به گزارش سایت هک رید؛ تاکنون به کرات در اخبار، به واکاوی و بررسی وضعیت امنیت احراز هویت 2 مرحله ‌ای پرداخته شده و در برخی مواقع، غیرقابل نفوذ بودن این احراز هویت‌ها در بعضی سرویس‌ها مطرح شده است. البته در همه‌ی موارد، با فرض این مسئله که کاربران از دستگاه تلفن همراه خود، به خوبی مراقبت می‌کنند، امنیت احراز هویت 2 مرحله‌ای تأیید شده است.

بیشتر برنامه های رایانه ای، برای افزایش امنیت خود، از تأیید 2 مرحله ای را پیشنهاد می کنند و باور دارند که امکان دور زدن آن وجود ندارد. اما هم اکنون هکرها به روشی دست یافتند که به آسانی از این شیوه حفاظتی از طریق حملات فیشینگ عبور می کنند.

در این زمینه، هکرها به کمک حملات فیشینگ و جانمایی بدافزار «KnowBe4» می توانند اطلاعات مربوط به تأیید 2 مرحله ای را سرقت کرده، فرآیند تشخیص هویت را دور بزنند.

شرکت «Mitnick» -که در زمینه هک و نفوذ فعالیت می نماید- طی یادداشتی اعلام کرد: بدافزار «KnowBe4»، بیش از 17 هزار سازمان و نهاد را تحت تأثیر قرار داده است. این بدافزار، به یاری حملات فیشینگ، وارد دستگاه های رایانه ای می شود.

روش پیشین -که برای دور زدن تشخیص هویت 2 مرحله ای ارائه شد- به این ترتیب بود که اطلاعات با بهره گیری از روش ‌های مهندسی اجتماعی و سایر یورش های سنتی، علیه گذرواژه ‌ها انجام می گرفت و داشتنی های زیر، مورد نیاز بودند:

•    شناسه و گذرواژه‌ی حساب کاربری قربانی
•    شماره‌ تلفن همراه قربانی که سرویس احراز هویت 2 مرحله‌ای روی آن تعریف شده است
•    سرویس جعل شماره‌ی همراه
•    شماره‌ی رایانامه صوتی به منظور دسترسی از راه دور

اما در روشی نوین، هکرها با فرستادن رایانامه های فیشینگ، بدافزار بالا را به سامانه کاربران وارد می کنند و مقدمات سرقت اطلاعات مربوط به تأیید هویت 2 مرحله ای را فراهم می نمایند.

 

یک تهدید امنیتی دیگر در اکوسیستم باج افزاری به قصد هدف قرار دادن مشاغل و شرکت ها ظاهر شده است. این بدافزار که به نام Lorenz شناخته میشود، یک باج افزار جدید است که از استراتژی باج گیری مضاعف برای درآمدزایی استفاده می کند.

 

درباره بدافزارLorenz

لیتست هکنیگ نیوز گزارش داده که بلیپینگ کامپیوتر اخیراً جزئیات باج افزار Lorenz (لورنز) را که به تازگی ظاهر و شناسایی شده را به اشتراک گذاشته است. حدود یک ماه از آغاز فعالیت این باج افزار میگذرد و از آن زمان شرکت های زیادی را هدف حملات باج افزاری خود قرار داده است.

به طور خلاصه، این باج افزار درست مانند بقیه، با در اختیار گرفتن شبکه های آنها، از کسب و کارها و شرکت ها باج می گیرد. پس از آلودگی، لورنز به صورت جانبی بر روی شبکه هدف گسترش یافته و پخش میشود تا درنهایت به اعتبارنامه مدیر دامنه ویندوز برسد.

همانطور که این باج افزار گسترش می یابد، داده های رمزگذاری نشده قربانی را مرتباً اضافه و نگهداری می کند و به سرورهای خود می فرستد. به همین سادگی لورنز به لیست باج افزارهای دیگری که باج گیری دو یا سه برابری انجام می دهند، اضافه میشود.

لورنز پس از تثبیت خود و سرقت داده ها، ضمن افزودن پسوند ".Lorenz.sz40" به نام فایل ها، داده ها را رمزگذاری می کند.

گرچه همه اینها برای یک باج افزار معمول و رایج به نظر میرسد اما لورنز نیز برخی از استراتژی های منحصر به فرد را در این زمینه میتواند به نمایش بگذارد.

در ابتدا لورنز یک بدافزار سفارشی سازی شده قابل اجرا برای قربانی هدف خود ارائه داده و در سیستم هدف اجرا میکند. همچنین، گروه بدافزاری برای هر قربانی یک سایت اختصاصی پرداخت بر پایه Tor ایجاد می کند.

علاوه بر این، بدافزار برخلاف سایر باج افزارها، فرایندها یا سرویس های ویندوز را قبل از رمزگذاری از بین نبرده و غیرفعال نمیکند.

در مورد باج نیز، این باند معمولاً تقاضای زیادی و بین 500 تا 700 هزار دلار مطالبه میکند. عدم پرداخت این باج، مهاجمان را به سمت آغاز فرایند انتشار اطلاعات سرقت شده در دارک وب هدایت می کند.

در ابتدا گروه لورنز، فروش داده ها به رقبا را در اولویت قرار میدهند. سپس تا پایان مهلت پرداخت باج، شروع به بایگانی داده های محافظت شده با رمز عبور می کنند. بعد از پایان مهلت، آنها به راحتی رمز عبور را نیز منتشر می کنند و به طبع آن داده ها را در دسترس عموم قرار می دهند.

باز هم، آنچه لورنز را منحصر به فرد می کند این است که آنها نه تنها اطلاعات سرقت شده را فاش می کنند. بلکه آنها دسترسی به شبکه داخلی قربانی را نیز نشت داده و افشا میکنند.

 

ظاهرا این بدافزار نوعیThunderCrypt است

در حالی که لورنز رفتار تا حدودی متمایز از خود نشان می دهد، به نظر می رسد که این باج افزار اساساً نوع دیگری از باج افزار ThunderCrypt است.

در حال حاضر تاکنون با ادامه تجزیه و تحلیل این باج افزار، جزئیات زیاد و جدیدی در مورد لورنز در دسترس قرار نگرفته است. با این وجود در مدت زمان کوتاهی، سایت نشت و افشای اطلاعات متعلق به آنها نشان می دهد که باج افزار تا کنون حدود 12 قربانی مختلف را هدف قرار داده است. در این میان، آنها اطلاعات سرقت شده از 10 مورد را فاش و منتشر کرده اند!

به نقل از سایت arstechnica ، سال گذشته کمپانی امنیتی Check Point از کشف بدافزاری به نام DressCode خبر داد که از موبایل قربانی، یک بات نت ساخته و امکان کنترل آن را برای هکرها فراهم می کرد.این بدافزار خود را در قالب اپلیکیشن های سالم و عمدتا کودکانه پنهان ساخته اما پس از نصب به سیستم عامل نفوذ کرده و از فعالیت های کاربر جاسوسی می کند. حتی در صورت نفوذ بیشتر بدافزار مذکور می تواند به شبکه های خصوصی کاربر نیز دسترسی پیدا کرده و اطلاعات مهم را برای خود ارسال کند.اکنون و پس از گذشت 16 ماه از شناسایی DressCode یک هکر ثابت کرده که این بدافزار کماکان به فعالیت خود ادامه داده و تاکنون حدود 4 میلیون دستگاه را آلوده ساخته است.آلوده شدن دستگاه های اندروید به این بدافزار بسیار خطرناک است چرا که با استفاده از پروتکل های SOCKS موبایل را مستقیما به هکرها متصل می کند. مهاجمان در ادامه می توانند به شبکه های خانگی یا اداری متصل شده و به دیگر کامپیوترها و سیستم های متصل نفوذ کنند.این هکر اعلام کرده است که مهاجمان از سیستم های آلوده برای اجرای تبلیغات کلیکی استفاده می کنند که سود سرشاری را نصیب آنها می کند.در حال حاضر لیست جدیدی از اپلیکیشن های آلوده به این بدافزار در گوگل پلی منتشر نشده اما بسیاری از اپ های آلوده کماکان در مارکت های شخص ثالث از قبیل APKPure در دسترس قرار دارند.سال گذشته تیم امنیت سایبری TrendLabs اعلام کرد که DressCode در بیش از 3 هزار اپلیکیشن تعبیه شده که حداقل 400 مورد از آنها در گوگل پلی منتشر شده اند. برای مثال می توان به GTA V برای بازی Minecraft: Pocket Edition اشاره کرد که در همان زمان بیش از پانصد هزار بار در گوگل پلی استور دانلود شده بود.چند ماه قبل نیز کمپانی سیمنتک اعلام کرد که بدافزار Sockbot در قالب اپلیکیشن هایی که اسکین های مختلف را برای کارکترهای بازی ماینکرفت ارائه می دهند روی دستگاه قربانی نصب شده و آن را به بات تبدیل می سازد.یکی از راه های معمول مقابله با این بدافزارها تحت کنترل درآوردن سرورهای اجرا کننده آنها است که Sinkholing نام دارد، با این حال مشخص نیست گوگل در این زمینه چه گام هایی را برداشته است، با این حال ارائه این شواهد از فعالیت DressCode کارایی راهکاری گوگل برای مقابله با بدافزارهایی از این دست را زیر سوال می برد.

محققان روز سه شنبه یک بدافزار جدید را شناسایی کردند که با استفاده از ترفندهای مختلف، در حالی که به طور پنهانی قادر به اجرای دستورات دلخواه بر روی سیستم های آلوده است، از شناسایی در امان مانده و فرار می کند.

بر اساس تحلیلی که امروز توسط تراست ویو منتشر شده است، بدافزار ویندوزی با نام "Pingback" از تونل پروتکل پیام کنترل اینترنت یا ICMP برای ارتباطات مخفی بات استفاده می کند و به مهاجم اجازه می دهد تا از پکت های ICMP برای کد کردن حمله پیگی بک استفاده کند.

به گزارش هکر نیوز، بدافزار Pingback (oci.dll) با بارگیری از طریق یک سرویس قانونی موسوم به MSDTC (Microsoft Distributed Transaction Coordinator)، (مولفه ای که مسئولیت رسیدگی به عملیات پایگاه داده را در چندین ماشین توزیع می کند) با استفاده از روشی به نام سرقت دستورات جستجوی DLL که شامل استفاده از یک برنامه اصلی برای بارگیری مجدد یک فایل DLL مخرب است، به این مهم دست می یابد.

محققان از این بدافزار به عنوان یکی از افزونه هایی که نیازمند بهره گیری و پشتیبانی از اینترفیس Oracle ODBC در MSDTC به عنوان فاکتور اساسی برای حملات است، نام برده اند. در حالی که MSDTC به شکلی پیکربندی نشده است که هنگام راه اندازی سیستم  به صورت خودکار اجرا شود، در یک نمونه ثبت شده در VirusTotal در ماه جولای سال 2020، این نمونه کشف شده برای نصب فایل DLL در دایرکتوری سیستم ویندوز و راه اندازی سرویس MSDTC برای دستیابی به پایداری بوده است که به طبع این احتمال را به وجود آورده است که یک دستور اجرایی جداگانه برای نصب این بدافزار بسیار ضروری و مهم می باشد.

 

پس از اجرای موفقیت آمیز،Pingback  متوسل به استفاده از پروتکل ICMP برای ارتباطات اصلی خود می شود. ICMP یک پروتکل لایه ای شبکه است که عمدتا برای ارسال پیام های خطا و اطلاعات عملیاتی، مانند هشدار ناموفق بودن هنگام در دسترس نبودن میزبان دیگر استفاده می شود.

به طور ویژه، Pingback از یک درخواست Echo (پیام ICMP نوع 8)، با شماره دنباله پیام 1234، 1235 و 1236 که نوع اطلاعات موجود در بسته را نشان می دهد، استفاده می کند (1234 یک فرمان یا داده است و 1235 و 1236 به عنوان تأییدیه برای دریافت داده ها در نقطه مقابل هستند). برخی از دستورات پشتیبانی شده توسط بدافزار شامل قابلیت اجرای دستورات دلخواه shell، بارگیری و بارگذاری فایل ها از و به هاست مهاجم و اجرای دستورات مخرب بر روی دستگاه آلوده است.

تحقیقات در مورد مسیر نفوذ اولیه بدافزار در حال انجام است.

محققان اعلام کرده اند: "ICMP Tunneling چیز جدیدی نیست، اما این نمونه خاص موجب برانگیختگی علاقه ما به عنوان نمونه واقعی بدافزاری که با استفاده از این روش از شناسایی شدن جلوگیری میکند، شده است. ICMP برای تشخیص و عملکرد اتصالات IP مفید است، اما از طرفی دیگر می تواند توسط سوءاستفاده کنندگان برای اسکن و الگو برداری و مپینگ شبکه هدف بهره برداری شود. اگرچه ما پیشنهاد نمی کنیم ICMP غیرفعال شود، اما پیشنهادمان این است که حتما نظارت لازم برای کمک به شناسایی چنین ارتباطات پنهانی از طریق ICMP را به کار بگیرید".

به گزارش سایت سکیوریتی افیر، طبق گزارش منتشر شده در سایت «VirusTotal» نسل جدیدی از بدافزار شمعون به این سایت ارسال شده است. ویروس توتال یک سایت رایگلن برای بررسی آلوده بودن فایل ها به بدافزار است.

به گزارش سایت ویروس توتال در 23 دسامبر 2018 یک فایل از IP کشور فرانسه در این سایت برای اسکن بارگذاری گردید که حاوی نوع جدیدی از بدافزار شمعون بوده است و به نام شمعون 3 توسط این سایت نامگذاری شده است.

ظاهرا این بدافزار با سوء استفاده از نام شرکت اینترنتی «Baidu» از تاریخ 25 مارس 2015  الی 26 مارس 2016 کاربران را فریب می داده است. نفوذگران فایل های ارسالی را با مطالبی مانند «Baidu WiFi Hotspot Setup» یا «Baidu PC Faster» نام گذاری می کردند تا کاربران را فریب دهند.

به گزارش سایت www.2-spyware.com، کارشناسان امنیتی یک بدافزار جدید را کشف کردند که که بدون اجازه به دستگاه‌های اندروید وارد می‌شود و اقدام به دزدی اطلاعت شخصی تایپ شده در برنامه های پیام رسان میکند. این برنامه مخرب به عنوان یک ویروس ساده ولی موثر است که قادر به پنهان کردن حضور خود در دستگاه به صورت موثر است.

این تروجان برای حفظ پایداری خود، تلاش میکند که فایل "/ etc / install-recovery.sh" را بر روی دستگاه هدف تغییر دهد. اگر این تغییر موفقیت‌آمیز باشد، ویروس با هر بار راه‌اندازی دستگاه مجددا فعال می‌شود.
به نظر می‌رسد که هدف اولیه این بدافزار، دزدیدن اطلاعات از همه پیام رسان های نصب‌شده روی دستگاه است و سپس آن را به یک Remote Server ارسال می‌کند. آدرس IP سرور ذکر شده از یک فایل پیکربندی محلی بازیابی شده‌است.این بدافزار فعالیت خود را بر روی پیام رسان های زیر به نتیجه میرساند:

• Skype
• Facebook Messanger
• Twitter
• Viber
• Telegram Messenger
• Line
• Weibo
• Tencent WeChat
• Walkie Talkie Messenger, etc.

همان طور که مشاهده میکنید اکثر پیام رسان های محبوب در سراسر جهان به منظور استخراج اطلاعات، تحت‌تاثیر قرار می‌گیرند.

پیکربندی مبهم مانع تشخیص بد افزارهای مخرب می شود

با وجود عملکرد ابتدایی این بدافزار، متوجه میشویم که از رویکرد پیچیده‌ای برخوردار است که در هنگام گریز از تشخیص از آن استفاده می‌کند.به طور معمول نرم افزارهای امنیتی نمیتوانند این تهدید را تشخیص دهند، زیرا فایل پیکربندی و یک قسمت از ماژولهای آن را مسدود میکند. تحلیل و انالیز پویا نیز براحتی مقدور نیست زیرا این بدافزار از قابلیت های ضد شبیه سازی (anti-emulator) و اشکال زدایی (debugger) ستفاده می‌کند.
محققان امنیتی متوجه شده‌اند که بدافزار در داخل کد منبع خود، یک strings را پنهان کرده‌است تا در معرض قرار نگیرد. سرور C & C و مقادیر دیگر در یک فایل پیکربندی قرار گرفته اند که به بدافزار کمک می‌کند تا با کنترلر خود ارتباط برقرار کند.
این بدافزار اولین بار در یک برنامه چینی بنام ماژول ابری (Cloud Module) پیدا شد و از پکیجی با نام com.android.boxa استفاده کرد. با این حال، به این دلیل که هیچ فروشگاه نرم افزارهای اندروید (Play Store) در چین وجود ندارد، بسیار محتمل است که تهدید مغرضانه از طریق وب سایت‌های شخص ثالث و سایت‌های اپلیکیشن آندروید توزیع شود.

داده‌های نشت شده ممکن است برای اهداف غیر قانونی استفاده شوند

حتی اگر داده‌های جمع‌آوری‌شده ممکن است اطلاعات حیاتی مانند کلمه عبور بانکی را افشا نکنند، می‌تواند اطلاعات مفید دیگری مانند محل ملاقات، پروژه‌ها، نام‌ها و غیره را جمع‌آوری کند. این داده‌ها می‌توانند برای تعیین اهداف و گرایش‌های سازمان‌ها به کار روند.علاوه بر این، می توان آن را برای کمپین های جاسوسی یا برای کسب اطلاعات در مورد کارکنان خاص برای اجرای کمپین های فیشینگ و آلوده کردن شبکه ها با ransomware یا تهدیدات سایبری مشابه استفاده کرد.
مدیر خدمات مشاوره‌ای EMEA، آقای Neil Haskins نگران شیوه و روش شرکت‌ها و کارمندانی است که اطلاعات حساس را اداره می‌کنند:

"بسیاری از سازمان‌ها زمان، پول و منابع را صرف امنیت پلتفرم های ایمیل با آخرین و بزرگ‌ترین تکنولوژی می‌کنند. آن‌ها اسناد پالیسی های پست الکترونیکی را بیرون می‌آورند و سپس به کاربران در مورد استفاده مناسب از ایمیل آموزش می‌دهند، و فراموش می‌کنند که کارمندان نیاز دارند که اطلاعات بیشتری در خصوص پیام رسان ها دریافت ‌کنند، و در حقیقت، چون ایمیل آن‌ها را مسدود می‌کنند، آن‌ها از پیغام رسان ها برای عبور از فیلترینگ ایمیل ها استفاده می‌کنند. این طبیعت انسان است. با توجه به این حقیقت که اکثر مردم برنامه‌های پیام‌رسانی چندگانه در لب تاپ‌ها، تبلت ها و تلفن‌های همراه دارند، میبینیم که سطح حمله بسیار عظیم است."

