رونمایی بانک مرکزی هند و شرکت تکنولوژی های کوییک هیل از پلتفرم IB-Cart 3.0
این پلتفرم مبتنی بر نسل آینده فیدهای هوش متنی (Contextual Intelligence Feeds) می باشد که کنترلهای امنیتی پیشرفته و موارد استفاده گسترده را برای بخش بانکی ارائه میکند.
توسط کوییک هیل کشف شد:
شناسایی حملات هدفمند هکرهای پاکستانی به دولت هند در طول انتخابات عمومی
گروه هکری پاکستانی SideCopy 3 اخیرا با استفاده از تروجان ها ۳ کمپین تهاجمی راه اندازی کرده است
در حالی که هند برای آخرین مرحله انتخابات آماده می شود، کارشناسان امنیت سایبری حملات سایبری را از آن سوی مرزها کشف کرده اند که دولت ها و نهادهای نظامی مهم هند را هدف قرار می دهند.
حاکمیت امنیت سایبری: تعبیه امنیت سایبری در فرهنگ شرکت
مجموعه A تا Z امنیت سایبری امروزه به بررسی حکمرانی میپردازد – هنر ادغام امنیت سایبری در ساختار سازمان شما.
کوییک هیل توتال سکیوریتی موفق به دریافت دو جایزه مهم بهترن محصول امنیتی ۲۰۲۴ (Product of the Year 2024) برای ارائه محافظت جامع و جایزه سریع ترین زمان اصلاح بدافزار (TOP Remediation Time) برای پاسخ و ترمیم سریع آلودگی های بدافزاری شد.
لحظه تاریخی فرود ماهنورد هندیها بر روی ماه
کاوشگر Chandrayaan-۳ ساخت کشور هند با موفقیت بهروی کره ماه فرود آمد.
سازمان پژوهشگاه هوا فضای هند (ISRO) در یک جهش عظیم برای سفر اکتشاف فضایی هند، با فرود موفقیت آمیز Chandrayaan 3 بر روی کره ماه توجه جهان را به خود جلب کرده است. اوج برنامه ریزی دقیق، فداکاری، و توان علمی، این دستاورد نقطه عطف مهمی نه تنها برای ISRO بلکه برای کل کشور است. آژانس فضایی هند تعهدی تزلزل ناپذیر به شکستن مرزهای فناوری و اکتشافات نشان داده است.
لحظه تاریخی فرود ماهنورد هندیها بر روی ماه با امنیت سایبری کوییک هیل
با این فناوری، زیرساخت فناوری اطلاعات و نرم افزار مورد نیاز برای دستیابی به این جهش عظیم، ارزیابی این ماموریت ها از منظر امنیت سایبری بسیار مهم است. فضا ممکن است “مرز نهایی” برای اکتشاف باشد، اما برای بهره برداری نیز آماده است و به ویژه در معرض طیف وسیعی از آسیب پذیری ها و تهدیدات سایبری است.
بیایید نیاز حیاتی به امنیت سایبری در حفاظت از ماموریت های پیشرفته مانند این را درک کنیم.
نقش امنیت سایبری در ماموریت های ISRO
امنیت سایبری یک نیاز کاربردی در عملیات فضایی است. چالش ها به دلیل مقیاس، فاصله، و بحرانی بودن عملکرد سیستم ها و تجهیزات به وجود می آیند. در اینجا آمده است که چگونه نقش مهمی را برای ISRO ایفا کرد:
حفاظت از داده های حساس:
پژوهشگاه هوافضای هند با دادههای حساس گسترده، از برنامههای ماموریت، نقشه های طراحی ماهواره و یافتههای تحقیقاتی گرفته تا اطلاعات فنی حیاتی سروکار دارد. اطمینان از محرمانه بودن، یکپارچگی و در دسترس بودن این داده ها برای جلوگیری از نقض داده ها، جاسوسی و سرقت مالکیت های معنوی ضروری است.
حفاظت از فضاپیماها و ماهواره ها:
فضاپیماها، ماهواره ها و ایستگاه های زمینی همگی اهداف بالقوه ای برای حملات سایبری هستند. نقض در سیستم های کنترل کننده این دارایی ها می تواند منجر به از دست دادن کنترل، دسترسی غیرمجاز یا حتی دستکاری مسیرهای مداری شود. اجرای پروتکل های امنیت سایبری قوی برای حفظ فرماندهی و کنترل بر دارایی های فضایی آژانس فضایی هند بسیار مهم است.
ایمن سازی شبکه های ارتباطی:
شبکه های ارتباطی، نقشی محوری در عملیات ISRO دارند و تبادل داده بین ایستگاه های زمینی، ماهواره ها و کنترل ماموریت را تسهیل می کنند. یک شبکه در معرض خطر می تواند ارتباط را مختل کند، دستورات حیاتی ماموریت را به تاخیر بیندازد، یا حتی مهاجمان را قادر به رهگیری اطلاعات حساس کند. تقویت امنیت شبکه برای اطمینان از جریان یکپارچه اطلاعات حیاتی است.
پیشگیری از سرقت مالکیت معنوی:
تحقیقات و نوآوری های پیشگامانه ISRO به میزان قابل توجهی به قدرت فناوری هند کمک می کند. دشمنان سایبری ممکن است تلاش کنند تا این دارایی های فکری را برای منافع خود بدزدند یا مزیت رقابتی ISRO را تضعیف کنند. اقدامات امنیت سایبری قوی می تواند از چنین سرقتی جلوگیری کرده و سرمایه فکری ISRO را حفظ کند.
مقابله با جاسوسی و خرابکاری:
دستاوردها و پیشرفت های ISRO آن را به یک هدف جذاب برای جاسوسی و خرابکاری های سایبری تحت حمایت دولتها تبدیل می کند. پروژهها، مشارکتها و قابلیتهای آژانس فضایی ممکن است توسط حملات سایبری با هدف اختلال در مأموریتها، سرقت اطلاعات حساس یا آسیب رساندن به اعتبار ISRO به خطر بیفتد.
حفظ امنیت ملی:
تلاشهای ISRO اغلب پیامدهایی برای امنیت ملی از جمله ارتباطات ماهوارهای، ناوبری و سیستمهای نظارتی دارد. ایمن سازی این سیستم ها در برابر تهدیدات سایبری برای موفقیت عملیاتی ISRO و حفظ منافع امنیتی کشور حیاتی است.
