ProHoster > وبلاگ > اداره > بهره برداری از موضوع ویروس کرونا در تهدیدات امنیت سایبری
بهره برداری از موضوع ویروس کرونا در تهدیدات امنیت سایبری
موضوع کرونا امروز تمام فیدهای خبری را پر کرده است و همچنین به عنوان اصلی ترین موتیف برای فعالیت های مختلف مهاجمان با سوء استفاده از موضوع COVID-19 و هر آنچه مرتبط با آن است تبدیل شده است. در این یادداشت میخواهم به نمونههایی از این گونه فعالیتهای مخرب توجه کنم که البته برای بسیاری از متخصصان امنیت اطلاعات مخفی نیست، اما خلاصه آن در یک یادداشت، آگاهی شما را آسانتر میکند. برگزاری رویدادها برای کارمندانی که برخی از آنها از راه دور کار می کنند و برخی دیگر بیشتر از قبل در معرض تهدیدات مختلف امنیت اطلاعات هستند.
یک لحظه مراقبت از یک بشقاب پرنده
جهان رسماً همهگیری COVID-19 را اعلام کرده است، یک عفونت تنفسی حاد بالقوه شدید ناشی از ویروس SARS-CoV-2 (2019-nCoV). اطلاعات زیادی در مورد Habré در مورد این موضوع وجود دارد - همیشه به یاد داشته باشید که می تواند هم قابل اعتماد / مفید باشد و هم بالعکس.
ما شما را تشویق می کنیم که نسبت به هر گونه اطلاعات منتشر شده انتقاد داشته باشید.
اگر در روسیه زندگی نمی کنید، لطفا به سایت های مشابه در کشور خود مراجعه کنید.
دست های خود را بشویید، از عزیزان خود مراقبت کنید، در صورت امکان در خانه بمانید و از راه دور کار کنید.
لازم به ذکر است که امروزه هیچ تهدید کاملا جدیدی در ارتباط با ویروس کرونا وجود ندارد. در عوض، ما در مورد بردارهای حمله صحبت می کنیم که قبلاً سنتی شده اند و به سادگی در یک "سس" جدید استفاده می شوند. بنابراین، من انواع کلیدی تهدیدات را می نامم:
سایتهای فیشینگ و خبرنامههای مرتبط با ویروس کرونا و کدهای مخرب مرتبط
کلاهبرداری و اطلاعات نادرست با هدف سوء استفاده از ترس یا اطلاعات ناقص درباره COVID-19
حملات علیه سازمان های درگیر در تحقیقات کرونا
در روسیه، جایی که شهروندان به طور سنتی به مقامات اعتماد ندارند و معتقدند که حقیقت را از آنها پنهان میکنند، احتمال "ترویج" موفقیتآمیز سایتهای فیشینگ و فهرستهای پستی و همچنین منابع تقلبی، بسیار بیشتر از کشورهایی است که بازتر هستند. مسئولین. اگرچه امروزه هیچ کس نمی تواند خود را کاملاً در برابر کلاهبرداران سایبری خلاق که از تمام نقاط ضعف انسانی کلاسیک یک فرد - ترس ، شفقت ، طمع و غیره استفاده می کنند ، محافظت کند.
به عنوان مثال، یک سایت تقلبی فروش ماسک های پزشکی را در نظر بگیرید.
یک سایت مشابه، CoronavirusMedicalkit[.]com، توسط مقامات ایالات متحده به دلیل توزیع یک واکسن موجود برای کووید-19 به صورت رایگان با «فقط» هزینه پست برای ارسال دارو، بسته شد. در این مورد، با چنین قیمت پایین، محاسبه برای تقاضای عجله برای دارو در شرایط وحشت در ایالات متحده بود.
این یک تهدید سایبری کلاسیک نیست، زیرا وظیفه مهاجمان در این مورد آلوده کردن کاربران یا سرقت دادههای شخصی یا اطلاعات هویتی آنها نیست، بلکه فقط بر روی موج ترس است تا آنها را مجبور به ترک کردن و خرید ماسکهای پزشکی با قیمتهای متورم کنند. 5-10-30 برابر بیشتر از هزینه واقعی. اما ایده ایجاد یک وب سایت جعلی با سوء استفاده از موضوع ویروس کرونا توسط مجرمان سایبری نیز مورد استفاده قرار می گیرد. به عنوان مثال، در اینجا سایتی وجود دارد که نام آن حاوی کلمه کلیدی "covid19" است، اما همچنین یک سایت فیشینگ است.