برای اجتناب از نشت داده‌های غیر ضروری، ما به کاربران Android توصیه می‌کنیم که هرگز برنامه‌های کاربردی را از طرف ثالث دانلود نکنند و تنها از گوگل و فروشگاه های معتبر برای این منظور استفاده کنند.

به گزارش سایت ویروس ریمووا، بدافزاری جدید یافت شده که با سوء استفاده از سیستم های کامپیوتری آنها را به یک بات نت، برای گسترش بیشتر خود تبدیل می نماید.

نام این بدافزار «MyloBot» بوده است و در بازه زمانی برگزاری انتخابات آمریکا گسترش یافته است.

از طرفی این بدافزار بیشتر از طریق فضای دارک وب منتشر شده، زیرا بیش از 50 هزار سایت تبهکاری، جاسوسی و... در دارک وب وجود دارد که جولانگاه مناسبی برای بدافزارها است.

به طور معمول بدافزار های مختلفی در سطح جهان وجود دارد، اما پیچیدگی در طراحی و عملکرد این بدافزار ها آنها را متفاوت می کند.

بات نت «botnet MyloBot» سیستم قربانیان را به بردگی گرفته و علاوه بر آلوده کردن خود سیستم از رایانه قربانی برای انتشار بیشتر خود، سوء استفاده می کند.

به طور کلی هدف قرار گرفت سامانه کامپیوتری عبارت اند از: در اختیار گرفتن میزبانی، سرقت اطلاعات، نصب باج افزار، نصب بدافزار، غیر فعال کردن آنتی ویروس و....

بات نت یاد شده علاوه بر توانایی های فوق، سیستم قربانی را به یک منتشر کننده بات نت تبدیل می کند. این امکان بسیار منحصر به فرد بوده و گسترش این بات نت را هموار می سازد.

این بات نت پس از ورود به سیستم کاربر «Windows Defender» را غیر فعال کرده، به روز رسانی ها را میبندد، درگاه های خاص فایروال ویندوز را غیر فعال کرده و سپس در پوشه ای به نام « %APPDATA%» بدافزار قرار می دهد.

سیستم رایانه ای قربانی همانند بات نت زامبی به دنبال آلوده کردن سیستم های دیگر است.

این بدافزار در دارک وب منتشر شده و به سرعت گسترش یافته است، زیرا برخی هکرها از این نوع بات نت ها برای تخریب طیف گسترده ای از سیستم ها استفاده می کنند. به طور مثال هکرها با آلوده کردن چند سیستم رایانه ای در یک نهاد یا سازمان و تبدیل آن به زامبی برای آلوده کردن سامانه های دیگر بهره می برند.

بدافزارهای مخرب جاسوسی
محققان امنیتی، یک کمپین جاسوسی سایبری بسیار هدفمند کشف کرده اند که گفته می شود با یک گروه هک شده در پس تروجان KHRAT همراه است و سازمان ها را در جنوب شرق آسیا هدف قرار داده است.به گفته محققان از Palo Alto، این گروه هک که RANCOR نامیده می شوند، با استفاده از دو خانواده جدید بدافزار PLAINTEE و DDKONG پیدا شده است که هدف اصلی آنها در سنگاپور و کامبوج قرار دارد.با این حال، در سال های گذشته، تهدید کنندگان تروجان KHRAT با یک گروه جاسوسی سایبری چینی، شناخته شده به عنوان DragonOK لینک شده اند.
محققان در حالی که مشغول نظارت بر زیرساخت های C&C مرتبط با تروجان KHRATبودند، انواع مختلفی از این دو خانواده بدافزار را شناسایی کردند، به نظر می رسد PLAINTEE آخرین سلاح در زرادخانه این گروه است که از یک پروتکل UDP سفارشی برای ارتباط با سرور کنترل و کنترل از راه دور استفاده می کند.برای تحویل هر دو PLAINTEE و DDKONG، مهاجمان از پیام های فیشینگ صریح با بردارهای آلوده مختلف استفاده می کنند، از جمله ماکروهای مخرب در فایل Microsoft Office Excel، HTA Loader و DLL Loader، که شامل فایل های فریبنده است.
محققان توضیح می دهند: "این دزدی ها حاوی جزئیاتی از مقالات خبری عمومی است که عمدتا در مورد اخبار و رویدادهای سیاسی متمرکز شده است و علاوه بر این، این اسناد دزدی در وب سایت های قانونی شامل وب سایت دولتی متعلق به دولت کامبوج و حداقل یک بار در مورد فیس بوک میزبانی می شوند. "علاوه بر این، PLAINTEE افزونه های اضافی را با استفاده از یک پروتکل UDP سفارشی که داده ها را در فرم رمزگذاری می کند، از سرور C&C خود بارگیری و نصب می کند.محققان می گویند: "این خانواده از بدافزارها از ارتباطات شبکه سفارشی برای بارگیری و اجرای پلاگین های مختلفی که توسط مهاجمان میزبانی شده اند، استفاده می کنند." "قابل توجه است که برنامه خرابکاری PLAINTEE" از یک پروتکل UDP سفارشی استفاده می کند و در هنگام تشخیص هویت های ناشناخته برای بدافزار ناشناخته ارزش دارد. "
از سوی دیگر، DDKONG از فوریه 2017 توسط گروه هک استفاده شده است و هیچ پروتکل ارتباطی سفارشی مانند PLAINTEE ندارد.طبق تحقیقات، میزان بار نهایی هر دو خانواده مخرب نشان می دهد که هدف از هر دو بدافزار، به جای سرقت پول از اهداف خود، جاسوسی سایبری سیاسی از آنهاست. از آنجایی که RANCOR به طور عمده کاربرانی غیر تکنولوژیک را هدف قرار می دهد، همیشه توصیه می شود که هر سند ناخواسته ارسال شده از طریق ایمیل را اجرا نکرده و هرگز بر روی لینک های درون آن اسناد کلیک نکنید، مگر اینکه منبع دقیق را تأیید کنید.علاوه بر این، مهمتر از همه، استفاده از نرم افزار ضد ویروس مبتنی بر رفتار است که می تواند چنین نرم افزارهای مخرب را قبل از اینکه دستگاه شما را آلوده کند شناسایی و بلوک کند و همیشه آن را حفظ کرده و برنامه های دیگر را به روز نگه می دارد.

به گزارس سایت هک رید؛ محققان امنیتی یک شرکت امنیت سایبری چینی به نام «Netlab» خبر از انتشار و گسترش سریع یک بدافزار به نام «ADB.miner» داد که این بدافزار «Android.CoinMine.15» هم نامیده می شود.

محققان امنیتی با دقت این بدافزار را رصد کرده و متوجه این مسئله شدند که فعالیت آن به شدت روبه افزایش است.

این بدافزار بیشتر تلویزیون های هوشمند قابل حمل و دستگاه های اندرویدی را هدف قرار می دهد. به عبارتی دیگر تمامی تجهیزاتی که از سیستم عامل اندروید استفاده می کنند مانند تلفن های هوشمند، مدیا پلیر، روتر ها و سرویس هایی مانند « Raspberry Pi 3» در معرض خطر این بدافزار هستند.

این بدافزار از طریق پورت باز 5555 حملات و نفوذ خود را عملی می کند و هدف اصلی آن استخراج بیت کوین است.

بدافزار مذکور از طریق نرم افزار «Droidbot.apk» به تجهیزات اندرویدی وارد می شود و در همین راستا فایل هایی مخربی از جمله « sss ، nohup  و bot.dat» از طریق همین نرم افزار وارد سیستم شخص می شوند.

پس از نفوذ و استقرار پیدا کردن این بدافزار روی تجهیزات اندرویدی، این بدافزار به دنبال پورت باز 5555 میگردد که گفته می شود این پورت برای اتصال به اینترنت بوده است. طبق آزمایش هایی صورت گرفته این بدافزار از طریق 2.750 آدرس آی پی نفوذ کرده و بین کوین استخراج می کند.

طبق آخرین اطلاعات به دست آمده این بدافزار فقط در 24 ساعت بیش از 5000 سیستم کامپیوتری را آلوده کرده است.

 

کمپانی مایکروسافت روز پنجشنبه در مورد یک کمپین گسترده ایمیل هشدار داد که یک بدافزار مبتنی بر جاوا با نام STRRAT، در حالی که خود را به عنوان یک باج افزار نشان میدهد، برای سرقت اطلاعات محرمانه از سیستم های آلوده مورد استفاده قرار میگیرد.

تیم اطلاعات امنیتی مایکروسافت در یک رشته توییت عنوان کرد: "این RAT به دلیل اینکه اقدام به افزودن پسوند نام .crimson به فایل ها کرده و  آنها را رمزگذاری نمیکند، به رفتار شبیه به باج افزار معروف است".

به گزارش هکر نیوز، موج جدیدی از حملاتی که این شرکت هفته گذشته مشاهده کرده است، با ایمیل های هرزنامه ارسال شده از حساب های ایمیل در معرض خطر با عنوان "Outgoing Payments" که در عنوان موضوع درج شده است آغاز شده و گیرندگان را به گشودن فایل PDF مخرب که ادعا می کنند یک حواله است، ترغیب می کند اما در اصل با این کار به دامنه اصلی برای بارگیری بدافزار STRRAT متصل میشود.

این بدافزار علاوه بر برقراری ارتباط با سرور command-and-control در حین اجرا، دارای طیف وسیعی از ویژگی ها است که به آن امکان می دهد رمزهای عبور مرورگر را جمع آوری کند، لاگ کلیدهای ورودی را گردآوری کند و دستورات از راه دور و اسکریپت های PowerShell را اجرا کند.

 

STRRAT برای اولین بار در ژوئن سال 2020 توسط تیم امنیت سایبری G Data به عنوان یک تهدید بدافزاری ویندوز (نسخه 1.2) در ایمیل های فیشینگ حاوی پیوست های مخرب Jar (یا Java Archive)، مشاهده شد.

کارستن هان، تحلیلگر بدافزار G Data، توضیح داد: "این RAT متمرکز بر سرقت اطلاعات مرورگرها و سرویس گیرنده های ایمیل و رمزهای عبور از طریق ورود به سیستم است. این بدافزار از مرورگرها و سرویس گیرنده های ایمیل شامل فایرفاکس، اینترنت اکسپلورر، کروم، فاکس میل، اوت‌لوک و تاندربرد پشتیبانی می کند."

قابلیت های باج افزار آن در ابتدایی ترین حالت ممکن قرار دارد، زیرا مرحله رمزگذاری فقط تغییر نام و افزودن پسوند ".crismon" بر روی فایل ها انجام میپذیرد. کان افزود: "در صورت حذف این پسوند، می توان به طور معمول به فایل ها دسترسی پیدا کرد".

 

مایکروسافت همچنین یادآوری کرده است که نسخه 1.5 نسبت به نسخه های قبلی گیج کننده تر و ماژولارتر است، که نشان می دهد مهاجمان این عملیات به طور فعال در حال بهبود مجموعه ابزارهای خود هستند. اما این واقعیت که رفتار جعلی رمزگذاری توسط این بدافزار همچنان بدون تغییر باقی مانده است، نشان دهنده این هدف است که این گروه قصد دارند با استفاده از اخاذی، به سرعت از طریق کاربران ناآگاه سوءاستفاده و کسب درآمد کنند.

 

با کلیک کردن بر روی تبلیغات، کاربر به وب سایت جعلی برنامه کلاب هاوس (Clubhouse) هدایت می شود که به ظاهر کاملاً معتبر به نظر می رسد اما لینک بارگیری آن باعث دریافت بدافزار می شود.

سال گذشته، در دو حادثه جداگانه و مجزا، هکرها با سوءاستفاده از تبلیغات فیسبوک به 615000 گواهی کاربری دسترسی پیدا کردند. سپس گروه معروف باج افزار Ragnar Locker با استفاده از تبلیغات فیسبوک شروع به اخاذی از قربانیان کرد.

اکنون گزارش ها حاکی از آن است که مجرمان سایبری و تهدیدکنندگان در حال ارائه تبلیغاتی در فیسبوک هستند که برنامه کلاب هاوس را برای رایانه شخصی جهت بارگیری یک بدافزار ارائه دهد. باز هم، مهاجمان از همان روش قدیمی استفاده کرده اند، زیرا نسخه رایانه های شخصی برنامه کلاب هاوس هنوز منتشر نشده است.

شایان ذکر است که مهاجمان همیشه به دنبال سوءاستفاده از محبوبیت کسب شده توسط برنامه های خاص برای جلب کاربران ناآگاه و بی گناه برای بارگیری و دانلود بدافزارها هستند. برنامه کلاب هاوس تاکنون بیش از 8 میلیون بار دانلود شده است. بنابراین ، این مورد علاقه فعلی مجرمان اینترنتی شده است.

همین چند هفته پیش در مورد بدافزار BlackRock که به عنوان نسخه اندروید از برنامه گفتگوی صوتی کلاب هاوس منتشر شده بود، گزارشاتی منتشر شد، در حالی که محققان ESET عنوان کردند هیچ نسخه اندرویدی از این برنامه منتشر نشده است و این برنامه فقط در تلفن های همراه آیفون در دسترس است.

 

کمپین تبلیغات مخرب جدید در فیس بوک

تک کرانچ گزارش داده است که از چندین صفحه فیس بوک برای ارسال تبلیغات مرتبط با برنامه کلاب هاوس استفاده می شود. وقتی کاربر روی تبلیغ کلیک می کند، وب سایت جعلی کلاب هاوس باز می شود که تصویری از نسخه PC موجود برای برنامه و لینکی برای بارگیری را نشان می دهد.

به طور معمول کاربران بی اطلاع، بر روی لینک کلیک می کنند و تصور میکنند که نسبت به دریافت نسخه قانونی برنامه اقدام کرده اند. به محض باز شدنش، برنامه با سرور C&C خود ارتباط برقرار می کند و دستورالعمل هایی را برای اقدامات بعدی دریافت می کند. طبق آنالیز تی باکس کرانچ بر روی این بدافزار، این نرم افزار مخرب، یک باج افزار را در دستگاه آلوده بارگیری میکند.

 

تاکنون نُه آگهی مختلف منتشر شده است

در مجموع نه تبلیغ از طریق پروفایل های جعلی فیسبوک بین سه شنبه و پنجشنبه گذشته ارسال شده است. در اکثر آگهی ها عنوان مشابهی ذکر شده بود که نوشته بودند: "کلاب هاوس اکنون برای رایانه نیز در دسترس است". برخی از آنها عکسی از پاول دیویدسون و روهان ست از بنیانگذاران برنامه را نیز به نمایش می گذاشتند!

بعداً این تبلیغات از مجموعه تبلیغات فیسبوک حذف شده اند اما چگونگی ورود آنها به پروفایل های کاربران و دور زدن مراحل احراز هویت فیسبوک هنوز نامشخص باقی مانده است.

 

وب سایت های جعلی کلاب هاوس در حال حاضر آفلاین هستند

تک کرانچ همچنین اعلام کرد که وب سایت های جعلی برنامه کلاب هاوس، که در روسیه میزبانی می شدند در طی فرایندی جالب آفلاین شدند و بدافزار نیز پس از دریافت خطا از سرور، دیگر از کار افتاد. اما این جمله به هیچ وجه به معنی عدم امکان بازگشت چنین بدافزاری با ساختار و شکلی جدید جهت اجرای باج افزار نمیباشد.

 

محققان نقاط ضعف امنیتی قابل ملاحظه ای را در برنامه های نرم افزاری مشهور شناسایی کرده اند که می تواند برای غیرفعال کردن ساختار محافظتی از آنها سوءاستفاده شود و کنترل برنامه های مجاز در سیستم کاربر را با بهره گیری از بدافزار برای عبور از سد ساختار دفاعی ضد باج افزارها، برای انجام اقدامات خطر آفرین در دست بگیرند.

این حملات دوگانه که توسط اعضای دانشگاه لوکزامبورگ و دانشگاه لندن شرح داده شده اند، با هدف دور زدن امکان محافظت از فولدرها که توسط برنامه های آنتی ویروس ارائه شده، رمزگذاری فایل ها (معروف به "Cut-and-Mouse") و غیرفعال کردن محفاظت از آنها با شبیه سازی اعمال کلیک ماوس (معروف به "Ghost Control")، انجام میشود.

پروفسور گابریل لنزینی، دانشمند ارشد مرکز بین رشته ای امنیت، اتکا و اطمینان در دانشگاه لوکزامبورگ، گفته است: "ارائه دهندگان نرم افزار آنتی ویروس همیشه سطح بالایی از امنیت را ارائه می دهند که آنها را تبدیل به یک عنصر اساسی در مبارزه روزمره با مجرمان سایبری کرده است. اما آنها در حال رقابت با جنایتكارانی هستند كه هم اكنون منابع، قدرت و همچنین تعلق خاطر بیشتری دارند".

به بیان دیگر، کمبودهای موجود در نرم افزار کاهش مخاطرات بدافزاری نه تنها نمی تواند به کد غیر مجازی اجازه دهد که ویژگی های محافظتی آنها را غیرفعال کند، بلکه نقص طراحی در امنیت فولدرهای محافظت شده که توسط تامین کنندگان و سازندگان آنتی ویروس عرضه شده است، میتواند توسط عواملی مورد سوءاستفاده واقع شود؛ مثلاً باج افزار محتویات فایل ها را با استفاده از امکان تغییر در ساختار نگارش از پیش دیده شده برای دسترسی به فولدر و رمزگذاری داده های کاربر تغییر میدهد، یا از یک ابزار پاک کننده برای از بین بردن غیرقابل بازگشت فایل های شخصی قربانیان استفاده میکند.

فولدرهای محافظت شده به کاربران این امکان را می دهند تا فولدرهایی را که به یک لایه محافظت اضافی در برابر نرم افزار مخرب نیاز دارند، مشخص کرده و بدین ترتیب دسترسی غیر ایمن به فولدرهای محافظت شده را مسدود کنند.

محققان اعلام کرده اند: "به مجموعه كمی از برنامه های موجود در لیست سفید، امتیاز تغییرات در فولدرهای محافظت شده اعطا می شود. با این حال، برنامه های موجود در لیست سفید از سوءاستفاده توسط برنامه های دیگر در امان نمیمانند. بنابراین، اعتماد کردن به این ساختار معقول نیست، زیرا یک بدافزار می تواند با استفاده از برنامه های لیست سفید به عنوان واسطه، روی فولدرهای محافظت شده، عملیات مد نظر خود را انجام دهد".

