about-3 back-contact back-deep eitaa کانال روبیکاخبرگزاری سایبربان
مطالب پربازدید
نفوذ
1405/04/04 - 12:52- تروریسم سایبری

نفوذ رژیم صهیونیستی با استارلینک به ایران

نخست وزیر سابق رژیم صهیونیستی ادعا کرد که اسرائیل ده‌ها هزار سیستم استارلینک را به ایران قاچاق کرده است.

بازار
1405/02/02 - 13:10- بررسی تخصصی

بازار سیاه فیلترشکن در زمان قطع اینترنت؛ از قیمت‌های میلیونی تا موج گسترده کلاهبرداری

مقاله ای از کارشناس سایبری مهیار خدادادی پیرامون مسئله فیلتر شکن ها در زمان قطعی اینترنت بین المللی

آیا
1405/04/01 - 14:49- جنگ سایبری

آیا رسانه‌ای کردن حملات سایبری برای ایران بازدارندگی ایجاد می‌کند؟

در سال‌های اخیر، اخبار متعددی درباره نفوذ و عملیات‌های سایبری منتسب به ایران و محور مقاومت با بازتاب گسترده رسانه‌ای همراه بوده است. برخی این اقدامات را نشانه‌ای از قدرت سایبری و عاملی جهت بازدارندگی در برابر دشمنان می‌دانند و برخی دیگر معتقدند بخش مهمی ا

انتشار شده در تاریخ

بدافزار Xpiro، بدافزاری مستقل از معماری خاص

گستره‌ی این آلودگی مبتنی بر معماری خاصی نیست، یعنی یک نمونه‌ی ۳۲ بیتی از بدافزار  Xpiro می‌تواند یک پرونده‌ی اجرایی ۶۴ بیتی را آلوده کند

موسسه خبری سایبربان: گستره‌ی این آلودگی مبتنی بر معماری خاصی نیست، یعنی یک نمونه‌ی ۳۲ بیتی از بدافزار  Xpiro می‌تواند یک پرونده‌ی اجرایی ۶۴ بیتی را آلوده کند و برعکس. البته این بدافزار قابلیت‌های سرقت داده‌ها از رایانه‌های قربانی را نیز بهبود بخشید است و با اضافه کردن افزونه‌های مرورگرهای فایرفاکس و کروم می‌تواند بر نشست‌های این مرورگرها نظارت داشته باشد.
آلودگی مستقل از معماری و ماندگاری بدافزار
اگرچه قبلاً نیز بدافزارهایی مشاهده شده‌اند که قابلیت آلوده‌سازی چندین نوع معماری را داشته‌اند، اما هیچ‌یک مانند بدافزار Xpiro به صورت گسترده منتشر نشده‌اند. نمونه‌ی جدید این بدافزار قابلیت آلوده‌سازی معماری‌های زیر را دارد:

    Intel 386 (32-bit)
    Intel 64 (64-bit)
    AMD64 (64-bit)

البته لازم به ذکر است که پرونده‌های Intel64 آلوده می‌شوند، اما به دلیل خطایی که در کد بدافزار وجود دارد این آلودگی کامل نیست و پرونده‌ها فقط دچار تغییر می‌شوند و به گزارش سیمنتک این پرونده‌ها را می‌توان به حالت اولیه و وضعیت بدون آلودگی تبدیل کرد.
در نمونه‌های قدیمی‌تر، معمولاً پرونده‌های آلوده‌ساز توانایی داشتند که سایر پرونده‌های اجرایی را آلوده سازند و اهمیتی به تداوم گسترش آلوده‌سازی داده نمی‌شد. اما این نمونه بدافزار از یک روش دقیق برای رسیدن به تداوم آلوده‌سازی و عمل آلوده‌سازی به طور همزمان استفاده می‌کند. در ابتدا این بدافزار سعی می‌کند، تمامی پرونده‌های خدمات Win32 را بشمارد و تلاش کنند تمامی این پرونده‌ها را آلوده سازد. سپس تمامی‌ پرونده‌های پیوند (lnk) در میز کار کاربر و همچنین پوشه‌‌های منوی شروع (Start Menu)  هدف آلوده‌سازی این بدافزار قرار می‌گیرند.
اما چرا این پرونده‌ها انتخاب می‌شوند؟ چرا که این پرونده‌ها بیش‌ترین شانس را دارند که توسط کاربر و یا خود سامانه اجرا شوند و در نتیجه با هر بار راه‌اندازی سامانه احتمال اجرای بدافزار و درنتیجه ماندگاری آن وجود دارد.
در نهایت، تمامی‌ پرونده‌های اجرایی از درایو C تا درایو Z چه به صورت درایو ثابت و چه به صورت جابه‌جاپذیر آلوده خواهند شد.
پیش‌رفته‌تر شدن قابلیت سرقت اطلاعات
هدف نهایی این خانواده از بدافزارها از ابتدا سرقت اطلاعات از میزبان آلوده بوده است. این هدف همچنان در نسخه‌ی جدید پابرجاست و البته برای دست‌یابی به آن ابزارهایی به بدافزار اضافه شده است.
هنگامی که این بدافزار در رایانه‌ی قربانی اجرا می‌شود، افزونه‌ای به مرروگرهای کروم و فایرفاکس اضافه می‌کند که در مرورگر فایرفاکس به صورت مخفی و در مرورگر کروم به نام «Google Chrome 1.0» می‌باشد.
به طور مثال افزونه‌ی فایرفاکس می‌تواند فعالیت‌های زیر را انجام دهد:
    -پنهان‌سازی حضور افزونه
    -کاهش امنیت مرورگر
    -جاسوسی فعالیت‌های اینترنتی کاربر
    -سرقت رویدادهای ثبت‌شده
    -تغییر مسیر آدرس درخواستی توسط کاربر به یک آدرس از پیش تعریف شده
پس از نصب افزونه توسط بدافزار، و با راه‌اندازی مجدد  مرورگر فایرفاکس به کاربر اطلاع داده می‌شود که یک افزونه‌ی جدید نصب شده است، اما این افزونه در فهرست افزونه‌های نصب‌شده پیدا نخواهد شد.
 