به طور کلی، نظارت روزانه خدمات بررسی حادثه ما Cisco Umbrella Investigate، می بینید که چند دامنه در حال ایجاد است که نام آنها حاوی کلمات covid، covid19، coronavirus و غیره است. و بسیاری از آنها مخرب هستند.
در محیطی که برخی از کارکنان شرکت از خانه به محل کار منتقل میشوند و اقدامات امنیتی شرکتی از آنها محافظت نمیشود، نظارت بر منابعی که از دستگاههای موبایل و دسکتاپ کارمندان، آگاهانه یا بدون آنها به آنها دسترسی پیدا میکند، مهمتر از همیشه است. دانش اگر از خدمات استفاده نمی کنید چتر سیسکو برای شناسایی و مسدود کردن چنین دامنه هایی (و Cisco پیشنهادات اتصال به این سرویس اکنون رایگان است)، سپس حداقل راه حل های نظارت بر دسترسی به وب خود را برای نظارت بر دامنه ها با کلمات کلیدی مرتبط پیکربندی کنید. در عین حال، به یاد داشته باشید که رویکرد سنتی برای قرار دادن دامنهها در لیست سیاه، و همچنین استفاده از پایگاههای اطلاعاتی شهرت، میتواند شکست بخورد، زیرا دامنههای مخرب بسیار سریع ایجاد میشوند و تنها در 1-2 حمله به مدت بیش از چند ساعت استفاده میشوند. مهاجمان به دامنه های زودگذر جدید سوئیچ می کنند. شرکت های امنیت اطلاعات به سادگی زمان کافی برای به روز رسانی سریع پایگاه های دانش خود و توزیع آن ها در بین تمام مشتریان خود را ندارند.
مهاجمان همچنان به طور فعال از کانال ایمیل برای توزیع لینک های فیشینگ و بدافزار در پیوست ها سوء استفاده می کنند. و اثربخشی آنها بسیار بالا است، زیرا کاربران، در حالی که پیام های خبری کاملا قانونی در مورد ویروس کرونا را دریافت می کنند، همیشه نمی توانند موارد مخرب را در حجم خود تشخیص دهند. و در حالی که تعداد افراد مبتلا فقط در حال افزایش است، دامنه چنین تهدیدهایی نیز رشد خواهد کرد.
برای مثال، نمونه ای از ایمیل های فیشینگ از طرف CDC به این صورت است:
البته دنبال کردن پیوند به وبسایت CDC منتهی نمیشود، بلکه به صفحه جعلی منجر میشود که ورود و رمز عبور قربانی را میدزدد:
در اینجا نمونه ای از ایمیل های فیشینگ ظاهراً از طرف سازمان بهداشت جهانی آورده شده است:
و در این مثال، مهاجمان روی این واقعیت حساب می کنند که بسیاری از مردم بر این باورند که مقامات مقیاس واقعی آلودگی را از آنها پنهان می کنند و بنابراین کاربران با خوشحالی و تقریباً بدون تردید روی این نوع نامه ها با پیوندهای مخرب یا پیوست هایی کلیک می کنند. ظاهراً همه رازها را فاش خواهد کرد.
