چگونه در برابر حملات آرام و مداوم دفاع کنیم؟
چگونه در برابر حملات آرام و مداوم دفاع کنیم؟
چگونه در برابر حملات آرام و مداوم دفاع کنیم؟ مدیران سطح C، دیپلمات ها و مدیران عالی رتبه فناوری اطلاعات معمولاً به اطلاعات حساس، حجم عظیمی از داده ها، امور مالی یا ترکیبی از همه این موارد دسترسی دارند و دشمنان آن را می دانند.
با پیشبینی تمام دادههای ارزشمند و حقوق دسترسی مجرمان سایبری و گروههای تهدید دائمی پیشرفته (APT) که توسط دولت حمایت میشوند، مایلند زمان و پول زیادی را برای سازماندهی حملاتی که میتوانند دستگاهها و حسابهای VIP را به خطر بیاندازند سرمایهگذاری کنند.
در این حالت درهای پشتی به ویژه خطرناک هستند زیرا معمولاً این قابلیت را دارند که فایلها را به رایانه میزبان ارسال کنند فایلها و دستورات را در آنجا اجرا کنند و فایلها و اسناد را به مهاجم بازگردانند.
یکی از آخرین نمونههای چنین حملهای دارای چندین درب پشتی پیچیده و ناشناخته به نامهای LunarWeb و LunarMail است که اخیراً توسط محققان ESET توصیف و در کنفرانس ESET World 2024 ارائه شده است . با استفاده از تکنیک های پیشرفته مبهم سازی، آنها برای جاسوسی از وزارت امور خارجه ناشناس اروپایی مستقر شدند. این حمله با اطمینان متوسط به گروه APT تورلا وابسته به روسیه نسبت داده می شود.
برای محافظت در برابر چنین حملاتی سازمان ها باید فعال باشند این نه تنها به معنای آموزش کارکنان و به کارگیری راه حل قابل اعتماد امنیت سایبری است بلکه به معنای داشتن اطلاعات جامع تهدیدات سایبری است که به آنها کمک می کند جلوتر از دشمنان بمانند.
چگونه در برابر حملات مداوم دفاع کنیم؟
بر اساس مطالعهای که در سال 2023 توسط موسسه BlackCloak و Ponemon انجام شد مدیران ارشد شرکتها به طور فزایندهای مورد هدف حملات سایبری پیچیده قرار میگیرند این موارد شامل به خطر افتادن ایمیل، باجافزار، آلودگی بدافزار، doxing ، اخاذی، جعل هویت آنلاین و حتی حملات فیزیکی مانند swatting است.
حدود 42 درصد از سازمان های مورد بررسی اظهار داشتند که مدیر ارشد آنها یا یکی از اعضای خانواده یک مدیر اجرایی در دو سال گذشته مورد حمله قرار گرفته است. مهاجمان اغلب به دنبال داده های حساس شرکت از جمله اطلاعات مالی و مالکیت معنوی بودند.
مجرمان سایبری در زمانی که اهداف آنها آسیب پذیرترین بود در خانه با عزیزانشان از حمله دریغ نکردند. در یک سوم موارد گزارششده هکرها از طریق شبکههای ناامن خانگی و اداری که در حین کار از راه دور استفاده میشوند، به مدیران اجرایی میرسند.
سازش ایمیل تجاری (BEC) یکی از پرکاربردترین تاکتیک ها در برابر افراد VIP است. معمولاً شامل یک کلاهبرداری پیچیده است که افرادی را هدف قرار می دهد که انتقال وجوه را انجام می دهند و به دنبال به خطر انداختن حساب های ایمیل تجاری قانونی از طریق مهندسی اجتماعی و/یا تکنیک های نفوذ کامپیوتری است.
بر اساس گزارش های سالانه مرکز شکایات جرایم اینترنتی FBI (IC3) ، BEC یکی از پرهزینه ترین انواع جرایم است. در سال 2023، IC3 21489 شکایت BEC با زیان تعدیل شده بیش از 2.9 میلیارد دلار دریافت کرد. تنها جرایم سرمایهگذاری (مانند طرحهای هرمی، کلاهبرداریهای سرمایهگذاری در املاک یا کلاهبرداریهای سرمایهگذاری در ارزهای دیجیتال) زیان بیشتری نسبت به BEC در آن سال به همراه داشت و 4.7 میلیارد دلار گزارش شده است که به سرقت رفته است.