 
تصویر۱- فهرست افزونه‌ها قبل از اجرای بدافزار
 
 
تصویر۲- فهرست افزونه‌ها پس از اجرای بدافزار و هشدار نصب افزونه‌ی جدید


همان‌طور که گفته شد، این بدافزار می‌تواند امنیت مرورگر را نیز تغییر دهد، در تصاویر زیر مشاهده می‌شود که بدافزار  هشدارهای مرورگر را غیرفعال کرده است و همچنین قابلیت اعلام به روز رسانی‌های موجود برای مرورگر نیز غیرفعال شده است.

 

 

 

تصویر۳- غیرفعال کردن هشدارهای امنیتی مرورگر

در صورتی که کاربر به صورت دستی نیز تلاش کند که به روز رسانی‌های موجود را اعمال کند، این اتفاق عملی نمی‌شود، چراکه بدافزار Xpiro، آدرس دریافت به روز رسانی‌های مرورگر را به ۱۲۷٬۰٬۰٬۱ که یک آدرس محلی است،‌ تغییر می‌دهد.
 

 
 تصویر۴- تغییر آدرس دریافت به روز رسانی‌های مرورگر


با از کار افتادن بسیاری از قابلیت‌های هشدار مرورگر توسط این افزونه، کاربر به صورت طبیعی با مشکلات متعددی مواجه خواهد شد. همچنین برخی از ویژگی‌های مرور وب ایمن، که از کاربر در مقابل حملات فیشینگ محافظت می‌کند نیز از کار خواهد افتاد.
Xpiro تمامی فعالیت‌های HTTP کاربر در مرورگر را پایش می‌کند و گزارش همه‌ی این فعالیت‌ها را به یک کارگزار   ارسال می‌کند و سپس اقدام به بارگیری دو فهرست آدرس از این کارگزارها می‌کند:
   - آدرس‌های هدف
   -آدرس‌های تغییر مسیر
اگر کاربر یکی از آدرس‌های هدف را در مرورگر وارد کند، بدافزار این آدرس را با آدرس‌های تغییر مسیر، تعویض می‌کند. این آدرس‌های تغییر مسیر می‌توانند صفحات تبلیغاتی و یا صفحاتی که امکان بارگیری بدافزار‌های بیش‌تر را فراهم می‌کنند، باشند.

تازه ترین ها

سرپیچی کودکان بریتانیایی از بررسی آنلاین سن

از هر پنج کودک بریتانیایی، دو نفر می‌گویند که از بررسی آنلاین سن خود سرپیچی می‌کنند.

گسترش
1405/04/23 - 15:05- اروپا

گسترش امنیت سایبری و تاب‌آوری ارمنستان توسط اتحادیه اروپا

اتحادیه اروپا حمایت از امنیت سایبری و تاب‌آوری ارمنستان را گسترش می‌دهد.

قوانین
1405/04/23 - 12:05- اروپا

قوانین سخت‌گیرانه در مورد تبلیغات کلاهبرداری توسط آفکام

سازمان تنظیم‌کننده مقررات رسانه‌ای بریتانیا قوانین سخت‌گیرانه‌تر در مورد تبلیغات کلاهبرداری پیشنهاد داد.