اتفاقا چنین سایتی وجود دارد جهان سنج، که به شما امکان می دهد شاخص های مختلفی را ردیابی کنید، به عنوان مثال، مرگ و میر، تعداد سیگاری ها، جمعیت در کشورهای مختلف و غیره. این وب سایت همچنین یک صفحه اختصاص داده شده به ویروس کرونا دارد. و بنابراین، وقتی در 16 مارس به آن مراجعه کردم، صفحهای را دیدم که برای لحظهای شک کرد که مقامات به ما حقیقت را میگویند (نمیدانم دلیل این اعداد چیست، شاید فقط یک اشتباه باشد):
یکی از زیرساختهای محبوبی که مهاجمان برای ارسال ایمیلهای مشابه از آن استفاده میکنند Emotet است که یکی از خطرناکترین و محبوبترین تهدیدات اخیر است. اسناد Word پیوست شده به پیامهای ایمیل حاوی بارگیریکنندههای Emotet هستند که ماژولهای مخرب جدید را روی رایانه قربانی بارگذاری میکنند. Emotet در ابتدا برای تبلیغ لینک به سایت های تقلبی فروش ماسک های پزشکی استفاده شد که ساکنان ژاپن را هدف قرار می دادند. در زیر نتیجه تجزیه و تحلیل یک فایل مخرب با استفاده از sandboxing را مشاهده می کنید شبکه تهدید سیسکو، که فایل ها را از نظر وجود مخرب تجزیه و تحلیل می کند.
اما مهاجمان نه تنها از توانایی راهاندازی در MS Word، بلکه در سایر برنامههای مایکروسافت، به عنوان مثال، در MS Excel (این روشی است که گروه هکر APT36 عمل کرد) سوء استفاده میکنند، و توصیههایی را برای مبارزه با کرونا از دولت هند حاوی Crimson ارسال میکنند. RAT:
کمپین مخرب دیگری که از موضوع ویروس کرونا سوء استفاده می کند Nanocore RAT است که به شما امکان می دهد برنامه هایی را برای دسترسی از راه دور، رهگیری ضربه های صفحه کلید، گرفتن تصاویر صفحه نمایش، دسترسی به فایل ها و غیره روی رایانه های قربانی نصب کنید.
و Nanocore RAT معمولاً از طریق ایمیل تحویل داده می شود. به عنوان مثال، در زیر یک پیام ایمیل نمونه با یک آرشیو ZIP پیوست شده را مشاهده می کنید که حاوی یک فایل PIF قابل اجرا است. با کلیک بر روی فایل اجرایی، قربانی یک برنامه دسترسی از راه دور (Remote Access Tool, RAT) را بر روی کامپیوتر خود نصب می کند.
در اینجا نمونه دیگری از یک انگلی کمپین در مورد COVID-19 است. کاربر نامه ای در مورد تأخیر احتمالی تحویل به دلیل کرونا با فاکتور پیوست با پسوند pdf.ace دریافت می کند. در داخل آرشیو فشرده محتوای اجرایی وجود دارد که برای دریافت دستورات اضافی و انجام سایر اهداف مهاجم، ارتباطی با سرور فرمان و کنترل برقرار میکند.
Parallax RAT عملکرد مشابهی دارد، که فایلی به نام "new infected CORONAVIRUS sky 03.02.2020/XNUMX/XNUMX.pif" را توزیع می کند و برنامه مخربی را نصب می کند که از طریق پروتکل DNS با سرور فرمان خود در تعامل است. ابزارهای حفاظتی کلاس EDR که نمونه ای از آن است Cisco AMP برای نقاط پایانیو NGFW به نظارت بر ارتباطات با سرورهای فرمان کمک می کند (به عنوان مثال، Cisco Firepower، یا ابزارهای نظارت DNS (به عنوان مثال، چتر سیسکو).
در مثال زیر، بدافزار دسترسی از راه دور بر روی رایانه قربانی نصب شده است که به دلایلی نامعلوم، تبلیغاتی را خریداری کرده است که یک برنامه آنتی ویروس معمولی نصب شده روی رایانه شخصی می تواند در برابر COVID-19 واقعی محافظت کند. و بالاخره یک نفر گرفتار چنین شوخی ظاهری شد.
اما در میان بدافزارها چیزهای واقعا عجیبی نیز وجود دارد. به عنوان مثال، فایل های جوک که کار باج افزار را شبیه سازی می کنند. در یک مورد، بخش Cisco Talos ما کشف شده فایلی به نام CoronaVirus.exe که صفحه نمایش را در حین اجرا مسدود کرده و یک تایمر و پیغام «حذف همه فایلها و پوشهها در این رایانه - ویروس کرونا» را راهاندازی میکند.