تضمین اعتماد و اطمینان عمومی:
دستاوردهای ISRO باعث غرور ملی و تحسین جهانی می شود. هر حادثه سایبری که بر عملیات ISRO تأثیر بگذارد، می تواند به اعتماد عمومی و بین المللی آسیب جدی بزند. نشان دادن تعهد مستحکم امنیت سایبری برای حفظ شهرت سازمان هوا فضای هند، به عنوان یک سازمان فضایی قابل اعتماد و آینده نگر حیاتی است.
SEQRITE چگونه نقش خود را در تامین امنیت این ماموریت ایفا کرد؟
سکورایت کوییک هیل عنوان شریک قدیمی امنیت سایبری سازمان هوا فضای هند، افتخار می کند با راهکارهای پیشرفته امنیت سایبری، SEQRITE EPS، از دارایی های فناوری اطلاعات و ماموریت های پیشروی آن سازمان محافظت می کند.
این راهکار برای حفاظت ۳۶۰ درجه از عملیات فضایی حیاتی به کار گرفته شده است. کنسول یکپارچه سکورایت کنترل و مشاهده کامل تمام عملکردهای ضروری را به چندین سرپرست گروه ارائه می دهد، تا نظارت، پیکربندی و مدیریت عملکردها ساده تر گردد.
از اسکنهای شناسایی گرفته تا مدیریت داراییها، سکورایت اندپوینت سکیوریتی کوییک هیل، حفاظت کامل از شبکه را برای ISRO برای مقابله با حملات پیچیده باجافزاری یا بدافزاری تضمین میکند. راه حل عملی سکورایت با بهره گیری از ویژگی های پیشرفته ای مانند برخی از وِیژگی های زیر، امنیت را در سراسر اندپوینتها، شبکه ها، دیوایس ها و… تضمین می کند:
مقیاس پذیری بالاتر و امنیت بیشتر برای همه دستگاه ها
استراتژی مدیریت وضله امنیتی (Patch) ساده و متمرکز برای بهره وری بالاتر و امنیت قوی تر
کاهش خطرات امنیتی را با قابلیت کنترل متمرکز دستگاه ها
محافظت پیشرفته نقاط پایانی با آنتی ویروس، تشخیص و مقابله با نفوذ، فایروال و موارد دیگر.
اسکن فعال برنامه های نصب شده برای شناسایی آسیب پذیری های پیش بینی نشده و کاهش نصب های غیرمجاز.
نکته کلیدی: آینده ای درخشان در گرو امنیت سایبری
آرزوهای ISRO بی حد و حصر است و به ستاره ها و فراتر از آن می رسد. با این حال، این جاه طلبی ها با نیاز اساسی به امنیت سایبری قوی پشتیبانی می شود. حفاظت از داده های حساس، ایمن سازی دارایی های فضایی، دفاع از شبکه های ارتباطی و تضمین یکپارچگی عملیاتی آژانس، به تداوم اقدامات جامع امنیت سایبری متکی است. از آنجایی که ISRO به گسترش افقهای خود و کمک به اکتشافات علمی و نوآوریهای فناوری ادامه میدهد، یک وضعیت امنیتی سایبری قوی برای موفقیت آژانس و پیشرفت مداوم تلاشهای اکتشاف فضایی هند و دیگر کشورهای پیشرو ضروری است.
مخفی کردن باج افزار در نصب کننده های پرکاربرد NSIS
مهاجمان سایبری برای گسترش انفجاری و جلوگیری از شناسایی، بدافزار خود را در نصب کننده های NSIS مخفی میکنند.
عوامل تهدید از تکنیکهای جدیدی برای پنهان کردن کدهای خود و اجتناب از شناسایی به هر شکلی استفاده میکنند. مهاجمان اکنون از یک روند جدید از طریق NSIS (سیستم نصب اسکریپتی Nullsoft) استفاده می کنند، که یک نصب کننده منبع باز است و می تواند فایلهای مختلف را با هم مجتمع کند. در گذشته، مهاجمان بدافزار از یک رمز کننده مبتنی بر NSIS برای پنهان کردن خود استفاده کرده بودند. این روال در خانوادههای بدافزار Lokibot، Ave Marie stealer، AgentTesla، Formbook و غیره مشاهده شده است. در این مطلب سعی شده بینش عمیقتری را در مورد روند جدید حملات سایبری توضیح میدهد.
تجزیه و تحلیل – LOKIBOT
اجازه دهید به هش زیر نگاه کنیم (۲D4739AB2D34EEC849D903E05E8E0EB4).
این یک فایل NSIS است که از طریق ابزار DIE قابل شناسایی است.
تصویر۱: ابزار DIE که NSIS را نشان می دهد
در هنگام استخراج فایل با استفاده از ۷zip، میتوانیم محتویات داخل پوشه را ببینیم. دارای دو محموله رمزگذاری شده و یک فایل اجرایی در داخل آن است. در هنگام اجرا، تمام فایل ها در پوشه %temp% استخراج می شوند.
تصویر۲: داخل فایل NSIS
اجازه دهید فایل اجرایی jyacil.exe (MD5: 81EC4B73F581DD36CBDBB6C695CD038C) را بررسی کنیم. این فایل با استفاده از VirtualAlloc API فضایی از حافظه را تخصیص می دهد و سپس پیلود رمزگذاری شده (botredmnra-6kb) را در فضای اختصاص داده شده کپی می کند.
تصویر ۳: حافظه اختصاص داده شده مجازی (Virtually Allocated) حاوی پی لود رمزگذاری شده
این پی لود توسط حلقه رمزگشایی زیر به کد Shell رمزگشایی می شود.
تصویر۴: حلقه رمزگشایی
جریان کد اکنون به کد shell رمزگشایی شده منتقل می شود، که مستقیماً مسئول رمزگشایی پی لود بزرگتر است.
تصویر ۵: کد پوسته رمزگشایی شده
اکنون فایل رمزگذاری شده بزرگتر از مسیر %temp% با استفاده از ReadFile API خوانده شده و در حافظه اختصاص داده شده مجازی کپی می شود. سپس فایل توسط یک حلقه رمزگشایی بزرگ رمزگشایی می شود که تکه های آن در زیر موجود است. این یک حلقه عظیم است، بنابراین فقط چند قطعه در تصویر نشان داده شده است.
تصویر ۶: حلقه رمزگشایی
شکل ۷: حلقه رمزگشایی
این رمزگشایی فایل PE دیگری را به همراه می آورد که محموله واقعی است.
تصویر ۸: پیلود
سپس تخلیه فرآیند انجام شده و پی لود واقعی بدافزار فعالیت خود را آغاز می کند. اجازه دهید روی بدافزار واقعی (md5: C6085AED2E2C782F81CCCA6B5FACA13E[کامپایلر Visual C++]) تمرکز کنیم.