جهت خرید لایسنس های خانگی با کلیک بروری خرید لایسنس نود 32 میتوانید اقدام کنید.
چگونه در برابر حملات آرام و مداوم دفاع کنیم؟
تحقیقات ESET بر روی مجموعه ابزار Lunar نشان می دهد که چگونه چنین جاسوسی با دقت ساخته شده می تواند ظاهر شود.
بردار حمله اولیه مشخص نیست، اما مولفههای مربوط به نصب و فعالیت مهاجم بازیابی شده، احتمال spearphishing با یک سند Word مخرب و سوء استفاده از یک شبکه پیکربندی نادرست و نرمافزار نظارت بر برنامه Zabbix را نشان میدهد.
هنگامی که دسترسی به دست آمد، فرآیند نصب درب پشتی دنبال می شود. این شامل رها کردن یک حباب حاوی LunarWeb یا LunarMail و همچنین راه اندازی Persistence است.
از آن نقطه به بعد استخراج داده ها می تواند آغاز شود به عنوان مثال درپشتی LunarWeb داده هایی مانند نام سریال سیستم عامل متغیرهای محیط، آداپتورهای شبکه، لیستی از فرآیندهای در حال اجرا، لیستی از خدمات یا لیستی از محصولات امنیتی نصب شده را جمع آوری می کند و آنها را به یک سرور C&C ارسال می کند.
LunarWeb با یک سرور C&C با استفاده از HTTP(S) که در زیر آن یک پروتکل باینری سفارشی با محتوای رمزگذاری شده است، ارتباط برقرار می کند. محققان ESET فقط LunarWeb را بر روی سرورها و نه ایستگاه های کاری کاربر پیدا کردند.
LunarMail مشابه است، اما به جای HTTP(S) از پیام های ایمیل برای ارتباط با سرور C&C خود استفاده می کند. این درپشتی برای استقرار در ایستگاه های کاری کاربر طراحی شده است، نه سرورها – زیرا پایدار است و در نظر گرفته شده است که به عنوان یک افزونه Outlook اجرا شود.
برای خرید لایسنس های اورجینال که از سرور اصلی آپدیت میشوند میتوانید با کلیک برروی
زیر رادار ماندن
گروه APT همچنین چندین ترفند در آستین خود دارد تا فعالیت های مخرب درهای پشتی مستقر شده را پنهان کند.
لودر از RC4، یک رمز متقارن کلید، برای رمزگشایی مسیر به لکه استفاده می کند و محموله های رمزگذاری شده را از آن می خواند.
همچنین یک کلید رمزگشایی مشتق شده از نام دامنه DNS ایجاد می کند که آن را تأیید می کند. استفاده از رمزگشایی نام دامنه DNS به این معنی است که لودر فقط در سازمان هدف به درستی اجرا می شود، که اگر نام دامنه مشخص نباشد ممکن است مانع از تجزیه و تحلیل شود.
LunarWeb تلاش های اولیه برای تماس با سرور C&C را محدود می کند، طول عمر درب پشتی را ارزیابی می کند و دسترسی به سرور C&C را بررسی می کند. اگر هر یک از شرایط ایمنی ناموفق باشد، LunarWeb خود حذف میشود و فایلهای آن از جمله لودر و حباب را حذف میکند.
LunarWeb برای مخفی کردن ارتباطات C&C خود، جعل ترافیکی با ظاهر مشروع، جعل سرصفحه های HTTP با دامنه های واقعی و ویژگی های معمولی است. نمونه های قابل توجه جعل هویت عبارتند از خدمات ویندوز (Teredo، Windows Update) و به روز رسانی محصولات ESET.
هر دو LunarWeb و LunarMail می توانند دستورات پنهان در تصاویر را دریافت کنند.
برای استخراج داده های دزدیده شده، LunarMail آنها را در یک تصویر PNG یا سند PDF قرار می دهد. برای فایلهای PNG، از الگوی مطابق با آرم مؤسسه در معرض خطر استفاده میشود.