پس از اتمام شمارش معکوس دکمه پایین فعال شد و با فشردن پیغام زیر نمایش داده شد که اینها همه شوخی است و برای پایان برنامه باید کلیدهای Alt+F12 را فشار دهید.
مبارزه با پست های مخرب می تواند به طور خودکار، به عنوان مثال، با استفاده از امنیت ایمیل سیسکو، که به شما امکان می دهد نه تنها محتوای مخرب در پیوست ها را شناسایی کنید، بلکه پیوندهای فیشینگ و کلیک روی آنها را نیز ردیابی کنید. اما حتی در این مورد نیز نباید آموزش کاربران و انجام منظم شبیهسازی فیشینگ و تمرینهای سایبری را فراموش کنید که کاربران را برای ترفندهای مختلف مهاجمان علیه کاربران شما آماده میکند. به خصوص اگر آنها از راه دور و از طریق ایمیل شخصی خود کار کنند، کدهای مخرب می توانند به شبکه شرکت یا بخش نفوذ کنند. در اینجا من می توانم یک راه حل جدید را توصیه کنم Cisco Security Awareness Tool، که نه تنها امکان آموزش میکرو و نانو پرسنل در مورد مسائل امنیت اطلاعات را فراهم می کند، بلکه امکان سازماندهی شبیه سازی فیشینگ برای آنها را نیز فراهم می کند.
اما اگر به دلایلی آماده استفاده از چنین راه حل هایی نیستید، حداقل ارزش دارد که با یادآوری خطر فیشینگ، نمونه های آن و فهرستی از قوانین رفتار ایمن، پست های منظم را برای کارمندان خود سازماندهی کنید (نکته اصلی این است که مهاجمان خود را به عنوان آنها پنهان نمی کنند). به هر حال، یکی از خطرات احتمالی در حال حاضر، پستهای فیشینگ است که به عنوان نامههای مدیریت شما ظاهر میشوند، که ظاهراً در مورد قوانین و رویههای جدید برای کار از راه دور، نرمافزار اجباری که باید روی رایانههای راه دور نصب شوند و غیره صحبت میکنند. و فراموش نکنید که علاوه بر ایمیل، مجرمان سایبری می توانند از پیام رسان های فوری و شبکه های اجتماعی استفاده کنند.
در این نوع پست یا برنامه افزایش آگاهی، میتوانید نمونه کلاسیک قبلاً نقشه جعلی عفونت ویروس کرونا را نیز وارد کنید، که شبیه به نقشه بود. راه اندازی شد دانشگاه جان هاپکینز تفاوت کارت مخرب این بود که هنگام دسترسی به یک سایت فیشینگ، بدافزاری روی رایانه کاربر نصب میشد که اطلاعات حساب کاربری را دزدیده و برای مجرمان سایبری ارسال میکرد. یک نسخه از چنین برنامه ای همچنین اتصالات RDP را برای دسترسی از راه دور به رایانه قربانی ایجاد کرد.
به هر حال، در مورد RDP. این یکی دیگر از بردارهای حمله است که مهاجمان در طول همهگیری ویروس کرونا شروع به استفاده فعالتر از آن کردهاند. بسیاری از شرکتها هنگام تغییر به کار از راه دور، از خدماتی مانند RDP استفاده میکنند که در صورت پیکربندی نادرست به دلیل عجله، میتواند منجر به نفوذ مهاجمان به رایانههای کاربر راه دور و داخل زیرساخت شرکت شود. علاوه بر این، حتی با پیکربندی صحیح، پیاده سازی های RDP مختلف ممکن است دارای آسیب پذیری هایی باشند که می توانند توسط مهاجمان مورد سوء استفاده قرار گیرند. مثلا سیسکو تالو پیدا شد چندین آسیبپذیری در FreeRDP و در ماه می سال گذشته، یک آسیبپذیری مهم CVE-2019-0708 در سرویس Microsoft Remote Desktop کشف شد که امکان اجرای کد دلخواه بر روی رایانه قربانی، معرفی بدافزار و غیره را فراهم میکرد. حتی یک خبرنامه در مورد او توزیع شد NKTSKIو برای مثال سیسکو تالو опубликовала توصیه هایی برای محافظت در برابر آن
مثال دیگری از سوء استفاده از موضوع کرونا وجود دارد - تهدید واقعی عفونت خانواده قربانی در صورت امتناع از پرداخت باج به بیت کوین. برای تقویت اثر، اهمیت دادن به نامه و ایجاد حس قدرت مطلق اخاذی، رمز عبور قربانی از یکی از حساب های کاربری وی که از پایگاه های اطلاعاتی عمومی ورود و رمز عبور به دست آمده بود، در متن نامه درج شد.