بدافزار یک mutex ایجاد می کند تا مطمئن شود فقط یک نمونه در حال اجرا است. سپس یک فایل <randomname>.tmp ایجاد می کند تا تمام اطلاعات سرقت شده را ذخیره کند. این نام تصادفی توسط دو رشته منحصر به فرد موجود در فایل تشکیل شده است.
تصویر ۹: رشته های منحصر به فرد برای تشکیل نام تصادفی
آدرس اینترنتی C2 به صورت مستقیم در کد منبع به صورت رمز وارد شده است که بعدا رمزگشایی می شود.
تصویر ۱۰: آدرس URL هاردکد شده
تصویر ۱۱: آدرس C2 تشکیل شده پس از رمزگشایی
این پی لود Lokibot stealer است که اعتبارنامه ها را از نرم افزارهای زیر به سرقت برده و آنها را به آدرس اینترنتی C2 ارسال می کند:
Comodo، Maplestudio، Google Chrome، Nichrome، RockMelt، Spark، Chromium، Titanium Browser، Yandex، Torch، Mustang Browser، NetSarang، FossaMail، Postbox، MoonChild، NetGate، Total Commander، EasyFTP، FileZilla، KiTTy و غیره.
Hxxp[:]//85.202[.]169.172/goodlife/five/fre[.]php
تصویر ۱۲: رشته های مربوط به Lokibot
تجزیه و تحلیل بد افزار Ave Marie Stealer
اکنون به فایل دیگری متعلق به Ave Marie Stealer (MD5: CE488BABC73497C16CE8D2DE5ED218A7) نگاهی می اندازیم. این نیز یک فایل مبتنی بر NSIS است.
با استفاده از ۷zip، میتوانیم محتویات موجود در فایل را ببینیم:
تصویر ۱۳: داخل فایل های NSIS
در این مورد، dyhqo.exe مسئول رمزگشایی jvqnj (فایل ۸ کیلوبایتی) است و یک کد پوسته (shellcode) را تشکیل می دهد که بعداً پی لود بزرگتر gdrat8hotr11us6qz را رمزگشایی می کند که بخش اصلی بد افزار است.
در مرحله اول یک تغییر جزئی در حلقه رمزگشایی وجود دارد (باقی مانده فایل تقریباً یکسان است):
تصویر ۱۴: حلقه رمزگشایی
پس از رمزگشایی مرحله دوم، Ave Marie سارق (فایل دلفی) (MD5: E77D247BB34818C0C3352762C7DE0213) را دریافت می کند. رشته های مرتبط را می توان در شکل مشاهده کرد. این سارق از مرورگرهای مختلف مانند UCBrowser، CentBrowser، Comodo، Chromium، Blisk، Microsoft Edge و غیره، کلیدهای فشرده شده را می گیرد و داده ها را به سرقت می برد.
تصویر ۱۵: رشته های مربوط به Ave Marie مشاهده شده در پی لود داخلی
تصویر ۱۶: آدرس C2: danseeeee.duckdns.org:2022
تجزیه و تحلیل: AGENTTESLA
اکنون اجازه دهید فایل دیگری متعلق به Formbook (MD5: 66BE80324D7937C5E17F5D4B08574145) را بررسی کنیم. این نیز یک فایل مبتنی بر NSIS است.
با استفاده از ۷zip می توانیم محتویات داخل فایل را ببینیم:
تصویر ۱۷: داخل فایل NSIS
در این مورد نیز، فایل اجرایی omrtoehch.exe مسئول رمزگشایی wygeuhclea (فایل ۶ کیلوبایتی) است و یک کد پوسته را تشکیل می دهد که بعداً پی لود بزرگتر y27ub6kcvxv73holza44 را رمزگشایی می کند که پی لود واقعی را تشکیل می دهد.
در مرحله اول یک تغییر در حلقه رمزگشایی وجود دارد (باقی مانده فایل تقریباً یکسان است). حلقه بزرگ است، بنابراین تکه هایی از کد در زیر نشان داده شده است:
تصویر ۱۸: حلقه رمزگشایی
پس از رمزگشایی مرحله دوم، یک پی لود دیگر دریافت می کنیم (Visual C MD5: D0FF8F95A6AA286D781528197255B805). در این فایل به وضوح می توان مشاهده کرد که یک فایل PE دیگر در داخل منابع (RCDATA) وجود دارد. استخراج آن نشان می دهد که چه کاری انجام می دهد (F2E113BE23813F22EAA3B82CCBE535EA).
تصویر ۱۹
این فایل یک فایل DOTNET است که توسط “Obfuscar” که یک برنامه منبع باز رمز کننده سورس .net است مبهم شده است.
تصویر ۲۰
سطح مبهم سازی کد بسیار بالاست و هر رشته در زمان اجرا رمزگشایی می شود. رشته های کدگذاری شده برجسته میشوند. همه کاراکترها در یک آرایه واحد از بایت ها ذخیره میشوند که توسط <<EMPTY_NAME>> قابل دسترسی است.
تصویر ۲۱
رمزگشایی توسط لیست فوق توسط عملیات XOR با بایت رمزگذاری شده، موقعیت آن در لیست و عدد اعشاری ۱۷۰ انجام می شود.
تصویر ۲۲
این پی لود برای دسترسی به یک رشته، تابعی را فراخوانی می کند که با دسترسی به موقعیت آن در لیست و طول آن، رشته را برمی گرداند.
پس از رمزگشایی پی لود، رشته های زیر نمایان شدند که مربوط به AgentTeslaV3 است:
\ \Account.CFN
\Account.stg
\accountrc
\accounts.xml
\Accounts\Account.rec0
\Accounts_New
\Apple Computer\Preferences\keychain.plist
\browsedata.db
\cftp\Ftplist.txt
\Claws-mail
\clawsrc
\Common Files\Apple\Apple Application Support\plutil.exe
\Comodo\IceDragon\
\CoreFTP\sites.idx
\Data\Tor\torrc
\Default\
\Default\EncryptedStorage
\Default\Login Data
\drivers\etc\hosts
\EncryptedStorage
\falkon\profiles\
\Mailbox.ini
\Microsoft\Credentials\
\Microsoft\Edge\User Data
\Microsoft\Protect\
\Moonchild Productions\Pale Moon\
\Mozilla\Firefox\
\Mozilla\icecat\
\Mozilla\SeaMonkey\
\NETGATE Technologies\BlackHawk\
\OpenVPN\config\
\Opera Mail\Opera Mail\wand.dat
\passwordstorerc
ناقل آلودگی
همه این فایل ها دارای زنجیره آلودگی زیر هستند:
EMAIL >> DOCUMENT/XLS/CAB/RAR >> NSIS Installers
تصویر ۲۲: ایمیل حاوی پیوست XLSX
کوییک هیل چگونه از خود محافظت می کند؟
نتیجه:
مشاهده شده مهاجمان در نحوه استقرار کدهای مخرب از طریق نصبکنندههای NSIS تغییراتی ایجاد کرده اند. آنالیزهای فوق نشان که چگونه سارقان سایبری از بارگذارنده های مبتنی بر NSIS استفاده میکنند. همه این بارگذارنده ها دارای یک اسکریپت هستند که کد مخرب در آن جاسازی شده می باشند که فایل exe با نام تصادفی رمزگذاری شده (اندازه کوچک) اجرا می شود. فایل اجرایی exe پی لود رمزگذاری شده کوچکتر را خوانده و رمزگشایی میکند. سپس کد پوسته رمزگشایی شده، فایل بزرگتر دارای نام تصادفی را رمزگشایی کرده و بدافزار واقعی را تشکیل میدهد.
