وارونیس یک ویروس رمزنگاری کشف کرد: تحقیقات ما

تیم تحقیقات امنیت سایبری ما اخیراً شبکه‌ای را بررسی کرده است که تقریباً به طور کامل به ویروس رمزنگاری در یک شرکت متوسط ​​آلوده شده بود. تحلیل و بررسی
نمونه‌های بدافزار جمع‌آوری‌شده نشان داد که اصلاح جدیدی پیدا شده است
چنین ویروس هایی به نام نورمن، با استفاده از روش های مختلف پنهان کردن حضور آن. علاوه بر این، کشف شد پوسته وب تعاملی، که ممکن است مربوط به اپراتورهای معدن باشد.

بررسی اجمالی مطالعه

• شرکت Varonis یک عفونت در مقیاس بزرگ با cryptominers شناسایی کرده است: تقریباً تمام سرورها و ایستگاه های کاری در شرکت به چنین نرم افزارهایی آلوده شده اند.
• از زمان آلودگی اولیه بیش از یک سال پیش، تعداد تغییرات و دستگاه های آلوده به طور پیوسته افزایش یافته است.
• ما نوع جدیدی از Monero cryptominer (نورمن) را کشف کردیم که از روش های مختلفی برای پنهان کردن آن از تجزیه و تحلیل توسط نرم افزارهای امنیتی استفاده می کند تا از شناسایی جلوگیری کند.
• بیشتر انواع بدافزار از DuckDNS (یک سرویس رایگان دینامیک DNS) برای اتصال به مرکز کنترل (سرورهای C&C) و به دست آوردن پارامترهای پیکربندی یا ارسال داده‌های جدید استفاده می‌کنند.
• نورمن یک ماینر ارز دیجیتال مونرو با کارایی بالا است که مبتنی بر استخراج کننده منبع باز - XMRig است.
• ما هنوز شواهد انکارناپذیری نداریم که رمزارزها را با پوسته تعاملی PHP مرتبط کند. با این حال، دلایل خوبی برای این باور وجود دارد که آنها از یک مهاجم می آیند. محققان در حال جمع آوری شواهد اضافی برای وجود یا عدم وجود چنین ارتباطی هستند.
• در این مقاله می توانید با توصیه های وارونیس در مورد محافظت در برابر پوسته های وب از راه دور و cryptominers آشنا شوید.

تحقیق

تحقیقات در طول پروژه آزمایشی بعدی آغاز شد بسترهای نرم افزاری
امنیت سایبری وارونیس (پلتفورم امنیت داده های Varonis)، که امکان شناسایی سریع چندین رویداد غیرعادی مشکوک در سطح شبکه را در طی درخواست های اینترنتی (از طریق یک پروکسی وب)، مرتبط با اقدامات غیرعادی در سیستم فایل فراهم می کرد.
مشتری بلافاصله اشاره کرد که دستگاه های شناسایی شده توسط پلت فرم ما
متعلق به همان کاربرانی است که اخیراً از کار افتادن برنامه و کاهش سرعت شبکه خبر داده اند.

تیم ما به صورت دستی محیط مشتری را بررسی کرد و از یک ایستگاه آلوده به ایستگاه دیگر مطابق با هشدارهای ایجاد شده توسط پلتفرم Varonis حرکت کرد. تیم واکنش به حوادث قانون خاصی را در این زمینه تدوین کرده است ماژول DataAlert برای شناسایی رایانه هایی که به طور فعال در حال استخراج بودند، که به از بین بردن سریع تهدید کمک کرد. نمونه‌هایی از بدافزار جمع‌آوری‌شده برای تیم‌های پزشکی قانونی و توسعه ارسال شد و آنها توصیه کردند که بررسی بیشتر نمونه‌ها ضروری است.
گره‌های آلوده به دلیل تماس‌هایی که با آن‌ها برقرار می‌کردند کشف شدند DuckDNS، یک سرویس Dynamic DNS که به کاربران خود اجازه می دهد نام دامنه خود را ایجاد کرده و به سرعت آنها را به آدرس های IP تغییر دهند. همانطور که در بالا ذکر شد، بیشتر بدافزارهای حادثه به DuckDNS برای اتصال به مرکز کنترل (C&C) دسترسی داشتند، در حالی که بقیه به پارامترهای پیکربندی دسترسی پیدا کردند یا داده‌های جدیدی ارسال کردند.

تقریباً تمام سرورها و رایانه ها به بدافزار آلوده شده بودند. عمدتا استفاده می شود
انواع رایج رمزارزها بدافزارهای دیگر شامل ابزارهای تخلیه رمز عبور و پوسته های PHP بودند، در حالی که تعدادی از ابزارها چندین سال کار می کردند.

ما نتایج را در اختیار مشتری قرار دادیم، بدافزار را از محیط آنها حذف کردیم و آلودگی های بیشتر را متوقف کردیم.

در میان تمام نمونه‌های کشف‌شده از cryptominers، یکی از آنها برجسته بود. اسمش را گذاشتیم نورمن.

ملاقات! نورمن. کریپتومینر

نورمن یک ماینر ارز دیجیتال مونرو با کارایی بالا بر اساس کد XMRig است. برخلاف سایر نمونه‌های استخراج‌شده، نورمن از تکنیک‌هایی برای پنهان کردن آن از تجزیه و تحلیل توسط نرم‌افزارهای امنیتی استفاده می‌کند تا از شناسایی و جلوگیری از گسترش بیشتر جلوگیری کند.