در یکی از مثال های بالا، من یک پیام فیشینگ از سازمان بهداشت جهانی را نشان دادم. و در اینجا مثال دیگری وجود دارد که در آن از کاربران برای مبارزه با COVID-19 درخواست کمک مالی میشود (اگرچه در سربرگ متن نامه، کلمه DONATIONTION بلافاصله قابل توجه است) و آنها برای محافظت در برابر بیتکوین کمک میخواهند. ردیابی ارزهای دیجیتال
و امروزه نمونههای زیادی وجود دارد که از شفقت کاربران سوء استفاده میکنند:
بیت کوین از طریق دیگری با COVID-19 مرتبط است. به عنوان مثال، نامههای دریافتی بسیاری از شهروندان بریتانیایی که در خانه نشستهاند و نمیتوانند درآمد کسب کنند، به این شکل است (اکنون در روسیه این موضوع نیز مرتبط خواهد شد).
این پستها که به عنوان روزنامهها و سایتهای خبری معروف جلوه میکنند، با استخراج ارزهای دیجیتال در سایتهای خاص، پول آسانی را ارائه میدهند. در واقع پس از مدتی پیامی دریافت می کنید مبنی بر اینکه مبلغی که به دست آورده اید قابل برداشت به حساب خاصی است اما قبل از آن باید مقدار کمی مالیات را واریز کنید. واضح است که کلاهبرداران پس از دریافت این پول هیچ چیزی را در ازای آن انتقال نمی دهند و کاربر ساده لوح وجه انتقالی را از دست می دهد.
تهدید دیگری در ارتباط با سازمان بهداشت جهانی وجود دارد. هکرها تنظیمات DNS روترهای D-Link و Linksys را که اغلب توسط کاربران خانگی و مشاغل کوچک مورد استفاده قرار میگیرد، هک کردند تا آنها را به یک وبسایت جعلی با هشداری در مورد نیاز به نصب برنامه WHO هدایت کنند. به روز با آخرین اخبار در مورد ویروس کرونا. علاوه بر این، خود برنامه حاوی برنامه مخرب Oski بود که اطلاعات را می دزدد.
یک ایده مشابه با یک برنامه حاوی وضعیت فعلی عفونت COVID-19 توسط تروجان CovidLock اندروید مورد سوء استفاده قرار می گیرد که از طریق برنامه ای توزیع می شود که ظاهراً توسط وزارت آموزش ایالات متحده، WHO و مرکز کنترل همه گیر "گواهی نامه" دریافت کرده است. CDC).
امروزه بسیاری از کاربران در انزوا قرار دارند و در صورت تمایل یا ناتوانی به آشپزی، فعالانه از خدمات تحویل غذا، خواربارفروشی یا سایر کالاها مانند دستمال توالت استفاده می کنند. مهاجمان نیز برای اهداف خود بر این بردار مسلط شده اند. به عنوان مثال، این چیزی است که یک وب سایت مخرب شبیه به یک منبع قانونی متعلق به کانادا پست است. پیوند از اس ام اس دریافت شده توسط قربانی به وب سایتی منتهی می شود که گزارش می دهد محصول سفارش داده شده قابل تحویل نیست زیرا فقط 3 دلار گم شده است که باید اضافه پرداخت شود. در این صورت کاربر به صفحه ای هدایت می شود که باید مشخصات کارت اعتباری خود را ... با تمام عواقب ناشی از آن نشان دهد.