بنابراین، کاربران باید از نصبکنندههای NSIS که ممکن است این روزها حاوی باج افزار و سارقان سایبری باشند، آگاه باشند.
مشروح خبر در:https://blogs.quickheal.com/are-malware-operators-using-nsis-installers-to-bombard-stealers-and-avoid-detection/
تهیه شده در شرکت فناوری ارتباطات و اطلاعات فانوس
آخرین نسخه LockBit 3.0 زیرساخت های انرژی هند را مورد حمله قرار داد.
پس از منحل شدن گروه بدنام باج افزاری Conti، اعضای سابق آن شروع به هدف قرار دادن بخش های انرژی و نیرو با یک باج افزار ناشناخته جدید کردند. اطلاعات به دست آمده توسط پژوهشگران شرکت تکنولوژی های کوییک هیل -که از قبل بخش انرژی و نیرو را به عنوان بخشی مستعد حملات سایبری شناسایی کرده بودند و سطح هشدار آن را افزایش داده بودند- حاکی از این حملات پیشرفته است. نظارت فعالانه پژوهشگران موجب شد بلافاصله پس از شناسایی در یکی از سازمانهای بخش انرژی که مورد حمله قرار گرفت، این حملات شناسایی و آنالیز گردد. بررسی و آنالیز محققان نشان داد که نوع جدید باجافزار LockBit 3.0 باعث این آلودگی شده است. همین امسال این گروه خرابکار، ادعای تسلط بر دیگر گروه های باج افزاری را داشته است.
تصویر۱ – یادداشت باج افزار
سازمانی که بار اصلی این حمله باجافزار را متحمل شد، دارای کلاینت در مکانهای مختلف بود که با یکدیگر و سرور در یک توپولوژی Mesh به صورت توزیع شده با هم در ارتباط بودند. گزارشهای سیستمهای متعدد و تلهمتری، مشخص کرد که از ابزار Windows Sys-Internal PSEXEC موجود در یک سیستم محافظتنشده برای اجرای payload باجافزار (Lock.exe) در تمام سیستمها برای اقدامات بعدی استفاده شده است. نکته قابل توجه این بود که فقط درایوهای به اشتراک گذاشته شده رمزگذاری شده بودند.
دسترسی اولیه از طریق تکنیکهای جستجوی فراگیر که در آن از چندین نام کاربری استفاده میشد، به دست آمد. رمزگذاری با برچسب زمانی اوایل صبح ۲۷-ژوئن-۲۰۲۲ صورت پذیرفت. فعالیتهایی برای مخدوش کردن بررسی های جرم شناسانه (forensic) نیز مشاهده شده که گزارشهای رویداد را حذف کرده، چندین پراسس را از بین برده و سرویسها را به طور همزمان حذف می کرد.
تجزیه و تحلیل اولیه
دقیقا یک هفته قبل از رمزگذاری برای اولین بار مشاهده شد که سرویس PSEXESVC نصب شده و رمزگذاری اتصالات SMB برقرار شد. فایل های مخرب BAT توسط همان سرویس فقط در یک کلاینت اجرا شدند:
C:\Windows\system32\cmd.exe /c “”openrdp.bat” ”
C:\Windows\system32\cmd.exe /c “”mimon.bat” ”
C:\Windows\system32\cmd.exe /c “”auth.bat” ”
C:\Windows\system32\cmd.exe /c “”turnoff.bat” ”
سرویس PSEXESVC پیلود باجافزار را که باید یک کلید معتبر به همراه گزینه خط فرمان “-pass” ارسال کند را اجرا می کند. فایل های رمزگذاری شده با پسوند .zbzdbs59d تولید می شوند که نشان می دهد تولید تصادفی با هر بار بارگذاری انجام می شود.
انجین آنتی ویروس و ماژول رفتارشناسی بلادرنگ راه دور کوییک هیل نشان می دهد که پیلود باج افزار (Lock.exe) در چندین مکان در یک روز شناسایی شده است. این نشان می دهد که payload به همه این سیستم ها ارسال شده است اما توسط آنتی ویروس شناسایی شده است.
آنالیز payload
تمام بخشهای موجود در پیلود رمزگذاری شدهاند، که فقط با دور زدن کلید رمزگشایی به عنوان پارامتر خط فرمان “-pass” قابل رمزگشایی هستند. کلید به دست آمده برای این نمونه: ۶۰c14e91dc3375e4523be5067ed3b111
کلید برای رمزگشایی بخش های خاصی از حافظه که با پیمایش PEB به دست میآید و بعداً بخش های رمزگشایی شده را فراخوانی می کند، مودر پردازش قرار می گیرد.
تصویر۲ – بخش های رمزگشایی
با رمزگشایی رشته مبهم شده با عملگر XOR و با استفاده از کلید ۰x3A013FD5 ، تعدادی از API های Win32 و چند وارد شده دیگر که بسته بندی شده بود رمزگشایی شدند.
تصویر۳ – Resolve کردن APIهای Win32
افزایش سطح دسترسی
هنگامی که سطح دسترسی Admin در حین اجرا وجود نداشته باشد، از CMSTPLUA COM برای دور زدن UAC استفاده میکند تا امتیازات را با نمونه دیگری از پیلود باجافزار افزایش داده و پراسس فعلی را خاتمه دهد.