یک سناریوی حمله که توسط محققان کشف شد، نشان داد که می توان از یک کد مخرب برای کنترل یک برنامه معتبر مانند Notepad برای انجام عملیات نوشتن و رمزگذاری فایل های قربانی که در فولدرهای محافظت شده ذخیره شده است، استفاده کرد. برای این منظور، باج افزار پرونده های موجود در پوشه ها را بررسی کرده، در حافظه خود رمزگذاری کرده و در کلیپ بورد سیستم کپی می کند و به دنبال آن، باج افزار Notepad را راه اندازی می کند تا محتوای پوشه را با داده کلیپ بورد بازنویسی و جایگزین نماید.

محققان دریافتند که حتی در موارد بدتر، توالی حمله فوق الذکر می تواند برای بازنویسی و جایگزینی فایل های کاربر با یک تصویر تصادفی ایجاد شده توسط نرم افزار Paint (به عنوان یک برنامه قابل اعتماد)، برای از بین بردن و حذف دائمی و قطعی فایل های کاربر استفاده شود.

از طرف دیگر، حمله Ghost Control می تواند عواقب جدی و خاص خود را به همراه داشته باشد، زیرا با غیرفعال کردن حفاظت قطعی در مقابل بدافزار بوسیله شبیه سازی اقدامات کاربر قانونی که مشخصا روی رابط کاربری یک نرم افزار آنتی ویروس انجام می شود، می تواند به مهاجم و عامل حمله اجازه دهد هر برنامه غیرقانونی و مخربی را از یک سرور کنترل از راه دور مهاجم، وارد و اجرا کند.

از 29 نرم افزار آنتی ویروس ارزیابی شده در طول مطالعه، 14 مورد از آنها در برابر حمله Ghost آسیب پذیر تشخیص داده شدند؛ از سویی نیز مشخص شد که همه 29 برنامه آنتی ویروس آزمایش شده در مقابل حمله Cut-and-Mouse آسیب پذیر هستند. محققان از تامین کنندگان و سازندگان این برنامه های آنتی ویروس که تحت تاثیر این آزمایشات قرار گرفته اند، نام نبرده اند.

اگر چنین چیزی صحت داشته باشد، نتایج یادآور این نکته حائز اهمیت است که حتی راه حل های امنیتی که به وضوح برای محافظت از دارایی های دیجیتال یک مجموعه در برابر حملات بدافزار طراحی شده اند، می توانند از ضعف هایی رنج ببرند و به طبع هدف نهایی آنها را که همانا محافظت و تامین امنیت است، با شکست مواجه میشود. حتی در حالی که ارائه دهندگان نرم افزار آنتی ویروس به ارتقا ساختار دفاعی خود ادامه می دهند، طراحان بدافزار با بهره گیری تاکتیک های فرار و مبهم سازی، از چنین موانعی عبور کرده اند. نیازی به ذکر نیست اما حتی با استفاده از ورودی های آلوده و از طریق حملات آلوده کننده، تشخیص رفتاری نرم افزارهای تامین امنیت را سردرگم کرده و آنها را دور می زنند.

محققان اعلام کرده اند: "سازگاری و ترکیب پذیری ایمن، یک مشکل شناخته شده در مهندسی امنیت است. اجزا وقتی که جدا از هم در نظر گرفته شوند، سطح حمله مشخصی را پوشش می دهند و در مقابل هنگامی که در یک سیستم ادغام می شوند، سطح وسیع تری ایجاد می کنند. اجزا با یکدیگر تعامل دارند و با سایر قسمتهای سیستم پویایی ایجاد می کنند و از طرفی اگر توسط طراح این تدبیر پیش بینی نشده باشد، یک مهاجم نیز می تواند با آن ها در تعامل باشد".

به گزارش سایت تریت پست؛ مقامات و مسئولان برگزارکننده المپیک زمستانی در کره جنوبی وقوع حمله سایبری را در حین برگزاری افتتاحیه این بازی ها تأیید کرده اند.به نقل تریت پست؛ مقامات و مسئولان برگزارکننده المپیک زمستانی در کره جنوبی وقوع حمله سایبری را در حین برگزاری افتتاحیه این بازی ها تأیید کرده اند.

 

کارشناسان فعال در حوزه امنیت اطلاعات عنوان کردند که این حملات سایبری دو وجه داشته اند یکی تخریب و مختل کردن عملکرد سیستم های کامپیوتری و دیگری سرقت اطلاعات بوده است.
سختگوی المپیک زمستانی «Mark Adams » طی گفتگویی اعلام کرد که حفظ امنیت مسابقات به خصوص امنیت سایبری شرکت کنندگان و حفاظت و حراست از اطلاعات آنها وظیفه اصلی ما است.
محققان شرکت امنیت سایبری سیسکو تالوس (Cisco Talos) اعلام کرد که ساختار حملات سایبری صورت گرفته به المپیک زمستانی بسیار پیچیده و ویرانگر بوده است. ضمناً کارشناسان این شرکت اعلام کرده‌اند که میزان نفوذ و تخریب هنوز به طور حتم مشخص نیست و نمی توان تشخیص داد، اما از شواهد این گونه پیدا است که این بدافزار به دنبال اطلاعات از روند بازی نیست بلکه قصد اختلال در بازی ها را دارد.
هدف اصلی نفوذگران این بوده که سیستم های کامپیوتری را به طور کلی ساقط کنند به عبارت دیگر سیستم ها را غیر قابل استفاده کنند.
اتفاقات پیش آمده و هک های صورت گرفته شباهت بسیاری به عملکرد بدافزار های Bad Rabbit و  Nyeyta ransomware بوده است.
پس از هک سیستم های کامپیوتری المپیک، کارشناسان به بررسی سیستم ها پرداخته و متوجه این موضوع شدند که تعدادی فایل در قابلت باینری روی اسن سیتم ها وجود داشته که عامل این موضوع بوده است.
شرکت امنیت سایبری سیسکو تالوس اعلام کرد که هنوز مشخص نیست از چه طریقی این بدافزار ها وارد سیستم های کامپیوتری المپیک شده اند، ولی شباهت آنها به بدافزار های « Bad Rabbit و Nyeyta » مشهود است.این بدافزار جدید شامل دو قسمت بوده است. یکی ماژول سرقت اطلاعات کاربر که مرورگرهای اینترنت اکسپلور، فایر فاکس و کروم است و دیگری ماژول با نفوذ به زیرساخت های سیستم اقدام به تخریب میکند.
سیستم های میزبان وب توسط بدافزاری به نام « vssadmin.exe » آلوده شده و بدافزار « wbadmin.exe» اقدام به تخریب سیستم های کامپیوتری مینماید.
بازی های المپیک زمستانی در کره جنوبی در جریان بوده و در حملات اتفاق افتاده برخی افراد انگشت اتهام را سوی کره شمالی گرفته اند.
اما طبق اطلاعاتی که از طریق حملات فیشینگ از گروه هکری روس به نام «Fancy Bear » منتشر شده اعلام کرده اند که این حملات توسط روسیه انجام شده است.
در این باره وزارت امور خارجه روسیه واکنش نشان داده و عنوان کرده که این موضوعات شبه تحقیقات هم نبوده است و هیچ مدرکی دال بر حمله سایبری روسیه به المپیک زمستانی وجود ندارد.

 

عاملان حملات و تهدیدات سایبری از Microsoft Build Engine (MSBuild) برای به کارگیری تروجان های دسترسی از راه دور و بدافزارهای سرقت كننده رمز عبور سواستفاده میکنند تا در سیستم های ویندوزی هدف، آن بدافزارها و تروجان ها را بدون فایل ارائه داده و انتقال دهند.

به گزارش هکرنیوز، محققان شرکت امنیت سایبری آنومالی، روز پنجشنبه اعلام کردند که این کمپین به صورت فعال در حال انجام است و ماه گذشته اعلام وجود کرده است. آنها اضافه کردند که فایل های مخرب ساخته شده با دستور اجرایی رمزگذاری شده و شِل‌کدی که بَک‌دور را نصب می کند، به مهاجمان این امکان را می دهد تا کنترل دستگاه های قربانیان را بدست گرفته و اطلاعات حساس را سرقت کنند.

مایکروسافت Build، ابزاری متن باز برای .NET و ویژوال استودیو است که توسط مایکروسافت ساخته شده و امکان تدوین سورس کد، پکیجینگ، تست و استقرار برنامه ها را فراهم می کند.

در صورت استفاده از MSBuild برای به خطر انداختن دستگاه ها به شکل بدون فایل، ایده بر این مبنا استوار است که از هرگونه شناسایی در امان مانده و حتی آنرا خنثی کنید، زیرا چنین بدافزاری برای بارگذاری کد حمله در حافظه از یک برنامه قانونی و شناخته شده استفاده می کند، بنابراین هیچ اثری از آلودگی بر روی سیستم قربانی باقی نمی گذارد و به مهاجمان امکان حمله با سطح پیشرفته ای از پنهان کاری در سرقت را ارائه میدهد.

نرم افزار Remcos (Remote Control and Surveillance Software)، پس از نصب، دسترسی کامل از راه دور برای مهاجم، شامل ویژگی هایی مانند ضبط کلیدها تا اجرای دستورات خودسرانه و ضبط میکروفون ها و وب کم، فراهم مینماید؛ در حالی که Quasar یک RAT متن باز مبتنی بر .NET است که توانایی هایی از جمله ورود به سیستم، سرقت رمز عبور، و غیره را دارد. Redline Stealer، همانطور که از نام آن بر‌می‌آید، یک نوع بدافزار است که علاوه بر سرقت رمزهای عبور و کیف پول های مرتبط با برنامه های ارزهای رمزپایه، از مرورگرها، V-P-N ها و مشترکان پیام رسان ها نیز اطلاعات کاربری را گردآوری و سرقت می کند.

محققان آنومالی، تارا گولد و گیج میل افزودند: "عوامل تهدید کننده این کمپین از ارسال و تحویل بدون فایل به عنوان راهی برای دور زدن اقدامات امنیتی استفاده کردند و این روش توسط عاملان برای اهداف مختلف و با انگیزه های متفاوتی استفاده می شود. این کمپین این نکته را عیان می کند که اتکا به نرم افزار آنتی ویروس به تنهایی برای دفاع سایبری کافی نیست و استفاده از کدهای مجاز برای پنهان کردن بدافزارها از فناوری های آنتی ویروس موثر واقع شده است و این مسئله به طور تصاعدی در حال رشد و افزایش است".

به گفته محققان ، عوامل مهاجم از فایل های زیپ شده برای فریب کاربران لینکدین (LinkedIn) برای اجرای More_eggs Backdoor استفاده می کنند.

رسانه اجتماعی متعلق به مایکروسافت برای افراد متخصص با نام لینکدین، دارای بیش از 740 میلیون کاربر از 200 کشور در سراسر جهان می باشد. همین امر، آن را تبدیل به هدفی سودآور برای مجرمان و اخاذان اینترنتی می کند. در جدیدترین مورد، فعالان لینکدین توسط یک کمپین فیشینگ مورد هدف قرار می گیرند که اقدام به اجرای More_eggs Backdoor می نماید.

واحد واکنش تهدیدات سایبری (TRU) در ای سنتایر که یک شرکت امنیت سایبری مستقر در واترلو شهر انتاریو کانادا میباشد، یک کلاهبرداری غیرقانونی در حال انجام با استفاده از مشاغل جعلی را کشف کرده است که سیستم های رایانه ای کاربران لینکدین را با More_eggs Backdoor بسیار خطرناک و مخرب، آلوده می کند.

 

چگونهMore_eggs Backdoor پخش میشود؟

در ماه فوریه سال 2020، محققان چک پوینت چگونگی استفاده مهاجمان از More_eggs Backdoor برای هدف قرار دادن مسئولین مبارزه با پولشویی را گزارش دادند و اعلام کردند که آنها از خدمات پیام رسانی لینکدین برای ارائه فرصت های شغلی جعلی برای گسترش بدافزار مدنظرشان سوءاستفاده می کنند.

در آن بازه زمانی، مهاجمان به عنوان شرکت های نیازمند کارمند، به عنوان محلی برای ارسال پیوندهای وب سایت در معرض خطر و مخرب به افراد جویای کار ظاهر می شدند و بعداً از طریق ایمیل آنها، پیگیری می کردند. در هر دو مورد، هدف آلوده کردن دستگاه قربانیان با استفاده Backdoor با نام More_eggs برای سرقت اطلاعات بوده است.

با این حال، این بار طبق پست وبلاگ ای سنتایر، عوامل مهاجم از فایل های زیپ شده برای هدف قرار دادن قربانیان بر اساس توضیحات وظایف و جایگاه شغلی موجود در پروفایل لینکدین کاربر، استفاده می کنند.

ای سنتایر توضیح داد که اگر به عنوان مثال شغل کاربر عضو لینکدین به عنوان "مدیر ارشد حسابداری – پوزیشین بین المللی" ذکر شده باشد ، فایل زیپ مخرب با عنوان "مدیر ارشد حسابداری – پوزیشین بین المللی" نامگذاری می شود.

پس از باز شدن فایل زیپ، دستگاه قربانی با بکدور More_eggs که در حال حاضر دستگاه های ویندوز را هدف قرار می دهد، آلوده می شود.

پس از آلوده شدن، بدافزار کنترل کامل دستگاه هدف را در اختیار می گیرد که به طبع آن، به هکرها اجازه می دهد از راه دور از دستگاه برای اهداف مخرب خود از جمله ارسال، دریافت، حذف و اجرای فایل ها استفاده کنند.

 

خطر آلودگی به باج افزار

علاوه بر این، هکرها می توانند بدافزارهای جدیدی را نیز روی سیستم بارگذاری کنند که می تواند باعث آلودگی دستگاه به باج افزار شود و در نتیجه فایل های قربانی را قفل کرده و برای رمزگشایی آن، درخواست باج نماید. محققان هشدار می دهند که بکدور More_eggs همچنین می تواند داده ها را از دید دستگاه پنهان کرده و حساب های رسانه های اجتماعی، ایمیل ها، تاریخچه مرورگر و حتی کیف پول های رمزنگاری شده شما را در معرض خطر سرقت قرار دهد.

راب مک لئود ، مدیر ارشد واحد واکنش تهدیدات سایبری شرکت ای سنتایر در گزارشی اعلام کرده است که: "آنچه که به طور ویژه در مورد فعالیت More_eggs نگران کننده است، این سه عنصر است که آن را به تهدیدی جدی برای مشاغل و افراد فعال در زمینه تجارت تبدیل می کند".

این سه عنصر شامل موارد زیر میباشند:

1. این بدافزار از فرایندهای عادی ویندوز برای اجرا استفاده می کند؛ بنابراین معمولاً توسط برنامه های امنیتی آنتی ویروس و مسدود کننده های خودکار به عنوان عامل مشکوک یا خطرساز شناخته نمی شود، بنابراین کاملاً پنهانی عمل میکند.
2. گنجاندن موقعیت شغلی هدف از طریق پروفایل لینکدین در این پیشنهاد کاری مخرب، احتمال آلوده شدن کاربر به بدافزار را افزایش می دهد.
3. از زمان شیوع بیماری کرونا و آغاز پاندمی، نرخ بیکاری به طرز چشمگیری افزایش یافته است و طبیعتا زمان مناسبی برای سوءاستفاده از افراد جویای کاری است که از یافتن شغل ناامید هستند. بنابراین جذابیت بک شغل ایده آل کاربر، بخصوص در این مقطع حساس و پرتنش، جذابیتی دو چندان پیدا میکند.

 

چرا کاربران لینکدین؟

لینکدین تقریباً از هر حرفه شناخته شده ای شامل 740 میلیون کاربر از جمله افراد مهم و دارای جایگاه های شغلی حساس مانند دانشمندان، نظامیان، مجریان قانون، فعالین صنایع دفاعی، پرسنل خطوط هوایی، پرسنل سیستم بانکداری و امور مالی و افراد سیاسی و غیره را در خود جای داده است. برای مجرمان سایبری و هکرهای مورد حمایت دولت ها، دسترسی به سیستم رایانه ای مورد استفاده توسط هر یک از این متخصصان، مانند یک معدن طلا است که میتوانند از آن برای سریعتر رسیدن به پول نقد از طریق فروش دسترسی سیستم های آنها به سایر مجرمان یا استفاده از آن برای نظارت و بررسی یا سرقت اسرار یا اطلاعات و داده های حساس، بهره برداری و سوءاستفاده کنند.

 

کاربران لینکدین چه کاری باید انجام دهند؟

شرکت توسعه امن کیان (تاکیان) به عنوان اولین و مهمترین نکته توصیه میکند که از کلیک کردن روی لینک های ارسال شده توسط افراد در شبکه های اجتماعی، خصوصاً کاربران ناشناس و مجهول، خودداری کنید. اگر مجبور و ملزم شده اید که بر روی فایل زیپ شده یا اجرایی کلیک کنید، باید به هر قیمتی از آن اجتناب کنید. اما اگر از قبل فایلی را دریافت کرده اید، حتماً آن را با یک ضد بدافزار مطمئن اسکن نمایید.

مضاف بر این، همچنین می توانید لینک ها و فایل های مخرب را در ویروس توتال اسکن کنید. در هر صورت امنیت شما در دستان خودتان است. تاکیان اکیداً توصیه می کند درباره امنیت سایبری و تهدیداتی که در پس اتصال به فضای اینترنت ممکن است شما را تهدید کند، کسب اطلاعات کرده و حساسیت بخرج دهید.

 

مهاجمان با بهره‌وری از یک تکنیک جدید، روشهایی را برای استفاده از Microsoft Background Intelligent Transfer Service (BITS) به منظور جایگذاری پنهانی داده های مخرب بر روی دستگاه های دارای سیستم عامل ویندوز را کشف کرده اند.

به گزارش سایت هکرنیوز، در سال ۲۰۲۰، بیمارستانها، سازمان های بازنشستگی و مراکز درمانی زیادی، متحمل آسیب و ضررهای بسیار شدیدی بابت یک کمپین فیشینگ همیشه متغیر که از روش Backdoor شخصی سازی شده مانند KEGTAP استفاده میکرده است، قرار گرفته اند، که در نهایت زمینه حملات باج افزار RYUK را فراهم میکرده است.

اما تحقیقات جدید شاخه امنیت سایبری شرکت FireEye اکنون مکانیسم پایداری ناشناخته ای را شناسایی کرده است که نشان می دهد مهاجمان از BITS برای راه اندازی Backdoor استفاده کرده اند.

فناوری BITS در ویندوز XP معرفی شد، که یکی از سرویس های مایکروسافت ویندوز است که از پهنای باند خالی شبکه برای تسهیل در انتقال ناهمگام فایل ها بین دستگاه ها استفاده می کند. این امر با ایجاد یک عملگر (فضایی که شامل فایل های بارگیری یا بارگذاری است) حاصل می شود.

