مطالب پربازدید

1405/02/02 - 13:10- بررسی تخصصی

بازار سیاه فیلترشکن در زمان قطع اینترنت؛ از قیمت‌های میلیونی تا موج گسترده کلاهبرداری

مقاله ای از کارشناس سایبری مهیار خدادادی پیرامون مسئله فیلتر شکن ها در زمان قطعی اینترنت بین المللی

1405/02/01 - 15:13- ایران

در غم از دست دادن پدر امت به سوگ نشسته ایم

1405/01/10 - 16:13- جنگ سایبری

بزرگ‌ترین حمله سایبری به شرکت‌های نفتی امارات

شرکت های نفتی امارات مورد حمله سایبری گروه هکری نصیر قرار گرفت

کامیار عزیزی

انتشار شده در تاریخ 1402/02/12 - 12:13

هدف‌گیری شبکه‌های سازمانی با بدافزار جدیدی به نام دکوی داگ

تجزیه و تحلیل بیش از 70 میلیارد گزارش دی ان اس (DNS)، منجر به کشف یک ابزار بدافزار پیچیده جدید با نام دکوی داگ (Decoy Dog) شده است که شبکه های سازمانی را هدف قرار می دهد.

به گزارش کارگروه امنیت خبرگزاری سایبربان، دکوی داگ، همانطور که از نامش پیداست، گریزان است و از تکنیک هایی مانند قدمت دامنه استراتژیک و دریبل پرس و جو دی ان اس استفاده می کند، که در آن یک سری پرس و جو به دامنه های فرمان و کنترل (C2) منتقل می شود تا هیچ شکی برانگیخته نشود.
شرکت امنیت سایبری اینفوبلاکس (Infoblox) در گزارشی که اواخر ماه گذشته منتشر شد، می گوید:

دکوی داگ یک جعبه ابزار منسجم با تعدادی ویژگی بسیار غیرعادی است که آن را به طور منحصر به فردی قابل شناسایی می کند، به ویژه هنگام بررسی دامنه های آن در سطح دی ان اس.

این شرکت امنیت سایبری که این بدافزار را در اوایل آوریل 2023 و به دنبال فعالیت غیرعادی نشان‌دهنده دی ان اس شناسایی کرده بود، می گوید که ویژگی‌های غیر معمول آن به آن اجازه خواهد ‌داد تا دامنه‌های اضافی را که بخشی از زیرساخت حمله هستند، نقشه‌برداری کند.
به گفته این شرکت مستقر در کالیفرنیا، استفاده از دکوی داگ "بسیار نادر" است و امضای دی ان اس آن با کمتر از 0.0000027٪ از 370 میلیون دامنه فعال در اینترنت مطابقت دارد.
یکی از اجزای اصلی این جعبه ابزار، پاپی رت (Pupy RAT) است، یک تروجان منبع باز که با استفاده از روشی به نام تونل سازی دی ان اس ارائه می شود، که در آن پرس و جوها و پاسخ های دی ان اس به عنوان یک فرمان و کنترل برای رها کردن مخفیانه، بارها استفاده می شود.
شایان ذکر است که استفاده از پاپی رت چند پلتفرمی در گذشته با عوامل وابسته به دولت ملی چین مانند ارث بربروکا (Earth Berberoka) (با نام مستعار گمبلینگ پاپت (GamblingPuppet)) مرتبط بوده است، اگرچه هیچ مدرکی دال بر دخالت این عامل در این کمپین وجود ندارد.
تحقیقات بیشتر در مورد دکوی داگ نشان می‌دهد که این عملیات حداقل یک سال قبل از کشف آن راه‌اندازی شده و با سه پیکربندی زیرساختی متمایز تا به امروز شناسایی شده است.
یکی دیگر از جنبه‌های مهم، رفتار غیرمعمول مرتبط با دامنه‌های دکوی داگ است، به طوری که آنها به الگوی درخواست‌های دوره‌ای، اما نادر، دی ان اس برای مخفی ماندن پایبند هستند.
اینفوبلاکس می گوید:

دامنه‌های دکوی داگ را می‌توان بر اساس ثبت‌کننده‌های مشترک، سرورهای نام، آی پی و ارائه‌دهندگان دی ان اس پویا با هم گروه‌بندی کرد.

با توجه به اشتراکات دیگر بین دامنه‌های دکوی داگ، این نشان‌دهنده این است که یا یک عامل تهدید به تدریج تاکتیک‌های خود را تغییر می‌دهد، یا چندین عامل تهدید یک جعبه ابزار را در زیرساخت‌های مختلف مستقر می‌کنند.