تصویر۴ – دور زدن UAC
حذف سرویس و خاتمه پراسس
پراسس های خاتمه یافته شامل SecurityHealthSystray.exe و انحصار متقابل ایجاد شده در حین اجرا ۱۳fd9a89b0eede26272934728b390e06 می باشد. با استفاده از یک لیست از پیش تعریف شده، سرویسهای نصب شده بررسی شده و در صورت یافتن در سیستم حذف می شوند:
تکنیک ضد اشکال زدایی
نخ های مورد استفاده برای رمزگذاری فایل با استفاده از تابع NtSetInformationThread با مقدار غیرمستند (ThreadHideFromDebugger = 0x11) برای پارامتر ThreadInformationClass از دیباگر پنهان می شوند.
تصویر۵ – تکنیک NtSetInformationThread
رمزگذاری فایل
پیش از شروع رمزگذاری فایل، بدافزار با ایجاد و نوشتن یک آیکن در یک فایل تصویری در آدرس C:\ProgramData با نام zbzdbs59d.ico، آنرا به فایل های رمزگذاری شده مرتبط می کند. فایلها با ایجاد نخ های متعدد رمزگذاری شده و نام هر فایل با یک رشته تصادفی تولیدی و یک پسوند ثابت تعیین می گردد.
تصویر۶ – نام فایل های رمزگذاری شده
فایل یادداشت باج با عنوان “zbzdbs59d.README.txt” در هر مسیر به جز Program Files و دایرکتوری Windows که رمزگذاری نشده اند ایجاد می شود. فایل توضیحات شامل دستورالعملهایی برای نصب مرورگر TOR، لینک چت به همراه شناسه شخصی می باشد و طبق معمول با هشدارهایی پایان مییابد. پس زمینه ویندوز رایانه قربانی با نام LockBit Black تغییر یافته و دستورالعمل هایی را که باید دنبال شود ذکر می شود:
تصویر۷ – تصویر زمینه اصلاح شده
فعالیت ضد جرم شناسی
باجافزار بهعنوان بخشی از پاک کردن ردپای خود، با تنظیم چندین کلید فرعی رجیستری با مقدار صفر، گزارش رویدادهای ویندوز را غیرفعال کرد.
وظایف ویندوز خاتمه داده شده:
| IBM* | PrnHtml.exe* | DriveLock.exe* | MacriumService.exe* |
| sql* | PAGEANT.EXE* | CodeMeter.exe* | ReflectMonitor.exe* |
| vee* | firefox.exe* | DPMClient.exe* | Atenet.Service.exe* |
| sage* | ngctw32.exe* | ftpdaemon.exe* | account_server.exe* |
| mysql* | omtsreco.exe | mysqld-nt.exe* | policy_manager.exe* |
| bes10* | nvwmi64.exe* | sqlwriter.exe* | update_service.exe* |
| black* | Tomcat9.exe* | Launchpad.exe* | BmsPonAlarmTL1.exe* |
| postg* | msmdsrv.exe* | MsDtsSrvr.exe* | check_mk_agent.exe* |
حذف نسخه های پشتیبانی Shadow Volume
حذف همه اتصال های فعال شبکه
فهرست جامع همه وقایع نگارها
فعالیت های رجیستری
reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System” /v legalnoticecaption /t REG_SZ /d “ATTENTION to representatives!!!! Read before you log on” /f
reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System” /v legalnoticetext /t REG_SZ /d “Your system has been tested for security and unfortunately your system was vulnerable. We specialize in file encryption and industrial (economic or corporate) espionage. We don’t care about your files or what you do, nothing personal – it’s just business. We recommend contacting us as your confidential files have been stolen and will be sold to interested parties unless you pay to remove them from our clouds and auction, or decrypt your files. Follow the instructions in your system” /f
reg add “HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server” /v fDenyTSConnections /t REG_DWORD /d 0 /f
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA /v RunAsPPL /t REG_DWORD /d 0 /f
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
نتیجه گیری
سیستمهای محافظتنشده در شبکه با استفاده از تکنیک جستجوی فراگیر (brute-force) ابزار PSEXEC را در همه سیستمها اجرا می کنند تا payload باجافزار برای اقدامات بعدی باج افزار فعال شود. با معرفی برنامه پاداش باگ برای LockBit 3.0 و اتخاذ تاکتیکهای جدید اخاذی، لازم است اقدامات احتیاطی مانند دانلود برنامهها فقط از منابع مورد اعتماد، استفاده از آنتیویروس اوریجینال و به روز برای محافظت بیشتر، و اجتناب از کلیک کردن بر روی پیوندهای دریافتی از طریق ایمیل یا پلتفرمهای رسانههای اجتماعی صورت پذیرد.
IOC ها
| شناسایی | MD5 |
| Ransom.Lockbit3.S28401281
HEUR:Ransom.Win32.InP |
۷E37F198C71A81AF5384C480520EE36E |
IPها
۳٫۲۲۰٫۵۷٫۲۲۴
۷۲٫۲۶٫۲۱۸٫۸۶
۷۱٫۶٫۲۳۲٫۶
۱۷۲٫۱۶٫۱۱۶٫۱۴
۷۸٫۱۵۳٫۱۹۹٫۲۴۱
۷۲٫۲۶٫۲۱۸٫۸۶
۵٫۲۳۳٫۱۹۴٫۲۲۲
۲۷٫۱۴۷٫۱۵۵٫۲۷
۱۹۲٫۱۶۸٫۱۰٫۵۴
۸۷٫۲۵۱٫۶۷٫۶۵
۷۱٫۶٫۲۳۲٫
۶۴٫۶۲٫۱۹۷٫۱۸۲
۴۳٫۲۴۱٫۲۵٫۶
۳۱٫۴۳٫۱۸۵٫۹
۱۹۴٫۲۶٫۲۹٫۱۱۳
Jumpsecuritybusiness[.]com
مشروح خبر در: https://www.seqrite.com/blog/indian-power-sector-targeted-with-latest-lockbit-3-0-variant/
تهیه شده در شرکت فناوری ارتباطات و اطلاعات فانوس
✅ بخش بهداشت و درمان برای جلوگیری از حملات سایبری نیاز به بازبینی امنیت سایبری داخلی خود دارند
🔸سال ۲۰۲۰ سالی بود که شرکت های داروسازی و درمانی در کانون توجه قرار گرفتند. همه گیری بی سابقه کرونا، در زمان بستن دفاتر و کسب و کارها و تأثیرگذاری گسترده بر زندگی در سراسر جهان، در نهایت ختم به یک اتفاق بزرگ در رونمایی از یک واکسن بالقوه شد. با تحقیقات و پژوهشهای فراوان، توجه جهان به سمت شرکتهای داروسازی و درمانی سوق داده شد ، که نقش اساسی در تولید، بسته بندی و توزیع این واکسن به شدت موردتقاضا دارند.