فناوری BITS معمولاً برای ارائه به روزرسانی های سیستم عامل به کاربران و همچنین توسط اسکنر آنتی ویروس Windows Defender برای دریافت به روزرسانی های شناسایی علائم بدافزار استفاده می شود. علاوه بر محصولات خود مایکروسافت، این سرویس توسط برنامه های دیگری مانند موزیلا فایرفاکس نیز استفاده می شود تا امکان دریافت اطلاعات در پس زمینه حتی در صورت بسته بودن مرورگر نیز فراهم گردد.

محققان FireEye گفتند: "وقتی برنامه های مخرب عملگر BITS را ایجاد می کنند، فایل ها در چارچوب روند خدمات سرویس کاربر میزبان، روند دریافت یا بارگذاری را انجام می دهند". آنها افزودند: "این امکان می تواند برای جلوگیری از فایروال هایی که ممکن است فرایندهای مخرب یا ناشناخته را مسدود کنند کاربردی باشد و همچنین کمک می کند که مشخص شود کدام برنامه درخواست انتقال اطلاعات را داده است".

بخصوص حوادث مخاطره آمیز قبل که شامل آلوده سازی از طریق Ryuk برای استفاده از سرویس BITS برای ایجاد یک عملگر جدید تحت عنوان "به روزرسانی سیستم" که برای راه اندازی یک فایل اجرایی با نام "mail.exe" برنامه ریزی و پیکربندی شده است، پس از تلاش برای بارگیری URL نامعتبر، باعث ایجاد Backdoor برای KEGTAP شده است.

محققان اظهار داشتند: "عملگر مخرب BITS جهت تلاش برای انتقال HTTP یک فایل موجود از localhost تنظیم شده است. و از آنجا که این فایل هرگز وجود نخواهد داشت، BITS حالت خطا را ایجاد کرده و دستور notify را اجرا می کند، که در این مورد، این دستور به معنی اجرای KEGTAP می باشد".

سازوکار جدید یادآور این نکته است که چگونه استفاده از یک ابزار مفید مانند BITS به نفع مهاجمان میتواند خطرساز باشد. همچنین برای کمک به پاسخگویی سریعتر به این دست حوادث و تحقیقات تیم امنیتی، محققان یک ابزار پایتون به نام BitsParser را در دسترس عموم قرار داده اند، که هدف آن تجزیه فایل های پایگاه داده BITS و استخراج عملگر و اطلاعات فایل ها جهت تجزیه و تحلیل بیشتر است.

 

شرکت های کوچک و متوسط ​​یا به اصطلاح SME، ستون فقرات اقتصاد اکثر کشورها هستند. براساس آمار سازمان تجارت جهانی، در اقتصادهای توسعه یافته، شرکت های کوچک و متوسط بیش از 90% از جمعیت تجاری، 60 تا 70% از اشتغال و 55% از تولید ناخالص داخلی را به خود اختصاص می دهند. در حال حاضر این سازمان ها زیر ابری تاریک و مملو از تهدید قرار دارند، زیرا به طور فزاینده ای هدف حملات پیچیده سایبری قرار می گیرند. چه چیزی تغییر کرده است؟ و چگونه شرکت های کوچک و متوسط باید با این تهدید جدید سازگار شوند؟

 

یک تغییر ناگهانی برایSME ها، تهدیدهای جدید برای حمله سایبری

به گزارش اینفو سکیوریتی مگزین، در طول دوران، مجرمان مجازی حرفه ای به دنبال نام های بزرگ بودند: شرکت های بزرگ با موفقیت هدف قرار گرفتند و منجر به "نفوذهای کلان" شدند. در مورد باج افزارها، فیشینگ ها و انواع دیگر تهدیدها، تا همین اواخر، شرکت های کوچک و متوسط معمولاً از گزند مجرمان سایبری در امان بودند. یک گزارش نگران کننده که به تازگی چاپ شده است، نشان داده است که 43% از کل حملات سایبری، شرکت های کوچک و متوسط را هدف قرار می دهند. علاوه بر این، طبق گزارش سازمان امنیت سایبری پونمون در SMBs Report منتشر شده است، دو سوم شرکت های کوچک و متوسط در سال گذشته حداقل یک حمله سایبری را تجربه کرده اند و 63% آنها قربانی نشت داده ها در این بازه زمانی شده اند.

تهدید بزرگ دیگر برای شرکت های کوچک و متوسط، باج افزار است. نه تنها یک بار هزینه مالی، تهدیدکننده این شرکت ها است (برای نهادهای با کمتر از 500 کارمند، متوسط ​​هزینه حمله باج افزار 2.5 میلیون دلار است)، بلکه هزینه های مربوط به زمان از دسترس خارج شدن مجموعه و از دست دادن بهره وری به دلیل زمانبر بودن بهبودی بعد از حمله که در پی آن حملات حاصل میشود نیز برای سازمان ها مخرب است. تحقیقات نشان می دهد شرکت های کوچک و متوسط همچنان هدف اصلی حملات باج افزار هستند.

سوال اساسی این است که چرا این تغییر حاصل شده است؟ با توجه به اینکه شرکت های کوچک و متوسط هدف آسان تری هستند، چرا این مدت طول کشید تا مجرمان سایبری با این شدت آنها را هدف قرار دهند؟ پاسخ این سوالات در فناوری بکار رفته توسط مهاجمان نهفته است.

 

اتوماسیون: فقط برای کاربری مثبت نیست!

اتوماسیون باعث شده است که مشاغل بتوانند کارهای نیازمند به کاربر را کاهش دهند و فرآیندها را کارآمدتر، سریعتر و با هزینه کمتری انجام دهند. طولی نکشید که دقیقاً به همان دلایل مجرمان سایبری شروع به استفاده از اتوماسیون در حملات کردند.

چرا اتوماسیون تبدیل به چنین مشکل بزرگی شده است؟ راه حل های سنتی امنیت سایبری (به ویژه راه حل های امنیتی ایمیل) ابتدا باید با تهدید روبرو شوند، سپس آن را تجزیه و تحلیل کنند، سپس اعتبار آن را تأیید کنند، سپس آن را طبقه بندی کنند، و فقط در این صورت است که دفعه دیگر که چنین تهدیدی را مشاهده می کنند، می توانند آن را تشخیص دهند و آن را حل کنند. اکنون می توان حملات را به صورت خودکار انجام داد تا به طور مداوم پیشرفت کنند، به این معنی که راه حل های امنیتی حمله مشابهی را دو بار مشاهده نمی کنند. بنابراین چنین حملاتی راه حل های امنیتی که اکنون درگیر مشکلات حل این معضلات هستند، دور میزنند.

علاوه بر این، اتوماسیون فرایندی را آغاز کرده است که بعداً ایجاد چنین حملاتی را ارزان تر میکند. در نتیجه پخش و توزیع این حملات نسبتاً پیچیده به طور گسترده آسان تر شده است. در گذشته این امکان وجود نداشت؛ حملات پیچیده باید بسیار هدفمند می بودند و نیاز به تحقیقات دقیق و تنظیمات دستی داشتند، بنابراین تولید آنها نیز مستلزم هزینه بیشتر بود.

با تشکر از اتوماسیون و هوش مصنوعی (که توسط مهاجمین برای کسب اطلاعات در مورد رفتار آنلاین اهداف و ایجاد کمپین های خودکار فیشینگ مورد استفاده قرار می گیرد)، حملات پیچیده اکنون با کمترین هزینه می توانند بسیار هدفمند و در مقیاس گسترده انجام شوند. قربانیان متمول کمتری را می توان هدف قرار داد و شرکت های کوچک و متوسط را کاملاً در معرض تیررس مجرمان سایبری قرار داده است.

هدف قرار دادن شرکت های کوچک و متوسط بازار بالقوه این حملات را بسیار بزرگتر و داغ تر می کند، بنابراین تعجب آور نیست که مهاجمان به سمت هدف قرار دادن شرکت های کوچک و متوسط سوق پیدا کرده اند.

 

آنچه باید شرکت های کوچک و متوسط در مورد حمله خودکار سایبری بی اندیشند

یک مطالعه اخیر در موسسه فورستر نشان داده است که 88% از متخصصان امنیتی انتظار دارند که حملات مبتنی بر هوش مصنوعی در آینده نزدیک تبدیل به جریان اصلی حملات بشوند.

حملات اتوماسیون شده، تکنیکی جدید با پتانسیل بسیار زیاد برای ایجاد چالش های جدید هستند و بنابراین باید به گونه ای دیگر با آنها برخورد شود. روش قدیمی انجام کارها دیگر مهم نیست و واضح است که یک رویکرد تازه و موثر بسیار ضروری به نظر میرسد.

حملات جدید و پیچیده ای که بر علیه شرکت های کوچک و متوسط انجام می شود به صورت روزانه یا حتی ساعتی تولید می شوند و تحقیقات نشان می دهد راه حل های امنیتی که صرفا بر مبنای شهرت زیاد از آنها استفاده میشوند، بسیاری از حملات را تشخیص نمیدهند. اکنون زمان مناسبی برای تغییر رویکرد برای حفظ امنیت نهادهای تجاری و شغلی است؛ نگرشی که فارغ از دانش حملات گذشته باشد و بتواند امکانات و امنیتی به روز و جدید به کاربران خود ارائه دهد.

جای امیدواری است که صنعت امنیت سایبری روش‌های مختلفی را برای تجزیه‌وتحلیل بدافزارها توسعه داده است و البته هرکدام مجموعه نقاط قوت و ضعف خود را دارند. این به این معنی است که درحالیکه استفاده از فقط یک روش تجزیه‌وتحلیل بدافزار می‌تواند یک شبکه را در معرض خطر قرار دهد، اجرای روش‌های تجزیه‌وتحلیل‌ متعدد با ترتیب درست، می‌تواند با احتمال بالاتری از نفوذ بدافزارها به شبکه جلوگیری کند.

یک گروه امنیتی میتواند با اجرای متوالی روش های مختلف تحلیل بدافزار، تقریباً اکثر تهدیدات را بصورت خودکار تشخیص دهد در صورتی که بدون استفاده از مدل های اجرایی موفق و کسب اطلاعات کافی در مورد تهدید، ممکن است تنها به یک بازی حدش و گمان بسنده کنند که در نهایت نیز محکوم به شکست است.در محیط های تحلیل بدافزار ما با 3 نوع تحلیل مواجه هستیم:

1 - تحلیل ایستا (Static Analysis): تجزیه‌وتحلیل ایستا، خط اول دفاع است که شامل شکستن یک پرونده‌ی ناشناخته به مولفه‌هایی برای بررسی آن و بدون خراب شدن پرونده است و یک‌راه فوق‌العاده سریع و دقیق برای تشخیص بدافزارهای شناخته‌شده و انواع دیگر است که بخش عمده‌ای از حملاتی که معمولاً در سازمان‌ها دیده‌شده را تشکیل می‌دهد.

2 - تحلیل با استفاده از یادگیری ماشین (Machine Learning Analysis):  یادگیری ماشین شامل ایجاد و خودکارسازی یک سامانه برای طبقه‌بندی رفتارهای مخرب به گروه‌های متفاوت است. این گروه‌ها می‌توانند برای شناسایی محتوای مخرب در آینده بدون نیاز به ساخت الگوی دستی مورداستفاده قرار گیرند و هرچه نمونه بدافزارهای بیشتری مورد بررسی قرار گیرد و فهرست شود، توانایی سامانه برای تشخیص حملات در طول زمان رشد می‌کند

3 - تحلیل های پویا (Dynamic Analysis): آنچه عموماً به‌عنوان تحلیل پویا شناخته می‌شود معمولاً شامل ارسال یک نمونه مشکوک به یک محیط مبتنی بر ماشین مجازی و سپس فعال کردن آن در یک محیط کاملاً کنترل‌شده (بانام مستعار Sand box یا جعبه شنی) است که رفتار آن مشاهده می‌شود و از آن اطلاعاتی استخراج می‌شود.
ازآنجا که تجزیه‌وتحلیل ایستا و یادگیری ماشین هر دو نیاز به درجه‌ای از آشنایی قبلی با بدافزار دارند، برای آن‌ها شناسایی فعالیت‌های مخرب کاملاً جدید دشوار است. چالش تجزیه‌وتحلیل پویا مقیاس‌پذیری آن است که نیاز به محاسبات عظیم، ذخیره‌سازی و خودکارسازی دارد. گفته می‌شود اگر هر دو تجزیه‌وتحلیل ایستا و یادگیری ماشین انجام‌شده باشد آن‌ها به‌ احتمال ‌زیاد  بخش عمده‌ای از بدافزارها را شناسایی کرده‌اند.
برای اینکه بتوانید اقدامات اصلی را برای تحلیل بدافزار انجام دهید نیاز به ابزارهایی دارید که در اینجا به معرفی برخی از مهم‌ترین ابزار‌ها، کتاب‌ها و منابعی پرداخته خواهد شد که در تجزیه و تحلیل بدافزار و مهندسی معکوس مورد استفاده قرار می‌گیرد.

 

استفاده از ویراستار‌های Hex

یک ویراستار‌ Hex (یا ویراستار فایل باینری یا Byteeditor) نوعی برنامه‌ی کامپیوتری است که به کاربر توانایی دستکاری داده‌های باینری اساسی را می‌دهد و یک فایل کامپیوتری را تشکیل می‌دهند. نام «Hex» از واژه‌ی «Hexadecimal» می‌آید، فرمت استاندارد عددی برای نمایش داده‌های باینری است. در زیر چند برنامه ویراستار به همراه لینک توضیحات آن ارائه شده است.

• HxD
• 010 Editor
• Hex Workshop
• HexFiend
• Hiew

 

معرفی Disassemblerها

Disassembler یک برنامه‌ی کامپیوتری است که زبان ماشین را به زبان اسمبلی ترجمه می‌کند (عملیات معکوس نسبت به Assembler). لازم به ذکر است که Disassembler با Decompiler متفاوت است زیرا هدف Decompiler زبانی در سطح بالا است و نه یک زبان اسمبلی. فرمت Disassembly که خروجی Disassembler است، معمولا برای خواندن توسط انسان‌ها تعیین می‌شود، نه برای ورودی یک Assembler و این امر باعث می‌شود که این ابزار اساسا مبتنی بر مهندسی معکوس باشد.

• IDA Pro
• Binary Ninja
• Radare
• Hopper
• Capstone
• objdump
• fREedom
• plasma

 

ابزارهای شناسایی و طبقه‌بندی

• Assemblyline: چهارچوبی مقیاس‌پذیر برای تجزیه‌و‌تحلیل فایل توزیعی است.
• BinaryAlert: یک AWS Pipeline متن باز و بدون سرور که براساس مجموعه‌ای از قوانین YARA فایل‌های آپلودشده را اسکن کرده و درموردشان هشدار می‌دهد.
• chkrootkit: ابزاری برای شناسایی Rootkit مربوط به Local Linux است.
• ClamAV: نوعی موتور آنتی‌ویروس متن باز است.
• Detect:It:Easy : برنامه‌ای برای تعیین نوع فایل‌ها است.
• ExifTool: فراداده‌ی (Metadata) مربوط به خواندن، نوشتن و ویرایش فایل است.
• File Scanning Framework: راهکاری ماژولار و بازگشتی(Recursive) برای اسکن کردن فایل‌هاست.
• hashdeep: ابزاری برای محاسبه‌ی Hash Digestها با الگوریتم‌های مختلف به شمار می رود.
• Loki: نوعی اسکنر مبتنی بر Host برای IOCها است.
• Malfunction: فهرست اطلاعات یا کاتالوگ است و به مقایسه‌ی بدافزار در سطح عملکرد می‌پردازد.
• MASTIFF: چهارچوب تجزیه‌و‌تحلیل استاتیک است.
• MultiScanner: چهارچوبی ماژولار است که برای اسکن و یا تجزیه‌و‌تحلیل فایل استفاده می شود.
• nsrllookup: ابزاری برای جستجوی Hashها در دیتابیس National Software Reference Library متعلق به NIST است.
• packerid: یک پلتفرم مبتنی بر پایتون است که جایگزینی برای PEiD محسوب می‌گردد.
• PEV: یک Multiplatform Toolkit برای کار کردن با فایل‌های PE، که ابزار‌هایی با ویژگی‌های متنوع را برای تجزیه‌و‌تحلیل باینری‌های مشکوک فراهم می‌نماید.
• Rootkit Hunter: ابزاری است که Rootkitهای Linux را شناسایی می‌نماید.
• ssdeep: ابزاری که Hashهای مبهم (Fuzzy) را محاسبه می‌کند.
• TrID: شناسه‌ی (Identifier) فایل.
• YARA: ابزاری برای تطابق الگو (Pattern Matching) برای تحلیل‌گران است.
• Yara rules generator : ابزاری که بر اساس مجموعه‌ای از نمونه‌های بدافزار، قواعد Yara را ایجاد می‌کند. همچنین حاوی یک DB مناسب است که منجر به اجتناب از خطا در اعلام هشدار می‌گردد.

 

ابزارهای دقیق  Dynamic Binary

در زیر به معرفی ابزارهای باینری داینامیک دقیق یا در اصطلاح Dynamic Binary Instrumentation می‌پردازیم.

• Pin
• DynamoRio
• frida
• dyninst

 

ابزارهای رمزگشایی Mac

ابزار Mac Decrypting به شرح زیر می باشند:

• Cerbero Profiler
• AppEncryptor : ابزاری برای رمزگشایی
• Class:Dump : قابلیت استفاده از گزینه‌ی Deprotect
• readmem

 

معرفی ابزارهای شبیه سازی (Emulator)

• Qemu
• unicorn

 

معرفی ابزارهای آنالیز مستندات

• Ole Tools
• Didier’s PDF Tools
• Origami

 

تجزیه‌و‌تحلیل داینامیک

این مبحث، توضیحاتِ مقدماتی در زمینه‌ی تجزیه‌و‌تحلیل بدافزادها به صورت پویا می‌باشد و برای کسانی کاربرد دارد که در زمینه‌ی آنالیز بدافزار (Malware) شروع به کار کرده‌اند و یا می‌خواهند از مشکلاتی که بدافزار‌ها به جا می گذارند با ابزارهای مختلف مطلع شوند.