در خاتمه، میخواهم دو مثال دیگر از تهدیدات سایبری مرتبط با کووید-19 ارائه کنم. به عنوان مثال، افزونههای «COVID-19 Coronavirus - Live Map WordPress Plugin»، «Coronavirus Spread Prediction Graphs» یا «Covid-19» در سایتها با استفاده از موتور محبوب وردپرس ساخته شدهاند و همراه با نمایش نقشه گسترش ویروس کرونا، همچنین حاوی بدافزار WP-VCD است. و شرکت Zoom که در پی رشد تعداد رویدادهای آنلاین، بسیار بسیار محبوب شد، با چیزی مواجه شد که کارشناسان آن را "Zoombombing" نامیدند. مهاجمان، اما در واقع ترول های پورن معمولی، به چت های آنلاین و جلسات آنلاین متصل می شدند و فیلم های سخیف مختلف را نشان می دادند. به هر حال، امروز تهدید مشابهی توسط شرکت های روسی مواجه شده است.
فکر میکنم اکثر ما به طور مرتب منابع مختلف، چه رسمی و چه نه چندان رسمی، را در مورد وضعیت فعلی همهگیری بررسی میکنیم. مهاجمان از این موضوع سوء استفاده میکنند و «جدیدترین» اطلاعات درباره ویروس کرونا را به ما ارائه میکنند، از جمله اطلاعاتی که «مقامات از شما پنهان میکنند». اما حتی کاربران عادی اخیراً اغلب با ارسال کدهایی از حقایق تأیید شده از "آشنایان" و "دوستان" به مهاجمان کمک می کنند. روانشناسان می گویند که چنین فعالیتی از کاربران "هشدار" که هر چیزی را که به میدان دید آنها می رسد ارسال می کنند (به ویژه در شبکه های اجتماعی و پیام رسان های فوری که مکانیسم های محافظتی در برابر چنین تهدیداتی ندارند) به آنها این امکان را می دهد که در مبارزه با آنها احساس مشارکت داشته باشند. یک تهدید جهانی و حتی مانند قهرمانانی که جهان را از شر کرونا نجات می دهند. اما، متأسفانه، فقدان دانش ویژه منجر به این واقعیت می شود که این نیت های خوب "همه را به جهنم می کشاند"، تهدیدات جدید امنیت سایبری را ایجاد می کند و تعداد قربانیان را افزایش می دهد.
در واقع، میتوانم نمونههایی از تهدیدات سایبری مرتبط با کرونا را ادامه دهم. علاوه بر این، مجرمان سایبری ثابت نمیمانند و راههای جدیدتری برای بهرهبرداری از احساسات انسانی ارائه میکنند. اما من فکر می کنم ما می توانیم در آنجا متوقف شویم. تصویر از قبل واضح است و به ما می گوید که در آینده نزدیک وضعیت بدتر خواهد شد. دیروز مقامات مسکو این شهر ده میلیون نفری را در قرنطینه قرار دادند. مقامات منطقه مسکو و بسیاری از مناطق دیگر روسیه، و همچنین نزدیکترین همسایگان ما در فضای سابق پس از شوروی، همین کار را کردند. این بدان معناست که تعداد قربانیان بالقوه مورد هدف مجرمان سایبری چندین برابر افزایش می یابد. بنابراین، ارزش آن را دارد که نه تنها استراتژی امنیتی خود را که تا همین اواخر فقط بر حفاظت از یک شبکه سازمانی یا سازمانی متمرکز بود، بازنگری کنید، و ارزیابی کنید که چه ابزارهای حفاظتی کمبود دارید، بلکه باید مثال های ارائه شده در برنامه آگاهی پرسنل خود را نیز در نظر بگیرید. تبدیل شدن به بخش مهمی از سیستم امنیت اطلاعات برای کارگران از راه دور. آ سیسکو آماده برای کمک به شما در این مورد!
PS. در تهیه این مطالب از شرکت های Cisco Talos، Naked Security، Anti-Phishing، Malwarebytes Lab، ZoneAlarm، Reason Security و RiskIQ، وزارت دادگستری ایالات متحده، منابع Bleeping Computer، SecurityAffairs و ... استفاده شده است.