنبه موج جدیدی از حملات مداوم را با بهره گیری از چندین آسیب پذیری برای استقرار نوع جدیدی از Mirai در دستگاه های متصل به اینترنت فاش کردند.

تیم اطلاعات امنیتی واحد 42 شرکت پالو آلتو در توضیحی نوشت: "پس از نفوذ و سوءاستفاده موفقیت آمیز، مهاجمان سعی می کنند یک shell script مخرب که شامل اعمال آلوده کننده دیگری مانند بارگیری و اجرای انواع Mirai و اخاذی است را بارگیری کنند".

مواردی که در پی این آسیب پذیری مورد سوءاستفاه قرار میگیرند، عبارتند از:

  • VisualDoor - آسیب پذیری اعمال دستور از راه دور SonicWall SSL-VPN که اوایل ژانویه سال جاری مشخص گردید.
  • CVE-2020-25506 - آسیب پذیری اجرای کد راه دور (RCE) فایروال D-Link DNS-320.
  • CVE-2021-27561 و CVE-2021-27562 - دو آسیب پذیری در مدیریت دستگاه Yealink که به مهاجم غیرمجاز اجازه می دهد دستورات دلخواه خود را بر روی سرور با امتیازات دسترسی root اجرا کند.
  • CVE-2021-22502 - نقص RCE در گزارشگر Micro Focus Operation Bridge (OBR)، در نسخه 10.40.
  • CVE-2019-19356 - روتر بی سیم Netis WF2419 که از RCE استفاده می کند.
  • CVE-2020-26919 - آسیب پذیری Netgear ProSAFE Plus RCE

سونیک وال در بیانیه ای اعلام کرد: "بهره برداری VisualDoor از آسیب پذیری سیستم عامل SSL-VPN نسخه قدیمی است که در سال 2015 با نسخه های 7.5.1.4-43sv و 8.0.0.4-25sv بر روی محصولات قدیمی بروزرسانی شده است." همچنین در ادامه افزوده است که "این سوءاستفاده از هر دستگاه سونیک وال که به درستی بروزرسانی شده باشد، قابل اجرا نیست."

همچنین سه آسیب پذیری اعمال دستور که قبلاً نامشخص بوده است، در این مجموعه گنجانده شده است که در برابر اهداف ناشناخته اعمال گردیده که به گفته محققان یکی از آنها همراه با یک بات نت جداگانه با نام MooBot مشاهده شده است.

گفته می شود این حملات به مدت یک ماه از 16 فوریه تا 13 مارس کشف شده است.

صرف نظر از نقصی که از آن برای دستیابی موفقیت آمیز بهره برده شده است، این زنجیره حمله شامل استفاده از ابزار wget برای بارگیری یک shell script از زیرساخت های بدافزار است که سپس برای استخراج باینری های Mirai استفاده می شود، یک بدافزار معروف که دستگاه های مبتنی اینترنت اشیا شبکه ای را تبدیل به بات های کنترل از راه دور کرده که می توانند به عنوان بخشی از بات نت در حملات شبکه با مقیاس گسترده استفاده شود.

علاوه بر دانلود Mirai، shell script های دیگری نیز مشاهده شده اند که در حال بازیابی موارد عملیاتی برای سهولت انجام حملات شدید برای نفوذ به دستگاه های آسیب پذیر با رمزهای عبور ضعیف هستند.

این محقق افزود: "حریم اینترنت اشیا به عنوان یک هدف به راحتی در دسترس مهاجمان باقی مانده و بهره برداری و سوءاستفاده از آن حجم زیاد از آسیب پذیری ها، بسیار آسان است و در برخی موارد می تواند عواقب فاجعه باری را به همراه داشته باشد".