• ProcessHacker
• Process Explorer
• Process Monitor
• Autoruns
• Noriben
• API Monitor
• iNetSim
• Wireshark: یکی از قویترین ابزارها برای تجزیه و تحلیل پکت ها
• Fakenet
• Volatility
• Dumpit
• LiME
• Cuckoo
• Objective:See Utilities
• XCode Instruments : ابزار‌هایی برای مانیتورینگ فایل‌ها و فرایند‌ها.
• fs_usage : فراخوان‌های سیستمی و مشکلات صفحات را که مرتبط با فعالیت‌های Filesystem بصورت Realtime گزارش می‌دهد.
• Triton

 

معرفی ابزارهای XOR معکوس و دیگر روش‌های سوء استفاده از کد

• Balbuzard : یک ابزار برای تجزیه‌و‌تحلیل بدافزار برای Obfuscation معکوس (XOR، ROLو …) و موارد دیگر.
• de4dot : برای NET deobfuscator.  و  unpacker
• ex_pe_xor و iheartxor : دو ابزار از سوی Alexander Hanel برای کار کردن با فایل‌های رمزنگاری شده‌ی Single:Byte XOR.
• FLOSS :یا همان FireEye Labs Obfuscated String Solver از تکنیک‌های تجزیه‌و‌تحلیل استاتیک پیشرفته استفاده می‌کند تا به طور خودکار Stringها را از باینری‌های بدافزار جهت سوء استفاده خارج نماید.
• NoMoreXOR : حدس یک کلیدXOR 256 بایتی با استفاده از تجزیه‌و‌تحلیل فرکانس.
• PackerAttacker : یک استخراج‌کننده‌ی (Extractor) کد مخفی عمومی برای بدافزارهای ویندوز.
• Unpacker : بدافزار خودکارسازی شده برای بدافزارهای ویندوز مبتنی بر WinAppDbg.
• unxor : ابزاری برای حدس کلید‌های XOR با استفاده از حملات Known:Plaintext.
• VirtualDeobfuscator : ابزار مهندسی معکوس برای ساختارهای مجازی‌سازی.
• XORBruteForcer : یک اسکریپت پایتون جهت انجام حمله Brute Force روی کلید‌های Single:Byte XOR.
• XORSearch و XORStrings : دو برنامه از Didier Stevens برای یافتن داده‌های XORed.
• xortool : حدس طول کلید XOR و همچنین خود کلید.

 

معرفی ابزارهای Debugging

در این لیست می‌توان ابزاری برای Disassemblerها و Debuggerها و همچنین دیگر ابزار تجزیه‌و‌تحلیل استاتیک و داینامیک را مشاهده کرد.

ابزار Debugging بصورت پلتفرم

• gdb
• vdb
• lldb
• qira

ابزار Debugging متعلق به ویندوز

• WinDbg
• ImmunityDebugger
• OllyDbg v1.10
• OllyDbg v2.01
• OllySnD
• Olly Shadow
• Olly CiMs
• Olly UST_2bg
• x64dbg

تنها ابزار Debugging متعلق به لینوکس

• DDD

 

مهندسی معکوس

• angr : چهارچوبی جهت آنالیز باینری پلتفرم Agnostic که در Seclab متعلق به UCSB توسعه داده شده است.
• bamfdetect: اطلاعات را شناسایی کرده و آن‌ها را از Botها و دیگر بدافزارها خارج می‌نماید.
• BAP : چهارچوبی برای تجزیه‌و‌تحلیل باینری چند پلتفرمی و متن باز در Cylab متعلق به CMU.
• BARF : چهارچوبی برای آنالیز باینری و مهندسی معکوس متن باز و Multiplatform.
• Binnavi : تجزیه‌و‌تحلیل باینری برای مهندسی معکوس مبتنی بر Graph Visualization.
• Binary ninja : یک پلتفرم مهندسی معکوس که جایگزین IDA است.
• Binwalk : ابزار تجزیه‌و‌تحلیل Firmware.
• Bokken : یک GUI برای Pyew و Radare. (Mirror)
• Capstone : چهارچوب Disassembly برای تجزیه‌و‌تحلیل باینری و Reversing، با قابلیت پشتیبانی از بسیاری از معماری‌ها.
• codebro : مرورگر کد مبتنی بر وب که برای فراهم کردن تجزیه‌و‌تحلیل ابتدایی کد از Clang استفاده می‌کند.
• Dynamic Executable Code Analysis Framework یا به اختصار DECAF : یک پلتفرم تجزیه‌و‌تحلیل باینری مبتنی بر QEMU است و DroidScope اکنون افزونه‌ای برای DECAF است.
• dnSpy: ویراستار Net Assembly.، Decompiler و Debugger.
• Evan’s Debugger) EDB): یک Debugger ماژولار با یک Qt GUI.
• Fibratus: ابزاری برای کاوش و ردیابی هسته‏ی ویندوز.
• FPort: در یک سیستم روی پورت‌های TCP/IP و UDP گزارش‌گیری می‌کند و آن‌ها را به برنامه‌ی کاربردی مربوطه Map می‌نماید.
• GDB: یک Debugger مربوط به GNU.
• GEF: قابلیت‌های پیشرفته‌ی GDB برای Exploiterها و مهندسان معکوس.
• hackers:grep: کاربردی برای جستجوی Stringها در فایل‌های قابل اجرای PE شامل Importها، Exportها و نشانه‌های Debug.
• Hopper: یک Disassembler متعلق به macOS و لینوکس.
• IDA Pro: یک Disassembler و Debugger ویندوز، به همراه یک نسخه‌ی رایگان.
• Immunity Debugger :یک Debugger برای تجزیه‌و‌تحلیل بدافزارها و موارد دیگر، به همراه یک Python API.
• : ILSpy این ابزار در واقع یک مرورگر و Decompiler مربوط به Net Assembly. متن باز می‌باشد.
• Kaitai Struct: درواقع یک DSL برای فرمت‌های فایل، پروتکل‌های شبکه، ساختارهای داده، مهندسی معکوس و Dissection، همراه با ایجاد کد برای ++C، #C، Java، JavaScript، Perl، PHP، Python و Ruby است.
• LIEF : یک Library بین پلتفرمی را برای مجزا نمودن، اصلاح کردن و جداسازی فرمت‌های ELF، PE و MachO فراهم می‌نماید.
• ltrace: ابزاری برای تجزیه‌و‌تحلیل دینامیک برای فایل‌های قابل اجرای لینوکس می‌باشد.
• objdump: بخشی از Binutilهای GNU برای تجزیه‌و‌تحلیل استاتیک باینری‌های لینوکس.
• OllyDbg: یک Debugger در سطح Assembly برای فایل‌های قابل اجرای ویندوز است.
• PANDA: پلتفرمی برای معماری: تجزیه‌و‌تحلیل دینامیک بصورت بی طرف.
• PEDA یا Python Exploit Development Assistance برای GDB، نمایشگری پیشرفته با دستورات اضافی.
• pestudio: اجرای تجزیه‌و‌تحلیل استاتیک برای فایل‌های قابل اجرای ویندوز.
• Pharos: می‌توان از چهارچوب Pharos برای تجزیه‌و‌تحلیل باینری برای اجرای تجزیه‌و‌تحلیل استاتیک خودکارسازی‌شده‌ی باینری‌ها استفاده کرد.
• Plasma : یک Disassembler تعاملی برای x86، ARM، MIPS.
• (PPEE (Puppy : یک مرورگر فایل PE حرفه‌ای برای Reverserها، پژوهشگران برافزار و کسانی که می‌خواهند فایل‌های PE را به طور استاتیک و به صورت جزئی‌تر بررسی نمایند.
• Process Explorer : یک Task Manager پیشرفته برای ویندوز.
• Process Hacker : ابزاری که منابع سیستم را مانیتور می‌کند.
• Process Monitor : یک ابزار مانیتورینگ پیشرفته برای برنامه‌های ویندوز.
• PSTools : ابزار خط دستور ویندوز که به مدیریت و بررسی سیستم‌های زنده کمک می‌کند.
• Pyew : ابزار پایتون برای تجزیه‌و‌تحلیل بدافزار.
• PyREBox :درواقع Sandbox مهندسی معکوس Scriptable متعلق به Python تولید شده توسط تیم Talos در Cisco.
• Radare2 : چهارچوب مهندسی معکوس با پشتیبانی از Debugger.
• RegShot : ابزار مقایسه‌ی Registry که Snapshotها را مقایسه می‌کند.
• RetDec: یک Machine:Code Decompiler با قابلیت هدف‌گذاری مجدد (Retargetable) با یک سرویس Decompilation آنلاین و API که کاربر می‌تواند در ابزارهای خود از آن استفاده کند.
• ROPMEMU : چهارچوبی برای تجزیه‌و‌تحلیل، Dissect و Decompile کردن حملات Code:Reuse پیچیده.
• SMRT : یا همان Sublime Malware Research Tool، افزونه‌ای است برای Sublime 3 با هدف کمک به تجزیه‌و‌تحلیل بدافزار.
• strace : تجزیه‌و‌تحلیل دینامیک برای فایل‌های قابل اجرای لینوکس.
• Triton: یک چهارچوب تجزیه‌و‌تحلیل باینری دینامیک.
• Udis86: یک Library و ابزار Disassembler برای x86 و x64.
• Vivisect: ابزار Python برای تجزیه‌و‌تحلیل بدافزار.
• WinDbg:یک Debugger چندکاربردی برای سیستم عامل ویندوز، از آن برای Debug کردن برنامه‌های کاربردی User Mode، درایورهای دستگاه و Memory Dumpهای Kernel:Mode استفاده می‌شود.
• X64dbg : یک Debugger x64/x32 متن باز برای ویندوز است.

 

فرمت باینری و تجزیه‌و‌تحلیل باینری

Compound File Binary Format اصلی‌ترین Container مورد استفاده توسط فرمت‌های فایل مختلف مایکروسافت مانند مستندات Microsoft Office و بسته‌های Microsoft Installer می‌باشد.

• CFF Explorer
• Detect It Easy
• PeStudio
• PEiD
• MachoView
• nm : نمایش نشانه‌ها
• file : اطلاعات فایل
• codesign : کاربرد اطلاعات Code Signing: dvvv filename

منابع تجزیه‌و‌تحلیل باینری

• Mobius Resources
• z3
• bap
• angr

معرفی Decompiler

Decompiler برنامه‌ای کامپیوتری است که یک فایل قابل اجرا را به عنوان ورودی می‌گیرد و سعی می‌کند یک سورس فایل سطح بالا بسازد که بتوان آن را به طور موفقیت آمیزی Recompile نمود. در نتیجه نقطه‌ی مقابل Compiler محسوب می‌شود زیرا Compiler یک فایل منبع را می‌گیرد و آن را به فایل قابل اجرا تبدیل می‌نماید.

معرفی  Decompiler پرکاربرد

• HexRay
• RetDec
• Boomerang

معرفی Decompilerهای جاوا

• Procyon
• JD:GUI
• JAD

معرفی Decompilerهای NET.

• JustDecompile
• dotPeek

معرفی Decompilerهای زبان دلفی

• IDR
• Revendepro

معرفیDecompilerهای زبان پایتون

• Uncompyle6
• Decompyle++

 

معرفی ابزار تجزیه‌و‌تحلیل Bytecode

• dnSpy
• Bytecode Viewer
• Bytecode Visualizer
• JPEXS Flash Decompiler

 

معرفی ابزارهای Import Reconstruction

• ImpRec
• Scylla
• LordPE

 

Sandboxها و اسکنرهای آنلاین

از ابزارهایی که در ادامه معرفی می‌شوند به عنوان اسکنرهای Multi:AV مبتنی بر وب و Sandboxهای بدافزار برای تجزیه‌و‌تحلیل خودکارسازی‌شده استفاده می‌گردد.

• io : یک Sandbox آنلاین است.
• AndroTotal : آنالیز آنلاین رایگان برای APKها در مقابل چندین برنامه‌ی آنتی‌ویروس موبایل.
• AVCaesar: اسکنر آنلاین lu و مخزن (Repository) بدافزار.
• Cryptam: تحلیل اسناد مشکوک Office.
• Cuckoo Sandbox: یک Sandbox متن باز و Self Hosted و سیستم تجزیه‌و‌تحلیل خودکارسازی‌شده.
• cuckoo:modified: نسخه‌ی اصلاح‌شده‌ی Cuckoo Sandbox که تحت GPL منتشر شده است. به دلایل قانونی و صلاح‌دید مولف Merged Upstream نیست.
• cuckoo:modified:api: یک Python API که برای کنترل یک Sandbox که Cuckoo:Modified است مورد استفاده قرار می‌گیرد.
• DeepViz : تحلیلگر فایل چند فرمتی با طبقه‌بندی Machine:Learning.
• detux : یک Sandbox که توسعه داده شده است تا تجزیه‌و‌تحلیل ترافیک بدافزارهای لینوکس و IOCهای Capturing را انجام دهد.
• DRAKVUF : سیستم تجزیه‌و‌تحلیل بدافزار دینامیک.
• re : تقریبا هر بسته‌ی Firmwareای را Unpack، اسکن و تجزیه‌و‌تحلیل می‌کند.
• HaboMalHunter : یک ابزار تجزیه‌و‌تحلیل بدافزار خودکارسازی شده برای فایل‌های ELF لینوکس.
• Hybrid Analysis : ابزار تجزیه‌و‌تحلیل بدافزار آنلاین که VxSandbox قدرت موردنیاز آن را تامین می‌کند.
• IRMA : یک پلتفرم تجزیه‌و‌تحلیل Asynchronous و قابل سفارشی‌سازی برای فایل‌های مشکوک.
• Joe Sandbox : تجزیه‌و‌تحلیل بدافزار به‌صورت عمقی با Joe Sandbox.
• Jotti : اسکنر Multi:AV آنلاین رایگان.
• Limon :یک Sandboxی برای تحلیل بدافزار لینوکس.
• Malheur : ابزاری برای تجزیه‌و‌تحلیل خودکار رفتار بدافزار در Sandbox.
• malsub : یک چهارچوب Python RESTful API برای بدافزارهای آنلاین و خدمات تجزیه‌و‌تحلیل URL.
• Malware config : ابزاری برای Extract، Decode و نمایش آنلاین تنظیمات پیکربندی از بدافزارهای عادی.
• Malwr : تجزیه‌و‌تحلیل رایگان با یک Cuckoo Sandbox Instance آنلاین.
• com : اسکن کردن یک فایل، Hash یا آدرس IP برای بدافزار (رایگان).
• NetworkTotal: سرویسی که فایل‌های pcap را آنالیز کرده و شناسایی سریع ویروس‌ها، Wormها، Trojanها و انواع بدافزار را با استفاده از Suricata که با EmergingThreats Pro پیکربندی شده است تسهیل می‌نماید.
• PDF Examiner : ابزاری برای تجزیه‌و‌تحلیل فایل‌های PDF مشکوک استفاده می‌شود.
• ProcDot : یک Toolkit گرافیکی برای تجزیه‌و‌تحلیل بدافزار است.
• Recomposer : یک اسکریپت کمک‌کننده برای آپلود ایمن باینری‌ها به سایت‌های Sandbox به شمار می‌رود.
• Sand droid : سیستمی کامل و خودکار برای تجزیه‌و‌تحلیل برنامه‌های کاربردی اندروید است.
• SEE یا Sandboxed Execution Environment چهارچوبی است برای ساختن خودکارسازی تست در محیط‌های ایمن است.
• VirusTotal – ابزاری برای تجزیه‌و‌تحلیل آنلاین رایگان نمونه‌های بدافزار و URLها.
• Zeltser’s List : یک Sandboxها و خدمات خودکارسازی‌شده‌ی رایگان که توسط Lenny Zeltser جمع‌آوری شده‌اند.

 

معرفی تجزیه‌و‌تحلیل مستندات

• Ole Tools
• Didier’s PDF Tools
• Origami

 

بررسی ابزارهای Scripting

• IDA Python Src
• IDC Functions Doc
• Using IDAPython to Make your Life Easier
• Introduction to IDA Python
• The Beginner’s Guide to IDA Python
• IDA Plugin Contest
• onehawt IDA Plugin List
• pefile Python Libray

 

معرفی ابزارهای اندروید

• Android Developer Studio
• AndroGuard
• APKtool
• dex2jar
• Bytecode Viewer
• IDA Pro

 

بررسی منابع Yara

• Yara docs
• Cheatsheet
• yarGen
• Yara First Presentation

 

Artifactهای ویندوز

• AChoir : یک اسکریپت پاسخ رویداد، جهت جمع‌آوری Artifactهای ویندوز است.
• python:evt :کتابخانه متعلق به Python برای مجزا نمودن Event Logهای ویندوز.
• python:registry : کتابخانه متعلق به Python برای مجزا نمودن فایل‌های Registry.
• RegRipper : ابزار تجزیه‌و‌تحلیل Registry مبتنی بر Plugin.

 

بررسی ابزارهای Storage و Workflow

• Aleph : سیستم Pipeline تجزیه‌و‌تحلیل بدافزار متن باز.
• CRITs : پژوهش مبتنی بر همکاری در مورد تهدیدات، یک بدافزار و مخزن (Repository) تهدید.
• FAME : چهارچوبی برای تجزیه‌و‌تحلیل بدافزار، دارای یک Pipeline که می‌توان با استفاده از ماژول‌های سفارشی آن‌ها را گسترش داد. می‌توان این ماژول‌ها را زنجیروار به هم متصل کرد تا با یک دیگر تعامل داشته باشند تا تجزیه‌و‌تحلیل بصورت End-to-End اجرا گردد.
• Malwarehouse : ذخیره‌سازی، Tag کردن و جستجوی بدافزار.
• Polichombr : یک پلتفرم تجزیه‌و‌تحلیل بدافزار که طراحی شده است تا به تحلیل‌گران کمک کند قابلیت همکاری بدافزارها را برعکس نمایند.
• stoQ : چهارچوبی برای تجزیه‌و‌تحلیل محتوای توزیع‌شده با پشتیبانی گسترده از افزونه‌ها، از ورودی تا خروجی و تمام موارد بین آن‌ها.
• Viper : چهارچوبی برای مدیریت و تجزیه‌و‌تحلیل باینری برای تحلیل‌گران و پژوهشگران.

 

ابزارهای جمع آوری نمونه‌هایی از بدافزار

• Clean MX : دیتابیس Realtime از بدافزارها و دامین‌های مخرب.
• Contagio: مجموعه‌ای از نمونه‌ها و تجزیه‌و‌تحلیل‌های اخیر مربوط به بدافزارها.
• Exploit Database : نمونه‌های Exploit و Shellcode.
• Malshare : مجموعه ای بزرگ از بدافزارهایی که فعالانه از سایت‌های مخرب گرفته شده‌اند.
• MalwareDB : مجموعه ای از نمونه‌های بدافزار.
• Open Malware Project : اطلاعات و دانلود‌های نمونه Offensive Computing.
• Ragpicker : افزونه‌ای مبتنی بر Crawler بدافزار همراه با قابلیت‌های Pre:Analysis و گزارش‌گیری.
• theZoo : نمونه‌های بدافزار برای تحلیل‌گران.
• ViruSign : دیتابیس بدافزاری که توسط بسیاری از برنامه‌های بدافزار به غیر از ClamAV شناسایی شده است.
• VirusShare : مخزن بدافزار، نیازمند ثبت‌نام.
• VX Vault : مجموعه‌ای فعال از نمونه‌های بدافزار
• Zeltser’s Sources : لیستی از منابع نمونه‌های بدافزار که توسط Lenny Zeltser جمع‌آوری شده است.
• Zeus Source Code : منبع Zeus trojan که در سال 2011 فاش شد.