🔹 در Seqrite کوییک هیل، ما این را در اوایل شروع همه گیری یادآوری کرده بودیم و در ماه مه تجزیه و تحلیل کردیم که چگونه صنعت داروسازی از نظر امنیت سایبری با یک چالش منحصر به فرد روبرو است – چگونه نیروهای کار از راه دور در این صنعت می توانند در حالی که از نظر دیجیتالی ایمن هستند کار کنند؟ در مقاله ای که در سال ۲۰۱۹ منتشر شد ، چالشهای اساسی برای صنعت بزرگ بهداشت و درمان که مورد تجزیه و تحلیل قرار گرفت تهدیدهای ناشی از حملات سایبری از جمله باج افزاری پررنگ نشان داده شد.
حملات اخیر سایبری به شرکت های داروسازی
🔸 چند هفته گذشته ثابت شد که این ترس بی دلیل نبوده است. در ماه اکتبر ، دکتر ردی ، مستقر در حیدرآباد، بازیگر برجسته در صنعت داروسازی هند که اخیراً مجوز انجام آزمایشات بالینی برای واکسن Sputnik V روسیه را گرفت ، مورد حمله باج افزار قرار گرفت. چند هفته بعد ، لوپین ، یک شرکت داروسازی دیگر از بمبئی ، فاش کرد که توسط یک حمله سایبری که بر سیستم های IT آن تأثیر می گذارد ، مورد اصابت قرار گرفته است.
🔹 این یک روند جهانی است که مهاجمان سایبری مخرب دارند که بعضی اوقات توسط دولت ها به کار گرفته می شوند و از تمرکز جهانی روی COVID-19 استفاده می کنند و به دنبال سرقت اطلاعات مهم هستند. مقامات امنیتی ایالات متحده هکرهای مرتبط با دولت چین را به هدف قرار دادن شرکت بیوتکنولوژی آمریکایی Moderna متهم کردند که روی واکسن نیز کار می کند. پروژه های واکسن ویروس کرونا ویروس ژاپن نیز مورد حملات سایبری قرار گرفته در حالی که کره جنوبی نیز گزارش داده است که آنها تلاش کره شمالی برای هک کردن شرکت های تحقیقاتی واکسن را خنثی کرده اند.
🔸 این اعداد در گزارش تهدید Seqrite برای فصل سوم ۲۰۲۰ منعکس شده است، جایی که صنعت بهداشت و درمان از نظر شمارش بدافزار در رتبه پنجم لیست صنایع قرار دارد. صنعت داروسازی یک صنعت حساس است، خصوصا در این زمان ها که امیدهای جهانی بر واکسن موفقی است که می تواند به همه گیری پایان دهد. به دلیل ماهیت حساس و ارزشمند داده های موجود در شرکت های داروسازی ، خطر حملات سایبری از طریق باج افزار، تهدیدهای مداوم پیشرفته (APT)، تهدیدات داخلی و سایر موارد بالا است.
🔹 شرکت های داروسازی برای اطمینان از اینکه بیشترین شانس محافظت را به خود می دهند باید اطمینان حاصل کنند که کاملاً بر روی مکانیسم های امنیتی خود تمرکز کرده و امنیت سایبری را بسیار جدی می گیرند.
افراد ، فرایندها و فناوری ها
🔸 امنیت سایبری موثر ، مدیریت خطرات مرتبط با سه عامل مهم یک سازمان است: افراد، فرایندها و فناوری ها. در این مقطع ، شرکت های داروسازی باید اطمینان حاصل کنند که درک کاملی از ساختار امنیتی موجود در سازمان های مربوطه خود دارند. پیاده سازی فرآیندها و فن آوری های جدید تنها زمانی می تواند اتفاق بیفتد که شکاف های موجود، چه از نظر افراد و چه از نظر فرایندها، مشخص شود.
🔹 اطلاعات، بزرگترین سرمایه شرکت داروسازی هستند و از این رو یک گام اساسی داشتن کنترل های دقیق دسترسی و دسته بندی داده های محرمانه است. یک رویکرد جامع باید شامل یک فرآیند بازرسی و ارزیابی دقیق باشد، سپس باید به رویکردی تبدیل شود که بیشتر به سمت پیشگیری از حادثه حرکت کند نه اینکه فقط به واکنش به حادثه متمرکز شود.
🔸 اندپوینت سکیوریتی سکورایت کوییک هیل، که اخیراً توسط AV-Test به عنوان محصول برتر برای ویندوز تأیید شده است، مجموعه ای از راه حل ها را ارائه می دهد که از شبکه و دستگاه های متصل آن در شرکتهای دارویی و بهداشت و درمان محافظت جامع به عمل می آورد.
🔹 برای دریافت راهنمایی بیشتر می توانید با شرکت فناوری ارتباطات فانوس نماینده انحصاری شرکت تکنولوژی های کوییک هیل، کی سون و وبروم در ایران در ارتباط باشید:
تلفن: ۷۷۱۴۲۵۲۶-۰۲۱
واتساپ: ۰۹۳۳۱۳۳۹۷۸۶
ایمیل: info@qhi.ir
تلگرام: @myfanoos
🔸 یک شبکه (یا سیستم) شکاف هوا شده (air-gapped) از دیگر شبکه های مجزا شده است. این اساساً به این معنی است که سیستم یا شبکه از نظر فیزیکی به هیچ شبکه خارجی متصل نیست، خواه اینترنت یا یک شبکه محلی. اصطلاح «شکاف هوا» از لوله کشی گرفته شده است و به شکاف هوا برای حفظ کیفیت آب گفته می شود.
برگردیم به شبکه های رایانه ای، شبکه های شکاف هوا در وهله اول در محیط های با امنیت بالا مانند شبکه های نظامی و دولتی، سیستم های اطلاعاتی، نیروگاه های هسته ای یا هواپیمایی دیده می شوند. انگیزه اصلی راه اندازی شبکه های هواشکاف احساس امنیتی است که برای سازمان ایجاد می کند.
🔹 شبکه های شکاف هوا چگونه کار می کنند؟
از آنجایی که شبکه های هوا شکاف هیچ رابط شبکه ای ندارند، از لحاظ نظری هیچ نوع ارتباط سیمی یا بی سیم با دنیای خارج ندارند. کنترل کننده های بی سیم آنها غیرفعال هستند که موجب می شود، کل شبکه “یک سیستم بسته”شود. تنها راه ورود یا خروج داده ها به این نوع شبکه استفاده از رسانه های فیزیکی مانند درایوهای USB یا CD-ROM ها است.