LunarMail پیام های ایمیل استفاده شده برای ارتباطات C&C را حذف می کند.
هر دو LunarWeb و LunarMail می توانند خود را حذف نصب کنند.
اگر شما هم جزو افرادی هستید که قصد محافظت از سیستم خود دارید میتوانید با کلیک برروی خرید لایسنس اورجینال دو کاربره اقدام کنید.
چگونه از افراد VIP محافظت کنیم؟
به عنوان اهداف با اولویت بالا، افراد VIP باید هم در محیط های اداری و هم در خانه از حفاظت با اولویت بالا برخوردار باشند.
آنها و بقیه کارکنان را آموزش دهید – فناوری به تنهایی نمی تواند به طور کامل از یک سازمان محافظت کند، و عنصر انسانی همیشه نقش خواهد داشت. تنها 9 درصد از متخصصان امنیت سایبری شرکت کننده در نظرسنجی Ponemon بسیار مطمئن بودند که مدیر عامل یا مدیران اجرایی آنها می دانند چگونه از رایانه شخصی خود در برابر ویروس ها محافظت کنند و تنها 22 درصد در مورد ایمن سازی ایمیل های شخصی به آنها اعتماد داشتند.
کار از راه دور آنها را ایمن کنید – از آنجا که بسیاری از VIP ها در محیط خانه خود هدف قرار می گیرند، لازم است دستگاه های شرکتی، دستگاه های شخصی مورد استفاده برای کار و شبکه های خانگی آنها را ایمن کنید. این شامل استفاده از گذرواژهها یا عبارتهای عبور قوی، 2FA، بهروزرسانی منظم، وصله و پشتیبانگیری از دادهها است.
رویکرد اعتماد صفر را اتخاذ کنید – اقداماتی را برای غربالگری موثر تک تک نقاط دسترسی، هم کارمند و هم دستگاه – داخلی و خارجی انجام دهید. طبیعتاً مدیران عامل و مدیران عالی رتبه برای انجام وظایف خود نیاز به دسترسی زیادی دارند، اما لازم نیست که نامحدود باشد . ارزیابی کنید که آنها واقعاً به چه میزان امتیاز برای محافظت از داده های مؤسسه شما در مواردی که حساب های VIP در معرض خطر قرار می گیرند، نیاز دارند.
ایجاد امنیت سایبری قابل اعتماد – همانطور که مجموعه ابزار Lunar نشان می دهد، تهدیدات سایبری فعلی بالاتر از آستانه امنیتی فایروال های سنتی عمل می کنند و باید اقدامات امنیتی پیچیده تری اتخاذ شود. حفاظت از مقامات سطح C باید شامل امنیت چند لایه و دفاع پیشگیرانه با بهره مندی از اطلاعات تهدیدات سایبری باشد.
برای دریافت لایسنس تک کاربره محافظ و ایمین با کلیک برروی لایسنس اروجینال تک کاربره اقدام به خرید کنید.
ESET Threat گروههای APT مانند Turla را نظارت میکند و تاکتیکها، تکنیکها و رویههای آنها (TTP) را مشاهده میکند تا به سازمانها کمک کند برای ترفندهای جدید APT آماده شوند و همچنین انگیزههای آنها را درک کنند. به لطف گزارشهای جامع ESET و فیدهای مدیریتشده، سازمانها میتوانند تهدیدات را پیشبینی کنند و تصمیمهای سریعتر و بهتری بگیرند.
VIP ها جوایز ارزشمندی برای مجرمان سایبری و APT هستند، چه به خاطر منافع مالی و چه به دلایل سیاسی. بنابراین آنها اغلب بزرگترین اسلحههای خود را برای به خطر انداختن حسابها و دستگاههای هدف میآورند.
این بدان معناست که سازمان ها باید فرهنگ آگاهی را در بین کارکنان خود ایجاد کنند و از دستگاه های خود با آخرین فناوری محافظت کنند. راه حل ها و خدمات ESET می توانند در این زمینه کمک کنند.
دیدگاه خود را ثبت کنید
تمایل دارید در گفتگوها شرکت کنید؟در گفتگو ها شرکت کنید.