 

معرفی دوره‌های آموزشی مهندسی معکوس

• Lenas Reversing for Newbies
• Open Security Training
• Fu’s Malware Analysis
• Binary Auditing Course
• TiGa’s Video Tutorials
• Legend of Random
• Modern Binary Exploitation
• RPISEC Malware Course
• SANS FOR 610 GREM
• REcon Training
• Blackhat Training
• Offensive Security
• Corelan Training
• Offensive and Defensive Android Reversing

 

بررسی دامین‌ها و آدرس‌های IP

• com : سرویس IP blacklist اجتماع‌محور.
• boomerang : ابزاری که برای ثبت مداوم و ایمن از منابع وب شبکه طراحی شده است.
• Cymon : ردیاب هوش تهدیدات، همراه با جستجوی IP، دامین و Hash.
• me : ابزاری نیازمند تنها یک کلیک، با هدف بازیابی Metadata به بیشترین حد ممکن برای یک سایت و همچنین با هدف ارزیابی مناسب آن.
• dnstwist : موتور جایگشت (Permutation) نام دامین برای شناسایی Typo Squatting، Phishing و Corporate Espionage.
• IPinfo : جمع‌آوری اطلاعات درمورد یک IP یا دامین با جستجو در منابع آنلاین.
• Machinae : ابزار OSINT برای جمع‌آوری اطلاعات درمورد URLها، IPها و یا Hashها. مشابه Automator.
• MaltegoVT : دگرگونی Maltego برای VirusTotal API. تحقیق در مورد دامین و IP و همچنین جستجو برای File Hashها و گزارشات Scan را ممکن می‌سازد.
• Multi rbl : چندین DNS Blacklist و Forward Confirmed Reverse DNS برای بیش از 300 RBL.
• NormShield Services : خدمات API رایگان برای شناسایی دامین‌های Phishing احتمالی، آدرس‌های IP که Blacklist شده‌اند و حساب‌هایی که دچار نقض امنیتی گشته‌اند.
• SpamCop : یک Spam Block List مبتنی بر IP است.
• SpamHaus : یک Block List مبتنی بر دامین‌ها و IPها است.
• Sucuri SiteCheck : بدافزار وب‌سایت رایگان و اسکنر امنیتی.
• Talos Intelligence : ابزاری برای جستجو برای صاحب IP، دامین و شبکه. (در گذشته SenderBase بوده است.)
• TekDefense Automater : ابزار OSINT برای جمع‌آوری اطلاعات درمورد URLها، IPها و یا Hashها.
• URLQuery : اسکنر URL رایگان.
• Whois : ابزاری برای جستجوی Whois آنلاین رایگان DomainTools.
• Zeltser’s List : ابزار آنلاین رایگان برای تحقیق در مورد وب‌سایت‌های مخرب، جمع‌آوری شده توسط Lenny Zeltser
• ZScalar Zulu : تحلیلگر ریسک Zulu URL.

 

اسناد و Shellcode

• AnalyzePDF : ابزاری برای تحلیل PDFها و سعی بر تعیین اینکه آیا مخرب هستند یا خیر.
• box:js : ابزاری برای مطالعه‌ی بدافزار JavaScript، با پشتیبانی از JScript و WScript و شبیه‌سازی ActiveX.
• diStorm :یک Disassembler برای تحلیل Shellcode مخرب است.
• JS Beautifier :یک Unpacking و Deobfuscation برای جاوا اسکریپت است.
• JS Deobfuscator :یک Deobfuscate کننده‌ی Javascript ساده است که از Eval یا write برای پنهان کردن کد خود استفاده می‌کند.
• Libemu : ابزار برای شبیه‌سازی x86 Shellcode است.
• Malpdfobj : جدا کننده‌ی PDFهای مخرب در یک نمایش از JSON.
• OfficeMalScanner : اسکن کردن ردهای مخرب در اسناد MS Office.
• olevba : اسکریپتی برای مجزا نمودن اسناد OLE و OpenXML و Extract کردن اطلاعات مفید.
• Origami PDF : ابزاری برای تحلیل PDFهای مخرب و موارد بیشتر.
• PDF X:Ray Lite : ابزاری برای تحلیل PDF، نسخه‌ی Backend:Free از PDF X:RAY.
• peepdf : ابزار Python برای کاوش در PDFهایی که احتمال مخرب بودنشان وجود دارد.
• QuickSand : QuickSand یک چهارچوب Compact C است برای تحلیل اسناد مشکوک بدافزار با هدف شناسایی Exploitها در Streamهایی از Encodingهای متفاوت و همچنین با هدف پیدا کردن و Extract کردن فایل‌های قابل اجرای کارگزاری‌شده.
• Spidermonkey : موتور JavaScript متعلق به Mozilla، برای debug کردن JS مخرب.

 

معرفی کتاب‌ها در زمینه معندسی معکوس

• The IDA Pro Book
• Reverse Engineering for Beginners
• The Art of Assembly Language
• Practical Reverse Engineering
• Reversing: Secrets of Reverse Engineering
• Practical Malware Analysis
• Malware Analyst’s Cookbook
• Gray Hat Hacking
• The Art of Memory Forensics
• Hacking: The Art of Exploitation
• Fuzzing for Software Security
• Art of Software Security Assessment
• The Antivirus Hacker’s Handbook
• The Rootkit Arsenal
• Windows Internals Part 1Part 2
• Inside Windows Debugging
• iOS Reverse Engineering

 

ابزار هوش تهدیدات متن باز

• AbuseHelper : چهارچوبی متن باز برای دریافت و توزیع دوباره‌ی Feedهای مزاحم و هوش تهدیدات.
• AlienVault Open Threat Exchange : ابزاری برای به اشتراک گذاری و همکاری در توسعه‌ی هوش تهدیدات.
• Combine : ابزاری برای جمع‌آوری شاخص‌های هوش تهدیدات از منابعی که به طور عمومی در دسترس می‌باشند.
• Fileintel : ابزاری برای به دست آوردن اطلاعات به ازای File Hash.
• Hostintel : ابزاری برای به دست آوردن اطلاعات به ازای Host.
• IntelMQ : ابزاری برای CERTها به منظور پردازش داده‌های مربوط به رخدادها با استفاده از یک Message Queue.
• OC Editor : ویراستاری رایگان برای فایل‌های XML IOC.
• ioc_writer : کتابخانه متعلق به پایتون برای کار کردن با Objectهای OpenIOC از Mandiant.
• Massive Octo Spice : در گذشته به عنوان Collective Intelligence Framework یا به اختصار CIF شناخته می‌شد و در واقع IOCها را از لیست‌های مختلف کنار هم جمع می‌کند.
• Pulsedive : یک پلتفرم هوش تهدیدات رایگان و مبتنی بر جامعه که IOCها را از Feedهای متن باز جمع‌آوری می‌کند.
• PyIOCe : یک ویراستار OpenIOC متعلق به زبان پایتون است.
• threataggregator : تهدیدات امنیتی را از منابع مختلف، شامل منابعی که در ادامه در بخش «منابع دیگر» فهرست شده‌اند، کنار هم جمع می‌کند.
• ThreatCrowd : یک موتور جستجو برای تهدیدات، همراه با مصورسازی گرافیکی است.
• ThreatTracker : یک اسکریپت مبتنی بر زبان پایتون است که برای ایجاد و مانیتور کردن هشدارها براساس IOCهایی که توسط مجموعه‌ی از Google Custom Search Engines، ایندکس شده‌اند.
• TIQ:test : مصورسازی داده و تجزیه‌و‌تحلیل آماری Feedهای هوش تهدیدات.

 

معرفی منابع دیگر

• APT Notes : مجموعه‌ای از مقالات و یادداشت‌های مربوط به تهدیدات مداوم پیشرفته.
• File Formats posters : مصورسازی خوب از فرمت‌های فایلی که عموما مورد استفاده قرار می‌گیرند (از جمله PE و ELF).
• Honeynet Project : ابزار Honeypot، مقالات و دیگر منابع.
• Kernel Mode : انجمن فعال مختص به تجزیه‌و‌تحلیل بدافزار و توسعه‌ی Kernel.
• Malicious Software : بلاگ و منابع Malware جمع‌آوری‌شده توسط Lenny Zeltser.
• Malware Analysis Search : موتور جستجوی سفارشی Google از Corey Harrell.
• Malware Analysis Tutorials : دوره‌های آموزشی تجزیه‌و‌تحلیل بدافزار توسط Xiang Fu، منبعی عالی برای یادگیری تجزیه‌و‌تحلیل کاربردی بدافزار.
• Malware Samples and Traffic : این بلاگ روی ترافیک شبکه مرتبط آلودگی‌های بدافزار متمرکز است.
• Practical Malware Analysis Starter Kit : این بسته حاوی اکثر ارجاعات نرم‌افزاری در کتاب Practical Malware Analysis می‌باشد.
• Windows Registry specification : مشخصات فرمت فایل Registry ویندوز.

محققان شرکت امنیت سایبری «Fortinet»، اظهار کردند که نسخه جدید میرای، ابزاری بسیار قدرتمند است و از سال 2016 تا امروز در سراسر اروپا و آمریکا فعال بوده است.

بات نت میرای به روش های گوناگون اقدام به نفوذ و تخریب سیستم ها می کند. به طور مثال نسخه اولیه میرای حملات اختلال سرویس توزیع شده (DDoS) را کلید زد، در ویرایش های بعدی این بات نت شاهد استخراج ارزهای دیجیتالی با سوءاستفاده از دستگاه های سخت افزاری کاربران بودیم. البته از آنجایی که عمده فعالیت های این بات نت در حوزه اینترنت اشیا بوده است، بیشتر در این جهت رشد داشته و شناخته شده است.

بسیاری از تجهیزات اینترنت اشیا به دلیل گستردگی فعالیت بات نت میرای مورد تهاجمات گسترده قرار گرفته اند.

در یک مورد از این حملات، با یافتن آسیب پذیری در دوربین های مدار بسته، مدل های « Netgear R7000 و R64000» امکان نفوذ و سرقت اطلاعات آنها فراهم شد. این آسیب پذیری با شناسه «CVE-2016-6277» معرفی شده است.

طبق بررسی های صورت گرفته توسط کارشناسان امنیت سایبری برخی بات نت ها ادامه دهنده راه میرای بوده و عملکردشان تفاوت زیادی با میرای ندارد.

به عنوان مثال بات نت «Sora botnet» یا «Owari bot» نمونه ای از این موارد هستند که عموما با رویکرد سرقت اطلاعات وارد سیستم کاربران می شود.

با توجه به گسترش اینترنت اشیا و گستردگی این حوزه هکرها اقبال بیشتری به هک و نفوذ در این زمینه نشان می دهند. همین موضوع سبب شده تا بات نت ها و بدافزار های موجود در این حوزه گسترش بیشتری پیدا کنند.

 

یک کمپین بدافزار مک (Mac)، با هدف قرار دادن توسعه دهندگان Xcode جهت افزودن امکان پشتیبانی از تراشه های جدید M1 اپل و گسترش ویژگی های آن برای سرقت اطلاعات محرمانه از برنامه های رمزارزها، مجدداً مورد استفاده قرار گرفته است.

به نقل از هکر نیوز، XCSSET در آگوست سال 2020 و پس از اینکه از طریق پروژه های تغییر Xcode IDE، که در طی فرایند ساخت برای اجرای بارگیری اطلاعات تنظیم شده بودند، مورد توجه قرار گرفت. این بدافزار برای تقلید از برنامه های مجاز مَک، که بطور کامل مسئول آلوده کردن پروژه های محلی Xcode و تزریق اطلاعات اصلی برای اجرا در هنگام ایجاد پروژه در معرض خطر است، ماژول های اطلاعات را مجددا بارگیری می کند.

ماژول های XCSSET دارای قابلیت سرقت گواهی ها، گرفتن اسکرین شات، تزریق جاوا اسکریپت مخرب به وب سایت ها، سرقت داده های کاربر از برنامه های مختلف و حتی رمزگذاری فایل ها برای باجگیری است.

سپس در ماه مارس 2021، محققان کسپرسکی نمونه های XCSSET را كه برای تراشه های جدید Apple M1 جمع آوری شده بود، کشف كردند و این کشف حاكی از آن بود كه فعالیت این بدافزار نه تنها تاکنون ادامه داشته است، بلكه مهاجمان نیز به طور فعال اقدامات اجرایی خود را با آن تطبیق می داده اند و آنها را برای اجرا بر روی مک های جدید سیلیکون اپل، بومی سازی می كرده اند.

 

آخرین تحقیقات ترند میکرو نشان می دهد که XCSSET برای اعمال بک دور جاوا اسکریپت به وب سایت ها با استفاده از حملات Universal Cross-Site Scripting (UXSS) همچنان از نسخه در دست توسعه مرورگر سافاری سوءاستفاده می کند.

محققان ترند میکرو، در تحلیلی که روز جمعه منتشر شد، اعلام کردند: "این بدافزار، بسته های بروزرسانی سافاری را در سرور command-and-control میزبانی می کند، سپس بسته را بسته به نسخه سیستم عامل کاربر دانلود و نصب می کند. همچنین برای سازگاری با نسخه تازه منتشر شده Big Sur ، بسته های جدیدی برای سافاری 14، اضافه شده است".

این بدافزار علاوه بر تروجان سازی سافاری به منظور نفوذ به داده ها، با سوءاستفاده از حالت اشکال زدایی از راه دور در مرورگرهای دیگر مانند گوگل کروم، مرورگر بِرِیو، مایکروسافت اِج، موزیلا فایرفاکس، اوپرا، مرورگر کیهو 360 و مرورگر یاندکس برای انجام حملات UXSS شناخته می شود.

بعلاوه این بدافزار حتی سعی در سرقت اطلاعات حساب از چندین وب سایت از جمله سیستم عامل های معاملات ارزهای رمزنگاری هیوبی، بایننس، NNCall.net، اِنواتو و 163.com دارد که توانایی جایگزینی آدرس کیف پول رمزارز کاربر را با موارد تحت کنترل مهاجم دارد.

نحوه انتشار XCSSET از طریق پروژه های تحقیقاتی Xcode، تهدیدی جدی قلمداد می شود، زیرا توسعه دهندگانی که آلوده شده اند، ناخواسته کار خود را در GitHub به اشتراک می گذارند و می توانند بدافزار را در قالب پروژه های Xcode که در معرض خطر هستند، به کاربران خود منتقل کنند و به متعاقب آن منجر به سلسله حملاتی مانند حملات زنجیره تامین بشوند و کاربرانی را که به این دیتابیس ها در پروژه های خود وابستگی و اعتماد دارند، بشدت در معرض خطر و آلودگی قرار دهند.

 

یک حمله جدی دیگر در زنجیره تأمین به صورت آنلاین به وقوع پیوسته است که به طور بالقوه هزاران کاربر و مشتری را تحت تأثیر قرار داده است. این بار قربانی، غول مدیریت رمز عبور Passwordstate Click Studios است که خود این مجموعه، حمله سایبری را تأیید کرده است. ممکن است مهاجمان رمزهای ورود کاربران را از مدیریت رمز عبور هک شده نیز جمع آوری کرده باشند.

 

 

حمله سایبری بهمدیریت رمز عبورPasswordstate

گفته می شود شرکت نرم افزاری استرالیایی کلیک استودیوز، که در پس سیستم مدیریت رمز عبور Passwordstate است، حمله سایبری به سیستم های خود را تایید کرده است.

به نقل از لیتست هکینگ نیوز، همانطور که در گزارش آنها شرح داده شده است، این شرکت دچار حمله در زنجیره تأمین شده است، چرا که مهاجمان از طریق یک بروزرسانی مخرب، موفق به تخریب و آسیب رسانی به ساختار مدیریت رمز عبور شدند. برای این منظور، مهاجمان عملکرد بروزرسانی در محل وب سایت اصلی آنها را به خطر انداخته اند.

اگرچه این حمله نسبتاً کوتاه مدت بود و به مدت 28 ساعت ادامه پیدا کرد ولی مهاجمان موفق به وارد کردن خسارت شدند.

کلیک استودیوز جزئیات مربوط به حمله را به اشتراک گذاشته است: "هرگونه ارتقا در محل که بین 20 آوریل در ساعت 8:33 بعد از ظهر به وقت آمریکا تا 22 آپریل ساعت 0:30 صبح به وقت آمریکا انجام شده باشد، امکان دارد که یک فایل بدافزار با نام Passwordstate_upgrade.zip را بارگیری کرده باشد. این فایل zip از یک شبکه بارگیری که توسط Click Studios کنترل نمی شود، بارگیری شده است".

این بروزرسانی مخرب طبق بررسی های انجام شده، بدافزار را در سیستم دریافت کننده های بروزرسانی رمز عبور، نصب میکند. این بدافزار که "Moserware" نامیده می شود، اطلاعات مربوط به سیستم هدف را سرقت کرده و برای مهاجمان ارسال میکند.

هنگامی که قابلیت  بروزرسانی در محل پردازش و آغاز می شود، Passwordstate_upgrade.zip مخرب، یک moserware.secretsplitter.dll طراحی شده با اندازه 65 کیلوبایت را بارگیری می کند. سپس این فایل اضافی، فایل upgrade_service_upgrade.zip را از شبکه CDN عاملین حمله بارگیری می کند، یک تهدید جدید را در پس برنامه ها آغاز می کند و upgrade_service_upgrade.zip را به یک ساختار .NET که فقط در مموری نگهداری میشود تبدیل کرده و شروع به پردازش می نماید.

 

رفع سریع و کاهش خطر

با کشف این حادثه، تامین کنندگان از ارائه این بروزرسانی ها در محل مخرب جلوگیری کردند. همچنین آنها از مشتریان و کاربران خواسته اند که وجود فایل 65 کیلوبایتی moserware.secretsplitter.dll را در دایرکتوری c:\inetpub\passwordstate\bin خود مورد بررسی قرار دهند.

در صورت یافتن این فایل، آنها باید "فهرست خروجی دایرکتوری c:\inetpub\passwordstate\bin را که حاوی فایلی به نام PasswordstateBin.txt است، برای کلیک استودیوز ارسال کنند تا برای دریافت دستورالعمل های اصلاح این مشکل، راهنمایی های لازم را دریافت نمایند.

در حالی کلیک استودیوز تأیید کرد که این حادثه برخی از مشتریان را تحت تأثیر قرار داده است، اما جزئیات تعداد این حمله بسیار کم است. با این حال ، با روشن شدن اوضاع، این تعداد ممکن است به طور بالقوه افزایش یابد.