 

بات نت جدیدZHtrap، با استفاده ازHoneypot قربانیان را به دام می اندازد

در یک طرح توسعه مرتبط، محققان شرکت امنیتی چینی نت لب 360، بات نت جدید مستقر در Mirai به نام ZHtrap را کشف کردند که در حالی که برخی از ویژگی ها را از یک بات نت  DDoS معروف به نام Matryosh گرفته است، از روش Honeypot برای یافتن و اضافه کردن قربانیان جدید استفاده می کند.

takian.ir ZHtrap botnet malware 1

 

در حالی که هانی پات ها به طور معمول اقدام به تقلید از هدف خود برای جرایم سایبری خود میکنند تا برای نفوذ به آنها جهت کسب اطلاعات بیشتر در مورد روش کار خود استفاده کنند، بات نت ZHtrap برای گسترش و تکثیر بیشتر خود، از یک روش مشابه استفاده کرده و از طریق یکپارچه سازی ماژول جمع آوری IP اسکن برای جمع آوری آدرس های IP که به عنوان اهداف استفاده می شوند، استفاده می کند.

این اطلاعات با زیر نظر گرفتن و بررسی 23 پورت تعیین شده و با شناسایی آدرس های IP متصل به این پورت ها و سپس با استفاده از آدرس های IP انباشته شده برای بررسی چهار آسیب پذیری برای نفوذ به مقادیر در حال بارگیری، به دست آمده است:

  • MVPower DVR Shell RCE تأیید نشده
  • Netgear DGN1000 Setup.cgi RCE غیرمجاز
  • دوربین مدار بسته DVR RCE که بر فروشنده های مختلف تأثیر می گذارد
  • اجرای دستور Realtek SDK miniigd SOAP (CVE-2014-8361)

محققان اعلام کردند: "انتشار ZHtrap از چهار آسیب پذیری N-day استفاده می کند و در حالی که از برخی ویژگی های backdoor بهره میبرد، عملکرد اصلی آن DDoS و اسکن کردن است". آنها افزودند: "Zhtrap یک هانی پات را بر روی دستگاه آلوده راه اندازی می کند و تصاویری را از دستگاه های قربانی می گیرد و اجرای دستورات جدید را بر مبنای آن تصاویر غیرفعال می کند و اینگونه به دستگاه تسلط پیدا مینماید".

takian.ir ZHtrap botnet malware 2

 

ZHtrap هنگامی که دستگاه ها را به انحصار خود گرفت، با استفاده از Tor برای ارتباط با یک سرور command-and-control برای بارگیری و اجرای مابقی اطلاعات، با بات نت Matryosh ارتباط می گیرد.

محققان با اشاره به اینکه این حملات از 28 فوریه 2021 آغاز شده است، میگویند که توانایی ZHtrap در تبدیل دستگاه های آلوده به هانی پات ، یک "تحول جالب" از بات نت ها برای تسهیل در امر یافتن اهداف و طعمه های بیشتر است.

بات نت های مبتنی بر Mirai جدیدترین مواردی هستند که در فضای حملات سایبری ظاهر شده اند و تا حدی با در دسترس بودن کد سورس Mirai از سال 2016 در اینترنت، زمینه را برای سایر مهاجمان جهت ایجاد انواع مختلف از این بات نت را فراهم کرده است.

در ماه مارس گذشته، محققان یک نوع Mirai به نام "Mukashi" را کشف کردند که مشخص شد دستگاه های ذخیره سازی متصل به شبکه Zyxel (NAS) را هدف قرار می دهد تا آنها را در اختیار یک بات نت قرار دهد. سپس در اکتبر سال 2020، تیم تحقیقاتی اینترنت اشیاء شرکت Avira نوع دیگری از بات نت Mirai به نام "Katana" را شناسایی کرد که از آسیب پذیری های اجرای کد از راه دور برای آلوده کردن روترهای D-Link DSL-7740C، دستگاه های DOCSIS 3.1 wireless gateway و سوئیچ های Dell PowerConnect 6224 سوءاستفاده می کرده است.