about-3 back-contact back-deep eitaa کانال روبیکاخبرگزاری سایبربان
مطالب پربازدید
بازار
1405/02/02 - 13:10- بررسی تخصصی

بازار سیاه فیلترشکن در زمان قطع اینترنت؛ از قیمت‌های میلیونی تا موج گسترده کلاهبرداری

مقاله ای از کارشناس سایبری مهیار خدادادی پیرامون مسئله فیلتر شکن ها در زمان قطعی اینترنت بین المللی

آیا
1405/04/01 - 14:49- جنگ سایبری

آیا رسانه‌ای کردن حملات سایبری برای ایران بازدارندگی ایجاد می‌کند؟

در سال‌های اخیر، اخبار متعددی درباره نفوذ و عملیات‌های سایبری منتسب به ایران و محور مقاومت با بازتاب گسترده رسانه‌ای همراه بوده است. برخی این اقدامات را نشانه‌ای از قدرت سایبری و عاملی جهت بازدارندگی در برابر دشمنان می‌دانند و برخی دیگر معتقدند بخش مهمی ا

در
1405/02/01 - 15:13- ایران

در غم از دست دادن پدر امت به سوگ نشسته ایم

در غم از دست دادن پدر امت به سوگ نشسته ایم

انتشار شده در تاریخ

حمله به 25000 CMS از طریق بات نت Fort Disco

بیش از ۶،۰۰۰ وب‌گاهی که با استفاده از سامانه‌های مدیریت محتوایی1 همچون وردپرس، جوملا و دیتالایف اِنجین2 ساخته شده‌اند، مورد حمله‌ی یک کمپین brute-force3 جدید قرار گرفته‌اند.
موسسه خبری سایبربان: بنا به گفته‌ی یکی از محققان Arbor Networks، بیش از ۶،۰۰۰ وب‌گاهی که با استفاده از سامانه‌های مدیریت محتوایی1 همچون وردپرس، جوملا و دیتالایف اِنجین2 ساخته شده‌اند، مورد حمله‌ی یک کمپین brute-force3 جدید قرار گرفته‌اند.
با توجه به اظهارات مت بینگ4 بات‌نتی به نام Fort Disco، که تا به این لحظه ۲۵،۰۰۰ دستگاه‌ تحت ویندوز در شکل‌گیری آن نقش داشته‌اند، مسئول این حمله است و در نقش خود بسیار فعال ظاهر شده است.
ابزار این حمله که در ۸۰۰ وب‌گاه نقض‌شده کشف شده، گونه‌ای از در پشتی5 پی‌اچ‌پی6 FilesMan7 است که به بات‌مستر8 اجازه می‌دهد که پرونده‌ها را مشاهده و ویرایش نماید، به بارگیری محتوای مورد نظرش پرداخته و دستوراتی را اجرا کند. محققان همچنین موفق به کشف یک هدایت‌کننده‌ی مبتنی بر پی‌اچ‌پی در شمار اندکی از وب‌گاه‌ها شده‌اند که قربانی‌ها را به وب‌گاه‌هایی هدایت می‌کنند که میزبانی بسته‌ی نفوذی Styx را بر عهده دارند.
 
روی‌کردی که Fort Disco اتخاذ کرده بسیار شبیه حملات Brobot است؛ Brobot باعث و بانی حملات متعدد انسداد سرویس9 به تعداد بی‌شماری از مؤسسه‌های مالی آمریکا در سال گذشته و ابتدای امسال است. Brobot نیز آسیب‌پذیری‌های موجود در سامانه‌های مدیریت محتوا را هدف قرار داده بود، اما این کمیپن جدید مورد بحث با سوء‌استفاده از گذرواژه‌های ضعیف کنترل سامانه‌ها را در اختیار می‌گیرد. پوسته‌ی پی‌اچ‌پی که در وب‌گاه‌های تحت نفوذ قرارگرفته بارگذاری می‌شود، مهاجمان را قادر می‌سازد که با سرعت هرچه تمام‌تر دستورات خود را به ده‌ها هزار بات عضو زنجیره‌ی بات‌نتِ Fort Disco ارائه نمایند. 
 
بینگ گفت که محققان Arbor توانسته‌اند به دید دقیقی راجع به این کمپین تازه‌تأسیس دست پیدا کنند، علت این کام‌یابی هم چیزی نبوده جز پیکربندی اشتباه از سوی مهاجمان، و بر جا گذاشتن گزارش‌ها در شش کارگزار فرمان‌دهی و کنترل که Arbor آن‌ها را کشف کرده است؛ کارگزارهایی که همگی در روسیه یا اوکراین میزبانی می‌شوند.
 
بینگ گفت: «ما به‌طور تصادفی به این گزارش‌های دقیق که مهاجمان در کارگزارهای فرمان‌دهی و کنترل بر جای گذاشته‌اند، دست پیدا کرده‌ و توانسته‌ایم با کنار هم گذاشتن یافته‌های خود به نتایج خوبی برسیم.»
 