در حال حاضر کلیک استودیوز دارای بیش از 29،000 مشتری از بخشهای مختلف، از جمله برخی از 500 شرکت معرفی شده توسط مجله معروف فورچون است.

تعداد قابل توجهی از سیستم‌های صنعتی و شرکت‌های بزرگ به علت وجود بیش از ده آسیب پذیری در محصولات امنیتی Gemalto در معرض خطر حملات از راه دور قرار گرفتند.

تعداد قابل توجهی از سیستم‌های صنعتی و شرکت‌های بزرگ به علت وجود بیش از ده آسیب پذیری در محصولات امنیتی Gemalto در معرض خطر حملات از راه دور قرار گرفتند.Gemalto Sentinel LDK یک نرم‌افزار امنیتی است که ارگان‌های بسیاری در سراسر جهان چه سازمان‌ها و چه ICSها (سیستم‌های کنترل صنعتی) از آن استفاده می‌کنند. این راهکار علاوه بر اجزای نرم‌افزاری، راهکار محافظت مبتنی بر سخت افزار را نیز فراهم می‌کند که به طور خاصی یک دانگل USB با نام SafeNet Sentinelدارد که کاربران هنگام اتصال به یک رایانه یا یک سرور می توانند از آن استفاده کنند.
به گزارش کسپرسکی آنلاین، محققان در لابراتوار کسپرسکی کشف کردند که هنگامی که توکن به دستگاه متصل می شود درایوهای لازم نصب می‌شوند که این موارد یا توسط ویندوز دانلود می شوند یا توسط نرم‌افزارهای شخص ثالث ارائه می‌گردد و پورت 1947 به لیست استثناها در فایروال ویندوز اضافه می‌شود. پورت حتی هنگام خارج کردن دانگل از قسمت USB باقی خواهد ماند و با این مورد اجازه دسترسی از راه دور فراهم می‌گردد.
کارشناسان در مجموع 14 آسیب‌پذیری را در اجزای Sentinel یافته اند که این آسیب پذیری‌ها اجازه استفاده از حمله (DoS)، اجرای کد دلخواه با امتیازات سیستم و ضبط هش NTLM را به مجرمان می‌دهد. از آنجا که پورت 1947 اجازه دسترسی به سیستم را می‌دهد این آسیب‌پذیری و نقوص می‌تواند توسط یک مجرم از راه دور اکسپلویت شود.
کسپرسکی پس از این موضوع تصمیم به آنالیز نرم‌افزار گرفت. تحقیقات نشان داد که مجرمان می‌توانند شبکه را برای پورت 1947 شناسایی و از راه دور اسکن کنند یا که اگر به دستگاه دسترسی فیزیکی داشته باشند می‌توانند دستگاه‌ها را مورد هدف قرار دهند، آنها با اتصال به دانگل USB (حتی در زمانی که سیستم قفل باشد) می‌توانند از راه دور دسترسی کامل بیابند و اهداف خرابکارانه‌ خود را اجرا سازند. تغییر پراکسی به مهاجم اجازه می‌دهد که هش NTLM برای حساب کاربری که در حال اجرای فرایند لایسنس است را بدست آورد.
یازده آسیب پذیری توسط لابراتوار کسپرسکی در اواخر سال 2016 و اوایل سال 2017 کشف شد و سه مورد دیگر آنها در ماه ژوئن سال 2017 یافت شد. در آن زمان هشدارهای لازم در مورد Gemalto داده شد و این شرکت نسخه 7.6 خود را منتشر ساخت. در اواخر ژوئن سال 2017 تعدادی از آسیب پذیری‌ها پچ شد اما این در حالی بود که Gemalto  از میزان خطرات این آسیب پذیری‌ها و آپدیت‌های لازم به کاربران خود چیزی نگفته بود. چندین توسعه دهنده نرم‌افزاری که از این لایسنس‌ها استفاده می کردند به کسپرسکی اعلام کردند که آن ها هرگز از باگ های امنیتی مطلع نبودند و همچنان در حال استفاده از نسخه‌های دارای مشکل هستند.
علاوه بر نصب آخرین نسخه از Sentinel driver، لابراتوار کسپرسکی به کاربران توصیه می‌کند که پورت 1947 خود را در صورتی که برای فعالیت‌های خاصی از آن استفاده نمی‌کنند، ببندند.
در حالی که تعداد دقیق دستگاه‌های مصرف کننده از محصول Gemalto نامشخص است اما کسپرسکی معتقد است تعداد آنها می تواند میلیونی باشد. مطالعات سال 2011 Frost و Sullivan نشان می‌دهد که SafeNet Sentinel 40 درصد از سهام بازار را در زمینه راهکارهای کنترل لایسنس یا همان مجوز را در آمریکای شمالی و 60 درصد در اروپا دارد.
آسیب‌پذیری نرم‌افزار Gemalto در محصولات چندین کمپانی از جملهABB, General Electric, HP, Cadac Group Siemens و Zemax یافت شده است.هفته ی گذشته ICS-CERT و کمپانی Siemens هشدار دادند که بیش از ده نسخه از SIMATIC WinCC Add-On تحت تاثیر سه آسیب پذیری بحرانی شدید توسط نرم‌افزار Gemalto قرار گرفته است. کمپانی Siemens اطلاع داد که این نقص می‌تواند احتمال حملات DoS و اجرای کد دلخواه را به مجرمان بدهد.
Siemens به کاربران خود اطلاع رسانی لازم را اعلام نمود و گفت نرم‌افزار آسیب‌پذیر Gemalto در افزونه‌های SIMATIC WinCC که در سال 2015 و قبل از آن منتشر شده بود، مورد استفاده قرار گرفته است.
Vladimir Dashchenko مدیر گروه تحقیقات آسیب پذیری در ICS CERT  لابراتوار کسپرسکی هشدار داد که "با توجه به گستردگی این سیستم مدیریت مجوز، مقیاس احتمالی عواقب بسیار زیاد است، زیرا این توکن‌ها نه تنها در محیط‌های سازمان‌ها بلکه در مکان‌های حیاتی با قوانین دسترسی از راه دور مورد استفاده قرار می گیرد. وی افزود شبکه‌های بحرانی و حیاتی می‌توانند به راحتی توسط این آسیب‌پذیری دچار آلودگی و در معرض خطر قرار گیرند.

به گزراش هک رید؛ گروه های مختلفی از هکر ها وجود دارند که برای مقاصد خوب یا بد، دست به این کار می زنند. هکر ها با القاب مختلفی از جمله هکرهای کلاه سفید، کلاه خاکستری، کلاه صورتی و کلاه سیاه معرفی می شوند که هر کدام از اینها توضیحات مربوط به خودرا دارند. در این خبر هم شاهد آن هستیم که هکرها با اقدامی بی سابقه اطلاعات یک توسعه دهنده بدافزار های جاسوسی را حذف کرده اند.

اخیرا یک گروه هکری بمب سایبری طراحی کرده و قصد استفاده علیه یک شرکت توسعه نرم افزار به نام «Retina-X Studios» داشته است. این هکر های کلاه سفید با اطلاع از این موضوع اقدام به حذف یک ترابایت از اطلاعات گروه هکری مذکور کرده است. گفتنی است این اطلاعات روی بستر ابری ذخیره شده بود که توسط هکرهای کلاه سفید حذف شد.

شرکت توسعه دهنده نرم افزار «Retina-X Studios» در کشور آمریکا فعالیت می کند و برای کامپیوتر ها و تلفن های هوشمند برنامه طراحی می کند.

این شرکت به نقض حریم شخصی و جاسوسی در آوریل 2017 متهم شد، زیرا برای اینکه مشتریان خود را راضی نگه دارد، از آنها جاسوسی می کرده است.

این اولین برای نیست که توسعه دهندگان برنامه های جاسوسی مورد حمله سایبری قرار می گیرند. پیش از این هم گروه جاسوسی به نام « mSpy» اطلاعات مربوط به 400000 نفر را سرقت کرده بود، مورد حمله قرار گرفت یا در موردی مشابه سال گذشته اسرائیل گوشی های هوشمند شرکت «Cellebrite» را به نقض داده متهم کرده بود که حجم این اطلاعات سرقت شده 900 گیگابایت بوده است و آن هم مورد حمله سایبری قرار گرفت.

بدافزاری که توسط محققان با عنوان Vigilante مطرح شده است، از ورود سیستم های کاربران به سایتهایی که توزیع نرم افزار و داده های غیرقانونی و کرک شده را برعهده دارند، جلوگیری می کند.

به نقل از هک رید، محققان امنیت فناوری اطلاعات در SophosLabs در مورد یک بدافزار جدید غیرمعمول با عنوان vigilante گزارشی ارائه داده اند. محققان ادعا می کنند که عملکرد این بدافزار در مقایسه با نمونه های نسبتا مشابه خود، کاملاً متفاوت است.

محققان به آن لقب "Vigilante" داده اند زیرا این بدافزار به عنوان یک عملگر هوشیار عمل می کند و از ورود سیستم ها به سایتهایی که مرکز توزیع نرم افزارهای کرک شده و سرقتی و داده های دزدی هستند، جلوگیری می کند. این بدان معناست که از دسترسی قربانیان به سیستم عامل های نرم افزاری دزدی و کرک شده جلوگیری می کند.

بدافزار Vigilante چگونه کار می کند؟
طبق گفته اندرو برانت، محقق ارشد SophosLabs، بدافزار Vigilante پس از اینکه کسی نرم افزار یا بازی کرک شده یا غیرقانونی ای را بارگیری و اجرا کند، به سیستم حمله می کند. این بدافزار را می توان در سرویس های چارت بازی در Discord یا URLهای BitTorrent یافت.

برانت در مقاله خود نوشت: "با دقت بیشتر در بررسی این فایل هایی که با فایل نصب کننده همراه هستند، روشن میشود که آنها فایده عملی دیگری ندارند، جز اینکه به آرشیو شکل و ظاهر فایل هایی که معمولاً از طریق BitTorrent به اشتراک گذاشته می شوند را بدهند و با افزودن داده های تصادفی مقادیر هش را اصلاح کنند".

بدافزار نام فایل اجرا شده به همراه آدرس IP دستگاه را به سروری که توسط مهاجم کنترل می شود ارسال میکند تا شرایط را برای حملات آینده فراهم باقی بگذارد. Vigilante همچنین تغییراتی در دستگاه ایجاد می کند تا قربانی با ایجاد تغییر در فایل HOSTS دستگاه، نتواند به بیش از 1000 وب سایت از جمله ThePirateBay.com دسترسی پیدا کند.

 

علاوه بر این، فایل مد نظر حاوی چندین وب سایت شناخته شده دیگر است که به دلیل محتوای خود، غیرقانونی شناخته میشوند و این سایت ها را به آدرس IP لوکال‌هاست 127.0.01 که آدرس رایانه شخصی آنها است، بازهدایت می کند و به همین خاطر سایت ها برای کاربر دیگر قابل دسترسی نخواهند بود.

 

آیا توسعه دهندگان بدافزار سعی در محافظت از مردم دارند؟
تعیین هدف اصلی تولید بدافزار Vigilante مشکل است. این روش، یک تکنیک غیرمعمول برای محافظت از کاربران در برابر دسترسی به نرم افزارهای غیرقانونی و نهایتا گرفتار شدن در دام تهدید کلاهبرداری های مهاجمان و مجرمان سایبری است.

عموماً، عاملان تهدید از نرم افزارهای سرقت شده برای توزیع بدافزار در قالب جدیدترین بازی یا فیلم تازه منتشر شده، استفاده می کنند. چنین بدافزاری معمولاً سرقت کننده اطلاعات، استخراج کننده رمزارز یا باج افزار است. برندت در توییتر خود نوشت: یک چیز مسلم است و آن اینکه این یک بدافزار معمول نیست.

"دیدن چنین چیزی واقعاً غیرمعمول است زیرا معمولاً تنها یک انگیزه در پشت بیشتر بدافزارها وجود دارد: سرقت چیزها؛ حتی اگر این چیز، رمزهای عبور، دکمه های ورودی، کوکی ها، مالکیت معنوی، دسترسی و یا حتی سیکل پردازنده برای استخراج رمزارز باشد، انگیزه اصلی سرقت است. اما در این مورد، اینطور نیست. در این نمونه فقط چند کار انجام دادند که هیچ یک منطبق با انگیزه معمول و رایج مجرمان بدافزار نبوده است”.

 

مهاجمان سایبری به طور فزاینده ای از تلگرام (Telegram) به عنوان یک سیستم command-and-control برای توزیع بدافزار در سازمان هایی سوءاستفاده می کنند، که بعدا می توانند جهت ضبط اطلاعات حساس از سیستم های هدف استفاده شوند.

محققان شرکت امنیت سایبری چک پوینت که طی سه ماه گذشته حدود 130 حمله را شناسایی کرده اند که از یک تروجان جدید از راه دور چند منظوره (RAT) به نام "ToxicEye" استفاده می کنند. در پی این مورد، آنها اعلام کرده اند: "حتی در زمان نصب یا استفاده از پیامرسان تلگرام، این سیستم به هکرها اجازه می دهد تا دستورات و عملیات مخرب را، از راه دور و از طریق این برنامه ارسال پیام، ارسال کنند".

به گزارش هکر نیوز، استفاده از تلگرام برای تسهیل فعالیت های مخرب چیز جدیدی نیست. در ماه سپتامبر سال 2019، یک سارق اطلاعات به نام ماساد استیلر پیدا شد که اطلاعات و کیف پول رمزارزها را از رایانه های آلوده با استفاده از پیامرسان تلگرام به عنوان یک کانال استخراج اطلاعات، غارت می کرد. سپس سال گذشته، گروه های مِیجکارت از همان روش برای ارسال جزئیات پرداخت هایی که سرقت شده بودند، از طریق وب سایت های در معرض خطر به مهاجمان استفاده کردند.

این استراتژی به روش های مختلف نیز جواب داده و قابل انجام است. برای شروع، تلگرام نه تنها توسط موتورهای شرکتهای تولیدکننده آنتی ویروس مسدود نمی شود، بلکه این برنامه پیامرسان به روند ناشناس ماندن کمک میکند؛ زیرا فرایند ثبت نام فقط به یک شماره تلفن همراه احتیاج دارد و در نتیجه از هر مکان در سراسر جهان به دستگاه های آلوده دسترسی می یابد.

 

در آخرین کمپین کشف شده توسط شرکت امنیت اطلاعات چک پوینت، هیچ تغییر و تفاوت جدیدی دیده نشده است. ToxicEye از طریق ایمیل های فیشینگ تعبیه شده در یک فایل اجرایی مخرب ویندوز پخش شده و از تلگرام برای ارتباط با سرور command-and-control (C2) استفاده می کند و داده ها را در آن بارگذاری می نماید. این بدافزار همچنین شامل انواع سوءاستفاده هایی است که به آن امکان می دهد داده ها را سرقت نموده، فایل ها را انتقال داده و حذف کند، فرآیندها را متوقف کند، keylogger را اجرا کند، میکروفون و دوربین رایانه را برای ضبط صدا و تصویر در اختیار بگیرد و حتی فایل ها را برای باجگیری از کاربر رمزگذاری کند.

به طور ویژه زنجیره حمله با ایجاد یک ربات تلگرام توسط مهاجم آغاز می شود و قبل از اینکه آن را در یک فرم اجرایی (مثل paypal checker توسط saint.exe) وارد کند، در فایل پیکربندی RAT جاسازی می شود. سپس این فایل .EXE به یک فایل Word جهت فریب مخاطب تزریق می شود (solution.doc) که با باز شدن آن، تلگرام RAT را بارگیری و اجرا می کند (C:\Users\ToxicEye\rat.exe).

ایدان شرابی، مدیر گروه تحقیق و توسعه چک پوینت اعلام کرد: "ما یک روند رو به رشد را کشف کرده ایم که نویسندگان بدافزار از پلت فرم پیامرسان تلگرام به عنوان روند و روش جدیدی از یک سیستم command-and-control برای توزیع بدافزار در سازمان ها استفاده می کنند. ما اعتقاد داریم که مهاجمان از این موقعیت که تلگرام تقریباً در همه سازمانها مورد بصورت مجاز مورد استفاده قرار می گیرد بهره برداری کرده و از این امکان برای انجام حملات سایبری سوءاستفاده می کنند که در پی آن می توانند محدودیت های امنیتی را دور بزنند".

به گزارش سایت هکرید، این بدافزار سایت های مورداعتماد گوگل را هدف قرار داده است.
فیلدهای متادیتای عکس های آپلود شده در CDN گوگل، از طریق هکرها مورد سواستفاده قرار گرفته است تا با استفاده از کدهای مخرب، امنیت وب سایت ها را به خطر بیاندازند. این روش از سوءاستفاده،در واقع نوعی آسیب پذیری است زیرا کاربران هرگز تصاویر را به‌منظور کشف نرم افزارهای مخرب اسکن نمیکنند.
این بدافزار تزریق شده از فرمت EXIF (فایل عکس قابل تغییر) برای مخفی کردن کد استفاده می کند و تصاویر خطرناک در سایت های رسمی گوگل از جمله شبکه اجتماعی Google+، سایت های GoogleUserContent و وبلاگنویسان مانند Blogger.com در دسترس هستند.
حمله مشابهی قبلا در GitHub و Pastebin دیده شده بود، جایی که مجرمان سایبری قادر به پنهان کردن نرم افزارهای مخرب در تصاویر آپلود شده بودند.این موضوع توسط شرکت امنیتی سایبری Sucuri کشف شد و یافته ها در روز پنج شنبه منتشر شد. 
یکی از محققان امنیتی به نام Dennis Sinegubko در Sucuri طرح توزیع بدافزار را شناسایی کرد که از GoogleUserContent CDN برای میزبانی یکی از تصاویر آلوده استفاده کرد. بنابراین هنگامی که چنین تصویری دانلود می شود، بدافزار بلافاصله سایت را آلوده می کند. مهاجم فقط باید منتظر دریافت یک گزارش از سمت تصویر آلوده باشد و سپس اقدام به راه اندازی حمله برعلیه این سایت ها میکند.
Sinegubko در گزارش خود که در روز چهارشنبه منتشر شد، اظهار داشت که تمرکز شناسایی این کمپین بر سرقت توکن های امنیتی PayPal با هدف جلوگیری از فرآیند تأیید پی پال است.
هکرها با لود کردن تصویری که توسط گوگل میزبانی شده بود و با استفاده از تکنیک استگانوگرافی (steganography) میزبانی میگردید، توانستند بدافزار را در سرور نصب کنند. آنچه در steganography اتفاق می افتد این است که هکرها فایل را استخراج کرده و کد مخرب را در فیلد متادیتای کاربر EXIF ​​پنهان می کنند. کد مورد استفاده در این کمپین یک رشته کدگذاری Base64 است.
هنگامی که این رشته بیش از یک بار رمزگشایی می شود، آن را به یک اسکریپت تبدیل می کند که می تواند یک Shell از پیش تعریف شده بر روی سرور هدف را با دیگر فایل ها آپلود کند. این Shell در حال حاضر قادر به خرابکاری سرور است و مهاجم می تواند آدرس های سایت هایی را که با موفقیت مورد سوء استفاده قرار گرفته اند دریافت کنند.
Sinegubko ادعا می کند که پنهان کردن نرم افزارهای مخرب به فایل های EXIF ​​برای او خیلی هم نگران کننده نیست؛ نگران کننده ترین چیز این بود که هکرها از GoogleUserContent CDN برای تحقق اهداف نابکار خود استفاده می کردند. این کاملا یک ایده جدید است که مطمئنا شبهای پرسر و صدا را به محققان امنیتی تحمیل می کند.
دلیل اصلی برای نگرانی این است که هیچ راه استانداردی برای اطلاع گوگل در مورد تصویر آلوده شده وجود ندارد، زیرا این شرکت یک فرآیند گزارش دهی برای نقض حق نسخه برداری و نه مسائل مرتبط با امنیت را اجرا کرده است. Sinegubko می نویسد:

"گوگل ابزارهای بسیاری برای حذف محتوا دارد، اما مشخص نیست که چگونه بدافزار موجود در تصاویر را میخواهد گزارش دهد. اکثر ابزارهای آنها نیاز به ارائه پیوندهایی به پستهای اصلی، صفحات یا نظرات حاوی محتوای نقض‌کننده دارند. تصویر در اینجا جزء برخی از محتوای عمومی شناخته شده نیست. "

محققان نمی توانند منبع آپلود بدافزار را شناسایی کنند. محققان در Sucuri اذعان کرده اند که:

"دشوار است بگوییم که منبع اصلی تصاویر کجاست، زیرا URL های آنها ناشناس هستند و فرمت مشابعی دارند."