شبکه های شکاف هوا معمولاً برای جداسازی زیرساخت های مهم از شبکه شرکتی استفاده می شوند تا چنین اطلاعات حیاتی به خطر نیفتد. این اطللاعات دارایی ها مهم . حیاتی سازمان هستند که در صورت از نشت و یا از بین رفتن می توانند خسارات جبران ناپذیری تحمیل کنند. به همین دلیل مدیران امنیتی ترجیح می دهند چنین اطلاعاتی را در شبکه های شکاف هوا که هیچ ارتباطی با شبکه اصلی سازمان ندارند، داشته باشند.
با این حال ، شبکه های شکاف هوا نیز ممکن است احساس امنیت کاذب ایجاد کنند. یک فرض ذاتی وجود دارد که، از آنجا که شبکه های شکاف هوا هیچ نقطه دسترسی ندارند، آنها کاملاً ایمن و امن هستند. بنابراین، از نظر امنیتی نیازی به بررسی یا ارزیابی نیست. متأسفانه، این نوع دیدگاه ممکن است اغلب منجر به مشکلات امنیتی شود.
🔸 آیا آنها واقعاً ایمن هستند؟
اولاً ، از طریق دستگاه های ذخیره سازی فیزیکی هنوز می توان به شبکه های شکاف هوا دسترسی داشت .همانطور که مشاهده کردیم، دستگاههای USB معمولاً برای انتشار انواع بدافزارها استفاده می شوند. از آنها می توان برای طیف وسیعی از فعالیت های مخرب مانند فیلتر کردن داده ها، نصب بدافزار و دستگاه های ورود به سیستم و غیره استفاده کرد.
بزرگترین نمونه از این نوع فعالیتهای مخرب ، کرم استاکس نت بود . در سال ۲۰۱۰ کشف شد و به برنامه هسته ای ایران صدمات اساسی وارد کرد و باعث از هم گسیختن سانتریفیوژها شد. این کرم از طریق درایوهای USB آلوده به محیط شبکه وارد شد. این رویداد یک یادآوری جدی ارائه می دهد که شبکه های شکاف هوا را می توان با تأثیر زیادی به خطر انداخت.
ثانیا ، حتی اگر شبکه های شکاف هوا از دنیای خارج جدا شده باشند، اما آنها از یک تهدید اصلی دیگر در زمینه امنیت سایبری جدا نیستند: خود انسان ها. مهندسی اجتماعی همچنان یک عامل اصلی تهدید است و در این نوع شرایط، خطرات بزرگتر می شوند. تهدیدهای داخلی مانند کارمندان سرکش هنوز هم می توانند برای دسترسی به شبکه شکاف هوا استفاده شوند. کارکنان با دسترسی به شبکه های خاص شکاف هوا ممکن است حافظه ذخیره سازی قابل جابجایی خود را آلوده به بدافزار کنند که در صورت قرار دادن در یک سیستم شکاف هوا، می تواند سیستم و شبکه را آلوده کند.
🔹 جداسازی امنیت را تضمین نمی کند!
سرانجام ، با پیشرفت تکنولوژی ، هیچ تضمینی وجود ندارد که صرف ایزوله سازی و جداسازی از یک شبکه خارجی، یک سیستم شکاف هوا را ایمن نگه دارد. مواردی وجود داشته است که از بین بردن داده ها از طریق روش های دیگری نیز اتفاق افتاده است، مانند درهای پشتی ناشناخته که به نرم افزار / سخت افزار وارد شده اند ، سیگنال های فرکانس FM ، هک حرارتی یا ارتباطات حوزه نزدیک (NFC)
🔸 نتیجه این که بی نیازی به امنیت کامل شبکه های شکاف هوا، فقط بر اساس ایزوله سازی بنا شده است. شبکه های سازمانی همچنین باید با تأکید بیشتر بر کنترل دسترسی و فضای ذخیره سازی قابل حمل، اقدامات امنیتی سایبری را برای این شبکه ها پیاده کنند. سازمان ها می توانند طیف وسیعی از راه حل های امنیتی شبکه و سرور شرکت فناوری ارتباطات و اطلاعات فانوس را برای تقویت سیستم های شکاف هوا خود در نظر بگیرند .
🔹 برای دریافت راهنمایی بیشتر می توانید با شرکت فناوری ارتباطات فانوس نماینده انحصاری شرکت تکنولوژی های کوییک هیل و سکورایت در ایران در ارتباط باشید:
تلفن: ۷۷۱۴۲۵۲۶-۰۲۱
واتساپ: ۰۹۳۳۱۳۳۹۷۸۶
ایمیل: info@qhi.ir
تلگرام: @myfanoos
یکی از اقدامات پیشگیرانه امنیتی خصوصا در حملات باج افزاری و جستجوی فراگیر، غیرفعال کردن حساب کاربری ادمین ویندوز (Administrator) و تعریف یک حساب کاربری جدید می باشد. با این کار احتمال حملات دیکشنری و جستجوی فراگیر کمتر می شود.
ابتدا یک کاربر با سطح دسترسی ادمین ساخته و بسته به نوع ویندوز (از XP، ونیدوز ۷، ۸، ۱۰، سرور ۲۰۰۰، ۲۰۰۳، ۲۰۰۸، ۲۰۰۸ R2 و ۲۰۱۲ و ۲۰۱۲ R2 و ویندوز ۲۰۱۶) یکی از روشهای زیر را انتخاب می کنیم.
روش اول:
– از منوی استارت ویندوز، گزینه CMD را جستجو کرده و با کلیک راست بر روی آن گزینه Run as Administrator را انتخاب می کنیم. ( و یا با فشردن همزمان کلیدهای Windows و X گزینه Command Prompt (Admin) را انتخاب می کنیم)
– عبارت زیر را تایپ و اینتر می کنیم:
net user administrator /active: no
– عبارت زیر نمایش داده می شود که نشان از موفقیت در غیرفعال سازی اکانت ادمینیستریتور می باشد:
The command completed successfully
روش دوم:
– عبارت زیر را در Run نوشته و اینتر می زنیم:
secpol.msc
تا کنسول Local Security Policy باز شود.
– پوشه Local Policies و زیرپوشه Security Options را در سمت چپ پنجره انتخاب می کنیم.
– بر روی گزینه اول Accounts: Administrator account status دو بار کلیک می کنیم تا پنجره Properties باز شود.
– گزینه Disabled را تیک می کنیم.
– پنجره را OK می کنیم.
روش سوم:
– پنجره Run را با فشردن همزمان کلیدهای پنجره و R باز می کنیم.
– عبارت زیر را در Run نوشته و اینتر می زنیم:
lusrmgr.msc
تا کنسول مایکروسافت Local Users and Groups باز شود.