بینگ در ادامه گفت که کمپین مذکور در ماه می شروع به کار کرده است؛ شرکت امنیتی Arbor هم حدود یک ماه این کمپین را تحت نظر گرفته است. بات‌نت Fort Disco به انتشار بدافزار در دستگاه‌های ویندوزی که تعداد آن‌ها تاکنون از مرز ۲۵،۰۰۰ فراتر رفته می‌پردازد. هنگامی که بدافزار در رایانه‌ای مستقر شد، توسط کارگزار فرمان‌دهی و کنترل مورد بررسی قرار می‌گیرد و فهرستی از وب‌گاه‌های سامانه‌های مدیریت محتوا، به همراه فهرستی از ترکیب شناسه و گذرواژه‌های رایج در اختیار آن قرار می‌گیرد تا آن‌ها را نیز آلوده کند. در حقیقت فهرست دوم ترکیبی پیش‌فرض از گذرواژه‌هایی نظیر admin یا 123456 است.
 
در بسیاری از موارد بات‌مستر یک در پشتی پی‌اچ‌پی را بارگذاری می‌کند که به وی اجازه می‌دهد یک سری عمل‌کردهای مخرب دیگر را نیز داشته باشد.
بینگ بیان داشت: «ما توانسته‌ایم تعداد اندکی از موارد را کشف کنیم که بات‌مستر بسته‌ی نفوذی Styx  را در آن‌ها نصب کرده باشد. این‌ها حملات brute-forceای هستند که خصوصیت مشترک آن‌ها شناسه‌ها و گذرواژه‌های رایج و معمول است. مهاجمان همچنین متوجه شده‌اند که این سامانه‌های مدیریت محتوا به راحتی هرچه تمام‌تر قابل سوء‌استفاده می‌باشند. خطر واقعی این است که تعداد زیادی از این وب‌گاه‌ها در مراکز داده‌ی بزرگ با پهنای باند بالا میزبانی می‌شوند. از این رو به سادگی می‌توان این وب‌گاه‌ها را به باتِ انسداد سرویس توزیع‌شده10 مبدل کرد.
 
بینگ خاطرنشان کرد اگرچه هیچ مدرکی دال بر ارتباط این بات‌نت با Brobot یا حملات انسداد سرویس بانکی وجود ندارد، اما برخی زوایای مشابه میان آن‌ها به چشم می‌خورد. در حقیقت حملات Fort Disco نیز از ماه می و ژوئن، که اوج فعالیت‌های آن بوده، کاهش پیدا کرده است. در‌واقع این روند رو به کاهش کمی پس از توزیع امضاهای ضدبدافزاری برای این بدافزار ویندوزی رخ داده است. 
 
بینگ در ادامه افزود که به احتمال زیاد نویسنده‌ی این بدافزار روسی بوده، زیرا کارگزارهای فرمان‌دهی و کنترل مورد استفاده دارای آدرس‌های IP متعلق به روسیه و اوکراین است، شناسه‌های پیش‌فرض از نوع سیریلیک11 می‌باشند و برخی از رشته‌‌خطاهای مربوط به بدافزار به زبان روسی نوشته شده‌اند. با وجود این، قربانی‌های این بات‌نت بیشتر اهل پرو، فیلیپین و مکزیک بوده‌اند؛ آمریکا و اروپا در این میان چندان آسیب ندیده‌اند.
 
بینگ در پایان گفت: «براساس یافته‌ها می‌توانیم بگوییم یکی از چیزهایی که مهاجم به دنبال آن بوده فریب کاربر از طریق یک کمپین مهندسی اجتماعی روسی برای اجرای یک پرونده‌ی قابل اجرا بوده است. من دو نمونه‌ی اجرایی شامل کتابی به قلم مایکل لوئیس12 به نام «بزرگِ کوتاه: در داخل ماشین روز قیامت13»، و نیز پرونده‌ی دیگری با عنوان نسخه‌ی کرک‌شده‌ی14 برنامه‌ی ProxyCap را پبدا کرده‌ام.»
تازه ترین ها
خالق
1405/04/10 - 15:41- تلگرام

خالق تلگرام: منتظر بیت کوین ۱ میلیون دلاری باشید!

پاول دوروف خالق تلگرام با اشاره به آینده بیت کوین اعلام کرد که هرگز دارایی‌های خود را نفروخته و پیش بینی قیمت بیت کوین یک میلیون دلاری را بسیار منطقی می‌داند.

بررسی
1405/04/10 - 15:19- جرم سایبری

بررسی آخرین وضعیت حمله سایبری به زیرساخت‌های بانکی

آخرین وضعیت مقابله با حمله سایبری به زیرساخت های بانکی، تاب آوری فنی و زیست بوم محتوایی کشور در شورای معین شورای عالی فضای مجازی بررسی شد.

کمیته
1405/04/10 - 15:14- امنیت زیرساخت

کمیته مشترک وزارت ارتباطات و مجلس در زمینه امنیت سایبری تشکیل می‌شود

وزیر ارتباطات گفت: توجه به گزارش‌ها درباره آسیب‌پذیری دستگاه‌ها، به‌ویژه در حوزه بانکی، دغدغه مشترکی میان وزارت ارتباطات و اعضای کمیسیون امنیت ملی وجود دارد.