 

باند بدافزار DarkSide در پشت حمله سایبری اخیر به Colonial Pipeline بوده است اما مشخص نیست که چه کسی در پشت پرده اختلال در زیرساخت های سایبری DarkSide بوده است.

گروه مجرمان سایبری باج افزار DarkSide که باعث بروز وقفه ای شش روزه در خط لوله Colonial Pipeline در هفته گذشته که منجر به کمبود سوخت و افزایش قیمت در سراسر ایالات متحده شده بودند، در حال پایان دادن به آن هستند.

این باند مجرمین اعلام کرد پس از آنکه سرورهای آنها ضبط شد و همچنین در پی درز اطلاعات حساب رمزارز این گروه توسط عاملان ناشناس، که برای پرداخت های خود از آن استفاده میکردند، عملیات خود را متوقف می کند.

در صورت دسترسی از طریق TORبه دارک وب و بررسی آدرس سایت DarkSide، اعلانی نمایش داده میشود که اعلام میکند این آدرس قابل یافتن نیست.

پیامی که توسط این گروه ارسال شده، بدین مضمون است: "چند ساعت پیش، ما دسترسی به بخش عمومی زیرساخت های خود را از دست دادیم".

در ادامه این پیام توضیح داده است که این خسارت بر وبلاگ قربانیان که اطلاعات سرقت شده از قربانیانی که از پرداخت باج خودداری کرده اند، منتشر می شود، تأثیر گذاشته است.

این حمله همچنین سرور پرداخت آنها و مواردی که ویژگی DoS آن را تأمین می کنند و برای تهییج کردن قربانیانی که از پرداخت باج ممانعت میکنند، مورد استفاده قرار میگرفته، از کار انداخته است.

این بروزرسانی همچنین ادعا میکند که سازمان دهندگان DarkSide در حال انتشار ابزارهای رمزگشایی برای تمام شرکت هایی هستند که تحت حمله باج افزاری قرار گرفته اند، اما هنوز هزینه ای پرداخت نکرده اند.

در این دستورالعمل ها آمده است: "پس از آن، شما آزاد خواهید بود هر کجا که خواستید با آنها ارتباط برقرار کنید".

همانطور که توسط برخی از متخصصان، به ویژه Intel471 اعلام شده است، برخی از اعضای اصلی DarkSide نیز با باند REvil گره خورده اند. جای تعجب نیست که برخی از متن های جزئیات پیام توسط DarkSide ظاهراً توسط یکی از رهبران پلتفرم سرویس باج افزار REvil نوشته شده است.

به گفته برایان کربس، نماینده REvil گفته است که برنامه آن ایجاد محدودیت های جدید در سازمان هایی است که شرکت های وابسته آنها می توانند هدف حملات باج افزاری واقع شوند؛ و از این پس حمله به "بخش اجتماعی" (که به عنوان موسسات بهداشتی و آموزشی تعریف شده است) و سازمانها در "بخش دولت" (ایالت) هر کشور ممنوع است. همکاران وابسته نیز قبل از آلوده کردن قربانیان ملزم به دریافت تأییدیه می شوند.

در زمان انتشار این مقاله، هنوز مشخص نبود که چه کسی وب سایت Darkside را مجبور به قطع ارتباط وب کرده و چه کسی پشت تخلیه حساب رمزنگاری شده آنها است.

پاول دورف مؤسس تلگرام نسبت به گزارش کسپرسکی درباره وجود آسیب پذیری در نسخه دسکتاپ تلگرام واکنش نشان داده است. او در کانال تلگرامی خود ادعا کرد این یک شکاف امنیتی واقعی در تلگرام دسکتاپ نیست.

او در ادامه نوشت: هیچکس نمی تواند از راه دور رایانه یا تلگرام شما را کنترل کند مگر آنکه یک فایل حاوی بدافزار را باز کرده باشید. این شکاف امنیتی یک نوع مهندسی اجتماعی است.

در حقیقت این یک فایل js در قالب فایل png پنهان شده و تنها درصورتی فعال می شود که کاربر روی گزینه Run کلیک کند. بنابراین اگر فایل بدافزاری را باز نکرده باشید، رایانه شما کاملاً ایمن است.

این در حالی است که طبق گزارش کسپرسکی در ماه اکتبر هکرها با ترغیب کاربران به دانلود یک بدافزار از توان سیستم کاربر برای استخراج ارزهای مجاز استفاده می کردند. تلگرام این مشکل را در ماه نوامبر حل کرد.

باج‌افزار تمام داده‌ها را برروی رایانه یا دستگاه تلفن همراه رمزگذاری کرده و دسترسی مالک آنها را به این داده‌ها مسدود می‌کند.

سازندگان باج‌افزار، کاربران خانگی، کسب‌وکارها و نهادهای دولتی را مورد هجوم قرار می‌دهند و دلیل این هجوم می‌تواند عدم پشتیبان‌گیری داده‌ها، کمبود دانش امنیتی آنلاین، به‌روز نکردن نرم‌افزارها در کابران خانگی، آسیب‌پذیری سیستم‌های کامپیوتری در کسب‌وکارها و مدیریت پایگاه‌های اطلاعاتی عظیم شخصی و محرمانه توسط نهادهای دولتی باشد. باج‌افزار یک نوع نرم‌افزار مخرب (بدافزار) است که تمام داده‌ها را برروی رایانه یا دستگاه تلفن همراه رمزگذاری کرده و دسترسی مالک آنها را به این داده‌ها مسدود می‌کند. هنگامی که این آلوگی اتفاق می‌افتد، قربانی پیامی دریافت می‌کند که در آن دستورالعمل‌های چگونگی پرداخت باج (معمولا در بیت‌کوین‌ها) ارائه شده است. فرآیند اخاذی اغلب شامل محدودیت‌ زمانی برای پرداخت می‌شود. پرداخت جریمه هم باید کلید رمزگشایی را به قربانی بدهد اما هیچ تضمینی وجود ندارد که این اتفاق بیفتد.
دو نوع باج‌افزار رایج وجود دارد؛ باج‌افزار رمزگذاری که شامل الگوریتم‌های رمزنگاری پیشرفته است. این برنامه برای مسدود کردن فایل‌های سیستم و تقاضای باج است و برای دسترسی قربانی به آنها، کلیدی وجود دارد که می‌تواند محتوای مسدود شده را رمزگشایی کند.
نوع دیگر باج‌افزار مسدودکننده است که قربانی را به وسیله سیستم عامل مسدود می‌کند و امکان دسترسی به دسک‌تاپ و هر برنامه یا فایلی را غیرممکن می‌سازد. پرونده‌ها در این مورد رمزگذاری نمی‌شوند، اما مهاجمان باز هم برای کامپیوتر آلوده باج‌گیری می‌کنند.
باج‌افزار دارای برخی ویژگی‌های کلیدی است که آن را از  دیگر نرم‌افزارهای مخرب مجزا می‌کند؛ از ویژگی‌های آن رمزگذاری غیرقابل شکست است. بدان معنی که شما نمی‌توانید فایل‌ها را خودتان رمزگشایی کنید. باج‌افزار می‌تواند انواع فایل‌ها، از اسناد تا تصاویر، فایل‌های صوتی و سایر مواردی که ممکن است روی رایانه باشد، رمزگذاری کند.
همچنین باج‌افزار می‌تواند نام فایل‌ها را رمزگذاری کند، بنابراین نمی‌توان فهمید کدام اطلاعات تحت تاثیر قرار گرفته‌اند. این یکی از ترفندهای مهندسی اجتماعی است که برای جلب توجه و قربانی کردن قربانیان برای پرداخت باج استفاده می‌شود.باج افزار یک افزونه متفاوت به فایل‌ها اضافه خواهد کرد و گاهی اوقات یک نوع خاصی از آسیب، باج‌افزار را سیگنال می‌کند. باج‌افزار تصویر یا پیامی را نشان می‌دهد که نشان‌دهنده رمزگذاری شدن اطلاعات شما هست و برای بازگرداندن آنها مبلغ خاصی را از شما درخواست می‌کند همچنین درخواست پرداخت در بیت‌کوین را می‌دهد، زیرا این رمزگذاری نمی‌تواند توسط محققان امنیتی سایبری یا سازمان‌های قانونی انجام می‌شود.
معمولا این باج‌گیری‌ها محدودیت زمانی دارند تا سطح دیگری از محدودیت‌ها برای این طرح اخاذی، اضافه شود. معمولا گذشت از زمان سررسید به معنای افزایش باج است، اما این می‌تواند بدین معنا باشد که اطلاعات ناقص شده یا برای همیشه از بین رفته است.باج‌افزار همچنین از مجموعه پیچیده‌ای از تکنیک‌های گریز از آنتی‌ویروس‌های سنتی استفاده و اغلب رایانه‌های آلوده به بات‌نت را جذب می‌کند، بنابراین مجرمان اینترنتی می‌توانند زیرساخت‌های خود را افزایش دهند و حملات آینده را تقویت کنند و نیز می‌تواند به دیگر رایانه‌های شخصی متصل به شبکه محلی انتشار یابد و باعث ایجاد آسیب بیشتر شود.
اما اولین باج‌افزار در سال ۱۹۸۹ ظاهر شد. این تروجان ایدز نامیده می‌شد که امروزه عملیات modus آن را خنثی می‌کند. این باج‌افزار از طریق فلاپی دیسک پخش شد. اما ظهور بیت کوین و تکامل الگوریتم‌های رمزنگاری، باعث شد که باج‌افزار از یک تهدید جزئی که در خرابکاری‌های سایبری استفاده می‌شد، به یک ماشین پول‌سازی کامل تبدیل شود.
چرا کاربران خانگی، کسب‌وکارها و نهادهای دولتی مورد هجوم قرار می‌گیرند؟ اینکه چرا سازندگان و توزیع‌کنندگان باج‌افزار، کاربران خانگی را هدف قرار می‌دهند، دلایل متعددی دارد. زیرا کاربران خانگی پشتیبان‌گیری داده‌ها را ندارند، آموزش امنیت سایبری ندیده‌اند و ممکن است روی هر چیزی کلیک کنند. کمبود دانش امنیتی آنلاین باعث می‌شود تا مهاجمان سایبری بتوانند به راحتی دسترسی به اطلاعات‌شان داشته باشند.
کاربران خانگی حتی امنیت پایه سایبری را ندارند و نرم‌افزار خود را به روز نگه نمی‌دارند، آنها موفق به سرمایه‌گذاری در راه‌حل‌های امنیت سایبری نشده‌اند و به شانس اعتقاد دارند تا آنها را امن نگه دارد. اکثر کاربران خانگی هنوز به طور انحصاری به آنتی‌ویروس اعتماد می‌کنند تا از همه تهدیدات محفاظت شوند که اغلب در تشخیص و توقف باج‌افزار ناکارآمد هستند و بخش زیادی از کاربران اینترنتی، می‌توانند قربانیان بالقوه شوند.
اما سازندگان و توزیع‌کنندگان باج‌افزار، کسب‌وکارها را نیز به دلایل متعدد هدف قرار می‌دهند. زیرا در کسب‌وکارها پول زیادی وجود دارد، مهاجمان می‌دانند که یک آلودگی موفق می‌تواند باعث اختلال در کسب‌وکار بزرگ شود و شانس آنها جهت دریافت پول افزایش می‌یابد. سیستم‌های کامپیوتری در شرکت‌ها اغلب پیچیده و مستعد آسیب‌پذیری هستند که می‌توانند از طریق وسایل فنی مورد استفاده قرار گیرند.
بر اساس اطلاعات سایت مرکز ماهر، همچنین عامل انسانی هنوز یک مسئولیت بزرگ است که می‌تواند مورد سوءاستفاده قرار گیرد اما از طریق تاکتیک‌های مهندسی اجتماعی. باج‌افزار با نفوذ به هسته کسب‌وکار، می‌تواند نه تنها کامپیوترها را بلکه سرورها و سیستم‌ها به اشتراک‌گذاری فایل مبتنی بر ابر را نیز تحت تاثیر قرار دهد و همچنین کسب‌وکارهای کوچک اغلب آماده مقابله با حملات پیشرفته سایبری نیستند.
سازندگان و توزیع‌کنندگان باج‌افزار، نهادهای دولتی را نیز هدف قرار می‌دهند. موسسات دولتی مانند ادارات دولتی، پایگاه‌های اطلاعاتی عظیم شخصی و محرمانه را مدیریت می‌کنند که مجرمان سایبری می‌توانند آنها را به فروش برسانند. کاهش بودجه و مدیریت غیرمستقیم اغلب بر بخش‌های سایبری تاثیر می‌گذارد، همچنین کارکنان برای کشف و جلوگیری از حملات سایبری آموزش ندیده‌اند (نرم‌افزارهای مخرب اغلب از تاکتیک‌های مهندسی اجتماعی برای سوءاستفاده از ناهنجارهای انسانی و ضعف‌های روحی استفاده می‌کنند).
موسسات دولتی اغلب از نرم‌افزار و تجهیزات قدیمی استفاده می‌کنند، بدان معنی که سیستم‌های کامپیوتری آنها با حفره‌های امنیتی، پیکربندی می‌شود و مورد سوءاستفاده قرار می‌گیرند. یک آلودگی موفق تاثیر زیادی بر انجام فعالیت‌های معمول دارد و باعث اختلالات زیادی می‌شود و حمله موفقیت‌آمیز به نهادهای دولتی، جنایتکاران سایبری را برای حملات بیشتر وسوسه می‌کند.

 

بدافزاری که با نام Purple Lambert معرفی شده است، توسط کسپرسکی شناسایی شد؛ این بدافزار بطور پنهانی ترافیک شبکه را رصد میکند و در پی"magic packet" در سیستم ها میگردد.

تیم تحقیق و تجزیه و تحلیل جهانی (GReAT) در آزمایشگاه کسپرسکی بدافزار جدیدی را کشف کرده است که این شرکت ادعا می کند توسط آژانس اطلاعات مرکزی آمریکا (CIA) ساخته شده است.

 

به گزارش هک رید، غول امنیت سایبری مستقر در مسکوی روسیه گفته است که این بدافزار را در "مجموعه ای از نمونه های بدافزار" متعلق به چندین گروه APT  مشاهده کرده است. این نمونه ها در فوریه 2019 به دست کسپرسکی و سایر شرکت های امنیت سایبری رسیده است.

به گفته محققان، این نمونه ها در سال 2014 جمع آوری شده و بر این اساس، احتمالاً در سال 2014 و احتمالاً تا اواخر سال 2015 از آن استفاده شده است.

 

بدافزارPurple Lambert

محققان کسپرسکی به این بدافزار لقب پرپل لمبرت داده اند. این بدافزار به قابلیت Backdoor مجهز است که به آن امکان می دهد بصورت پنهانی و غیرفعال ترافیک شبکه را رصد کرده و به دنبال "magic packet" باشد.

علاوه بر این، بدافزار ذکر شده می تواند همراه با اجرای بسته ای که از اپراتورهای خود دریافت می کند، اطلاعات بنیادی و اساسی را از سیستمی که هدف قرار گرفته است، استخراج کند.

کسپرسکی در 27 آوریل در گزارش APT Trends - Q1 2021 این جزئیات را به اشتراک گذاشته است.

 

خانواده بدافزارهایCIA، ویکیلیکس،Vault7 وLambert

اگرچه در گزارش کسپرسکی نام CIA مستقیما ذکر نشده است، اما ذکر این بدافزار در دسته بندی خانواده بدافزار لمبرت، ارتباط آن با آژانس اطلاعات مرکزی آمریکا را نشان می دهد.

اما چطور؟ در سال 2017، روزهایی که نهاد افشاگری ویکی لیکس توانایی های هک گسترده CIA را در مجموعه ای به نام Vault7 افشا کرد، شرکت امنیت سایبری سیمانتک یک پست وبلاگ در مورد بدافزاری به نام Longhorn منتشر کرد و از طرف دیگر محققان کسپرسکی همان بدافزار را از خانواده بدافزار لمبرت نام برده اند.

بعلاوه پس از تجزیه و تحلیل دقیق نمونه ها، کسپرسکی شباهت های زیادی بین بدافزار و موارد استفاده شده توسط CIA در گذشته مانند Gray Lambert شناسایی کرد و به این ترتیب آن را Purple Lambert نامگذاری نمود.

همچنین از نظر مورد استفاده قرار گرفتن این بدافزار نیز، این شرکت معتقد است هیچ مدرکی مبنی بر استفاده از بدافزار در فضای کاربری، حداقل برای چند سال اخیر وجود ندارد.

کسپرسکی نتیجه گیری کرده است که: اگرچه ما هیچ کد مشترکی با بدافزار شناخته شده دیگری پیدا نکرده ایم، اما این نمونه ها دارای نقاط مشترکی از الگوهای کدگذاری، سبک و روش هایی هستند که در بدافزارهای مختلف خانواده های لمبرت دیده شده است.