– پوشه Users را در سمت چپ پنجره انتخاب کرده و بر روی حساب کاربری Administrator دو بار کلیک می کنیم تا پنجره Properties باز شود.
– گزینه Account is Disabled را تیک می کنیم.
– پنجره را OK می کنیم.
در کنار استفاده از راهکارهای امنیتی و محافظتی، استفاده از سامانه های امنیتی قدرتمند مانند راهکارهای جامع امنیت سازمانی سکورایت کوییک هیل مانند اندپوینت سکیوریتی کوییک هیل و سامانه مدیریت یکپارچه تهدیدات و فایروال UTM سکورایت، می توانند سدی در برابر انواع تهدیدات نوین آفلاین و آنلاین باشند.
مدیران محترم امنیت شبکه سازمانها جهت دریافت راهنمایی بیشتر می توانند با شرکت در تماس باشند:
تلفن: ۷۷۱۴۲۵۲۶-۰۲۱
ایمیل: info@qhi.ir
تلگرام: @myfanoos
https://t.me/fanoosict
تهدیدات سایبری بهداشت و درمان
در حالی که تقریبا تمام صنایع و بخش ها در معرض خطر تهدیدات اینترنتی قرار دارند، تاثیرات این تهدیدات در بخش های خاص می تواند فاجعه آمیز باشد. یکی از این بخش ها، درمان و مراقبت های بهداشتی است. حمله سایبری به یک سیستم پزشکی و درمانی می تواند خطرناک و تهدید کننده زندگی باشد – تصور کنید که بیماران مراقبت های حیاتی از سیستم نگهداری و مانیتورینگ خارج شوند.
آزمایشگاه های امنیتی کوییک هیل یک باج افزار جدید به نام Armage شناسایی کرده است. این باج افزار پسوند ‘.Armage’ را به فایل هایی که رمزگذاری می کند می افزاید.
باج افزار Armage از الگوریتم رمزنگاری AES-256 برای رمزگذاری فایل ها استفاده می کند تا غیرقابل استفاده شوند. آن را از طریق هرزنامه های ایمیل و فایل های متنی مخرب منتشر می کند.
آنالیز فنی
هنگامی که بر روی کامپیوتر آلوده اجرا می شود، باج افزار Armage پیام خط فرمان الگوریتم رمزنگاری مورد استفاده خود را باز می کند. شکل ۱ را ببینید.
شکل ۱٫ دستور خط فرمان
باج افزار برای انجام فعالیت های مخرب و یا رمزگذاری داده ها هیچ گونه مصنوعی را رها نمی کند. کل فعالیت های مخرب (رمزنگاری) توسط فایل مادر خود انجام می شود.
پس از حمله، همانطور که در شکل ۲ نشان داده شده باج افزار با استفاده از Windows API FindFirstFileA، برای رمز گشایی داده ها اولین فایل را به صورت الفبایی جستجو می کند، و برای یافتن فایل بعدی همانطور که در شکل ۳ نشان داده شده است از FindNextFileA API استفاده می کند.
شکل ۲٫ FindFirstfileA API استفاده شده است
شکل ۳٫ API FindNextFileA برای یافتن فایل ها به صورت بازگشتی استفاده می شود
پس از رمزگذاری داده ها از پوشه، Armage فرمت ‘Notice.txt’ را رها می کند- یک هشدار باج با سایر جزئیات پرداخت باج ذکر می شود. علاوه بر این، باج افزار فرمت “Notice.txt” را در همه پوشه هایی که داده ها رمزنگاری شده اند، رها می کند.
شکل ۴٫ کد مورد استفاده برای ایجاد یک فایل جدید ‘Notice.txt’
شکل ۵٫ کد برای نشان دادن جزئیات به قربانی استفاده می شود.
هشدار باج نیز در زیر ذکر شده است.
‘فایل هایتان با الگوریتم AES-256 رمزنگاری شده است. برای دریافت کلید رمز به ایمیل: armagedosevin@aol.com پیام بفرستید. ‘
براساس آنالیز فایل PE، متوجه شدیم که باج افزار خود را درون فرآیندهایی که با امتیازات مدیریتی اجرا می شوند تزریق می کند تا بتواند کپی های سایه را با استفاده از فرمان ‘vssadmin delete shadows / all’ حذف کند.
این دستور برنامه vssadmin.exe را اجرا می کند و تمام نسخه ها را بی صدا می کند. شکل ۵ کد مورد استفاده برای حذف کدهای سایه را نشان می دهد.
شکل ۶٫ کد مورد استفاده برای حذف کپی های سایه
شکل ۷٫ API برای رمزگذاری فایل ها استفاده می شود
در قسمت پایین API های مورد استفاده توسط باج افزار برای رمزگذاری داده ها استفاده می شود
شکل ۸٫ فایل های رمز شده با فرمت ‘.armage’
چگونه کوییک هیل از کاربران خود در برابر باج افزار Armor محافظت می کند
کوییک هیل با موفقیت Armage را با لایه های محافظتی چند لایه زیر مسدود می کند:
محفاظت از ویروس
شناسایی مبتنی بر رفتار
ضد-باج افزار
شکل ۹٫ سیستم شناسایی مبتنی بر رفتار، تروجان را مسدود می کند.
شکل ۱۰٫ ابزار ضد-باج افزار، بدافزار را نیز مسدود می کند
چگونه در برابر حملات باج افزار ایمن بمانیم
توتال سکیوریتی کوییک هیل (ویندوز) رتبه ۹۹٫۵٪ را در آزمون حفاظت جهان واقعی که توسط آزمایش کنندگان نرم افزار امنیتی AV-Comparatives پیشرو در جهان کسب کرد. ادامهی خواندن
فیشینگ یکی از قدیمی ترین کلاهبرداری ها در کتاب هکرها است. اما به هر حال ممکن است فیشینگ همچنان ابزار سودآورتری برای مجرمان سایبری باشد. این خبر در مورد ۳ نوع از حملات معمول فیشینگ می باشد و برای جلوگیری از آنها شما را راهنمایی می کند. ادامهی خواندن
آزمایشگاه های امنیتی کوییک هیل به یک نسخه جدید از باج افزار پتیا دست یافتند که کاربران در سطح جهان را تحت تأثیر قرار می دهد. به نظر می رسد این نشانه های اولیه یک حمله باج افزار جدید می باشد که به سرعت در سراسر جهان درحال گسترش است. در حال حاضر، چندین گزارش متعدد از کشورهای مختلف درباره این نوع حمله باج افزار مشاهده کردیم. ادامهی خواندن
