کمپین‌ها

حمله Hidden Cobra
۲۵ دی ۱۳۹۶

حمله Hidden Cobra

طبق گزارش یک منبع معتبر، HIDDEN COBRA به احتمال زیادی از سال ۲۰۱۶ از بدافزار FALLCHILL برای حمله به صنایع هوا فضا، مخابرات و موسسات مالی استفاده کرده است. FALLCHILL در واقع یک RAT است همراه با دستورات متعددی که از طریق سرور C2 (command and control) اجرای آن‌ها بر روی سیستم قربانی کنترل می‌شود. ارتباط بین سرور و بدافزار از طریق پراکسی‌های دوگانه برقرار می‌گردد. FILLCHILL عموما زمانی که قربانیان از سایت‌هایی که توسط HIDDEN COBRA آلوده شده‌اند بدون اطلاع کاربران در سیستمشان بارگذاری می‌گردد. HIDDEN COBRA از یک ابزار خارجی یا یک قطره چکان برای نصب بدافزار FALLCHILL به عنوان بدافزار-‌به عنوان-سرویس استفاده می‌کند. HIDDEN COBRA از طریق FALLCHILL می‌تواند ارتباطش را با سیستم قربانی حفظ کند.

جزئیات فنی

برای مخفی نگه داشتن ترافیک مبادله شده بین سرور C2 و سیستم قربانی از چندین پراکسی استفاده می‌شود. می‌توانید قسمتی از این ساختار را در شکل مشاهده کنید.

حمله Hidden-Cobra

جریان ارتباطی HIDDEN-COBRA

FALLCHILL از یک Transport Layer Security (TLS) تقلبی برای برقرای ارتباط استفاده می‌نماید. داده‌ها با RC4 و با کلید [۰d 06 09 2a 86 48 86 f7 0d 01 01 01 05 00 03 82] رمزگذاری می‌شوند. FALLLCHILL اطلاعات زیر را جمع‌آوری کرده و به سمت سرور C2 ارسال می‌نماید:

  • اطلاعات نسخه سیستم عامل
  • اطلاعات پردازنده
  • نام سیستم
  • آدرس IP محلی
  • ID تولید شده‌ی یکتا
  • آدرس MAC سیستم

FALLCHILL عملیات زیر را در سیستم قربانی راه‌اندازی می‌کند تا یک سری عملیات را از راه دور انجام دهد:

  • اطلاعات در رابطه با تمامی دیسک‌های نصب شده، اطلاعاتی در رابطه با نوع و فضای خالی بر روی آن‌ها
  • ساختن، شروع و پایان دادن یک روند و نخ‌ها (thread)های مرتبط با این روند.
  • دریافت و دستکاری پوشه‌ها و یا دایرکتوری آن‌ها
  • تغییر دایرکتوری یک روند و یا یک پوشه
  • پاک کردن بدافزار و به طور کل ردپای به جا مانده از بدافزار بر روی سیستم قربانی

تشخیص

متخصصان FBI پیشنهاد کرده‌اند که ترافیک شبکه را بررسی نمایید و به دنبال آدرس IPهایی که مرتبط با FALLCHILL تشخیص داده شده‌اند، باشید. ممکن است در طی بررسی logها به نشانه‌هایی از تلاش از این آدرس IPها برای حمله بیابید.

امضاهای تحت شبکه و قوانین بر مبنای میزبان

امضاهای تحت شبکه (network signitures) و قوانین تحت شبکه‌ای را برای تشخیص فعالیت‌های مخربانه‌ی HIDDEN COBRA بایستی به کار گیرید. اگر بخواهید از این امضاها و قوانین به تنهایی استفاده کنید، ممکن است نتوانید نتایج دقیق و درستی به دست آورید. این امضاها و قوانین بایستی در کنار تحلیل‌های فنی مورد استفاده قرار گیرند. این قوانین در محیط‌های آزمایشگاهی مورد بررسی قرار گرفته‌اند نه محیط‌‌های واقعی. قبل از اجرای آن‌ها در شبکه‌تان آن‌ها را در یک محیط آزمایشی که برگرفته از محیط شبکه‌تان است پیاده‌سازی نمایید.

تاثیرات

یک نفوذ موفق وب تاثیرات زیر را به جای می‌گذارد.

  • از دست رفتن دائم و یا موقت اطلاعات حساس
  • اختلال در عملکرد عادی
  • خسارات مالی برای بازگرداندن سیستم‌ها و پوشه‌ها
  • صدمات جبران‌ناپذیری به اعتبار سازمان‌ها

راهکارها

استفاده از استراتژی‎های کاهش (mitigation) از جمله :

  • استفاده از لیست سفید برای برنامه‌های کاربردی . یعنی اگر یک برنامه کاربردی در لیست سفید بود آنگاه اقدام به نصب آن نمایید.
  • سیستم عامل‌ها و نرم‌ افزارهای خود را به روز نگه دارید. نصب به موقع وصله‌ها بسیار پر اهمیت است. برنامه‌های کاربردی و سیستم عامل‌های دارای آسیب‌پذیری مقاصد جذابی برای مهاجمین به شمار می‌آیند.
  • از ضد ویروس در شبکه‌ی خود استفاده نمایید و حتما آن را به روز نگه دارید. قبل از نصب نرم افزار هم حتما آن را با ضد ویروس پویش نمایید.
  • سطح دستزسی کاربران خود را کنترل نمایید و همیشه تنها دسترسی‌های مورد نیاز را به آن‌ها بدهید. از دادن دسترسی بیش از حد نیاز کاربران به شدت خودداری نمایید. این کار باعث می‌شود تا زمانی که یک بدافزار موفق به نفوذ به سیستم این کاربر شود با دسترسی‌های آن نتواند اقدامات مخربانه‌اش را گسترش دهد.
  • بسیاری از بدافزارها از طریق ماکروهایی که به رایانامه‌ها پیوست شده‌اند منتشر می‌گردند. رکن اول این است که کاربران اجرای ماکرو را فعال ننمایند. دوم اینکه مدیران شبکه نسبت به مسدود کردن رایانامه‌هایی که از منابع مشکوک می‌آیند اقدام کنند.

آرمان داده پویان تامین کننده برترین تجهیزات و راه کار های امنیتی


تازه ترین ها