پس از نیمه شب (Aftermidnight) و قاتل (Assassin)
باید در انتظار گونه‌های جدیدتر و خطرناک‌تری از بدافزارها باشیم؟
در چند روز گذشته دنیای امنیت و به ویژه فضای سایبری تحت تاثیر یکی از خطرناک‌ترین باج‌افزارهای ممکن قرار گرفت. باج‌افزاری که ضمن قفل کردن فایل‌های کاربران این پتانسیل را داشت تا همانند یک کرم اینترنتی رفتار کرده و خود را تکثیر کند. اما اسنادی که به تازگی منتشر شده‌اند حکایت از این موضوع دارند که در آینده نزدیک ممکن است با گونه‌های دیگری از بدافزارها روبرو شویم.

1606683296_1_0.gif

در حالی که سوییچ مرگ موفق شد، در یک بازه زمانی کوتاه مانع آلوده شدن کاربران شود، اما این پتانسیل را نداشت تا از گسترش این باج‌افزار ممانعت به عمل آورده و مهم‌تر از آن موفق نشد دامنه فعالیت‌های مخرب این باج‌افزار را به‌طور کامل متوقف کند. هکرها با یک تغییر نام ساده دامنه موفق شدند یکبار دیگر فعالیت خود را از سر گرفته و بر پایه جدیدترین گزارش نزدیک به 200 هزار سامانه کامپیوتری را در 150 کشور جهان آلوده سازند. حال تصور کنید از این تعداد سامانه آلوده تنها یک سوم از آن‌ها حاضر شوند باج مربوطه را پرداخت کنند. سود به دست آمده انگیزه لازم را در اختیار هکرها قرار می‌دهد تا به شکل جدی‌تری به کار خود ادامه دهند.

اما به تازگی جزییات مربوط به دو ابزار نفوذ قدرتمند از سوی یک مرکز افشاکننده اسناد به‌طور عمومی منتشر شده است. ابزارهایی که آژانس‌های دولتی ایالات متحده برای نفوذ به سامانه‌های کامپیوتری ویندوزی از آن‌ها استفاده می‌کردند. این دو ابزار به نام‌های پس از نیمه شب (Aftermidnight) و قاتل (Assassin) به منظور نفوذ به سیستم‌عامل ویندوز مورد استفاده قرار می‌گرفتند. ابزار اول AfterMidnight به شکل یک فایل Dll مورد استفاده قرار می‌گیرد و همانند یکی از سرویس‌های سیستم‌عامل ویندوز روی سامانه قربانی اجرا می‌شود. این سرویس مجهز به بار داده‌ای موسوم به Gremlins است که قادر است به شکل پنهانی داده‌ها را از سیستم قربانی استخراج کرده، قابلیت‌های سرویس موردنظر را غیرفعال کرده و سرویس‌های داخلی دیگری را برای بارداده Gremlins پیکربندی کند. هکرها از طریق بارداده دیگری موسوم به AlphaGremlin این توانایی را دارند تا برای سرویس Aftermidnight یک زمان‌بندی را تعیین کرده تا در زمان مشخصی فعالیت‌های موردنظر را روی سامانه قربانی اجرا کند.

ابزار دوم موسوم به Assassin از رویکرد مشابهی استفاده می‌کند و به هکرها اجازه می‌دهد روی سامانه قربانی وظایف مختلفی را اجرا کنند. از جمله این وظایف مخرب می‌توان به دانلود و اجرای فایل‌های اجرایی، جمع‌آوری گزارشی از فعالیت‌های انجام شده و حذف فایل‌های اجرایی اشاره کرد. هر دو ابزار فوق دستورات مورد نظر خود را از سرورهای کنترل و فرمان‌دهی دریافت می‌کنند. اما جزییات منتشر شده محدود به دو ابزار فوق نمی‌شود. اکنون هکرها به جزییاتی در ارتباط با حمله مرد میانی در سطح شبکه‌های LAN، نفوذ به تلویزیون‌های هوشمند، تکنیک‌هایی که مانع از شناسایی دقیق محل هکرها شده و ابزارهایی که برای تولید بدافزارهای خاص مورد استفاده قرار می‌گیرند دسترسی دارند.

مطلب پیشنهادی

ایسوس آسیب‌پذیری‌های بحرانی در مسیریاب‌های خود را وصله کرد

 در حالی که در اسناد منتشر شده جزییات کاملا دقیق و ریز به تصویر کشیده نشده‌اند، با این وجود باج‌افزار WannaCry نشان داد که هکرها با کوچک‌ترین اشاره‌ای قادر هستند از این ابزارها استفاده کنند. ابزارهایی که عمدتا بر پایه آسیب‌پذیری‌های موجود در سیستم‌عامل ویندوز مورد استفاده قرار می‌گیرند. اگر جزییات مربوط به رخنه‌هایی که از سوی آژانس‌های دولتی مورد استفاده قرار می‌گیرند، به صورت آنلاین منتشر شوند، آن‌گاه پیامدهای مخرب سنگینی بر جای خواهند گذاشت که باج‌افزار گریه نمونه‌ای از این موارد است.

مطلب پیشنهادی

غارت ارزهای مجازی با بات‌نت
استخراج ارز مجازی توسط Bondnet

سیسکو نیز یک آسیب‌پذیری بحرانی را در سوییچ‌های خود وصله کرد

در همین ارتباط شرکت سیسکو نیز موفق شد یک آسیب‌پذیری بحرانی را در سوییچ‌های خود ترمیم کند. این آسیب‌پذیری نیز از سوی آژانس‌های دولتی مورد استفاده قرار می‌گرفت. در حالی که نزدیک به دو ماه پیش (مارس) شرکت سیسکو در ارتباط با این آسیب‌پذیری به مشتریان خود هشدار داده بود، اما این شرکت به تازگی آسیب‌پذیری فوق را ترمیم کرده است. آسیب‌پذیری موجود روی سوییچ‌های سیسکو به هکرها اجازه می‌داد از راه دور به شبکه‌ها نفود کنند. هکرها از طریق یک ارتباط Telnet قادر بودند با دستگاه آسیب‌پذیر ارتباط برقرار کرده و در ادامه دستور مبتنی بر پروتکل مدیریت خوشه (CMP)  را روی آن اجرا کنند. این آسیب‌پذیری به هکرها اجازه می‌داد کنترل دستگاه را به دست آورده و آن‌را راه‌اندازی مجدد کنند. شرکت سیسکو در بیانیه‌ای گفته است که به این آسیب‌پذیری از یک تا ده نمره 9.8 را می‌دهد.  شرکت سیسکو به مدیران شبکه‌ها توصیه کرده است سرویس Telnet را غیر فعال کنند. 

 

ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را می‌توانید از کتابخانه‌های عمومی سراسر کشور و نیز از دکه‌های روزنامه‌فروشی تهیه نمائید.

ثبت اشتراک نسخه کاغذی ماهنامه شبکه     
ثبت اشتراک نسخه آنلاین

 

کتاب الکترونیک +Network راهنمای شبکه‌ها

  • برای دانلود تنها کتاب کامل ترجمه فارسی +Network  اینجا  کلیک کنید.

کتاب الکترونیک دوره مقدماتی آموزش پایتون

  • اگر قصد یادگیری برنامه‌نویسی را دارید ولی هیچ پیش‌زمینه‌ای ندارید اینجا کلیک کنید.

ایسوس

نظر شما چیست؟