در نگاه اول، این بدافزار یک ماینر معمولی است که تحت نام svchost.exe پنهان شده است. با این حال، این مطالعه نشان داد که از روش‌های جالب‌تری برای مخفی ماندن از تشخیص و حفظ کارها استفاده می‌کند.

فرآیند استقرار این بدافزار را می توان به سه مرحله تقسیم کرد:

• کارایی؛
• پیاده سازی؛
• معدن.

تجزیه و تحلیل گام به گام

مرحله 1. اجرا

مرحله اول با فایل اجرایی svchost.exe شروع می شود.

این بدافزار با استفاده از NSIS (سیستم نصب Nullsoft Scriptable) کامپایل شده است که غیرعادی است. NSIS یک سیستم منبع باز است که برای ایجاد نصب کننده های ویندوز استفاده می شود. مانند SFX، این سیستم یک بایگانی از فایل ها و یک فایل اسکریپت ایجاد می کند که در حین اجرای نصب کننده اجرا می شود. فایل اسکریپت به برنامه می گوید که چه فایل هایی را اجرا کند و می تواند با فایل های دیگر موجود در آرشیو تعامل داشته باشد.

توجه: برای به دست آوردن یک فایل اسکریپت NSIS از یک فایل اجرایی، باید از 7zip نسخه 9.38 استفاده کنید، زیرا نسخه های بعدی این ویژگی را اجرا نمی کنند.

بدافزار بایگانی شده NSIS حاوی فایل های زیر است:

• CallAnsiPlugin.dll، CLR.dll - ماژول های NSIS برای فراخوانی توابع NET DLL.
• 5zmjbxUIOVQ58qPR.dll - DLL payload اصلی؛
• 4jy4sobf.acz، es1qdxg2.5pk، OIM1iVhZ.txt - فایل های بارگذاری.
• Retreat.mp3، Cropped_controller_config_controller_i_lb.png فقط فایل هایی هستند که به هیچ وجه به فعالیت های مخرب بعدی مرتبط نیستند.

دستور از فایل اسکریپت NSIS که payload را اجرا می کند در زیر آورده شده است.

بدافزار با فراخوانی تابع 5zmjbxUIOVQ58qPR.dll اجرا می شود که فایل های دیگر را به عنوان پارامتر می گیرد.

مرحله 2. اجرا

همانطور که از اسکریپت NSIS در بالا مشاهده می شود، فایل 5zmjbxUIOVQ58qPR.dll بار اصلی است. تجزیه و تحلیل سریع ابرداده ها نشان داد که DLL در ابتدا Norman.dll نام داشت، بنابراین ما آن را به این نام نامیدیم.

فایل DLL در دات نت توسعه یافته است و با مبهم سازی سه گانه در برابر مهندسی معکوس محافظت می شود.
با استفاده از محصول تجاری معروف Agile .NET Obfuscator.

در حین اجرا، بسیاری از عملیات خود تزریق در فرآیند خود و همچنین در سایر فرآیندها دخیل هستند. بسته به عمق بیت سیستم عامل، بدافزار این کار را انجام می دهد
مسیرهای مختلف پوشه های سیستم را انتخاب کرده و فرآیندهای مختلف را راه اندازی کنید.

بر اساس مسیر پوشه سیستم، بدافزار فرآیندهای مختلفی را برای اجرا انتخاب می کند.

بار تزریقی دو عملکرد اصلی دارد: اجرای رمزنگاری و جلوگیری از شناسایی.

اگر سیستم عامل 64 بیتی است

هنگامی که فایل اصلی svchosts.exe (فایل NSIS) اجرا می شود، یک فرآیند جدید برای خود ایجاد می کند و بار (1) را به آن تزریق می کند. بلافاصله پس از آن، notepad.exe یا explorer.exe را راه اندازی می کند و cryptominer را به آن تزریق می کند (2).

پس از این، فایل اصلی svchost.exe خارج می شود و فایل جدید svchost.exe به عنوان برنامه ای برای نظارت بر فرآیند ماینر استفاده می شود.

اگر سیستم عامل 32 بیتی است

وقتی فایل اصلی svchosts.exe (فایل NSIS) اجرا می‌شود، فرآیند خودش را کپی می‌کند و مانند نسخه 64 بیتی، payload را به آن تزریق می‌کند.

در این حالت، بدافزار یک بار به فرآیند explorer.exe کاربر تزریق می کند. از آنجا، کد مخرب یک فرآیند جدید (wuapp.exe یا vchost.exe) را راه اندازی می کند و یک ماینر را به آن تزریق می کند.

بدافزار این واقعیت را پنهان می کند که خود را به explorer.exe با بازنویسی کد تزریق شده قبلی با مسیر wuapp.exe و مقادیر خالی پنهان می کند.

همانطور که هنگام اجرا در یک محیط 64 بیتی وجود دارد، فرآیند اصلی svchost.exe خارج می شود و در صورتی که کاربر این فرآیند را خاتمه دهد، از دومین مورد برای تزریق مجدد کد مخرب به explorer.exe استفاده می شود.

در پایان الگوریتم اجرا، بدافزار همیشه یک cryptominer را به فرآیند قانونی که راه اندازی می کند تزریق می کند.

این طراحی شده است برای جلوگیری از شناسایی با پایان دادن به ماینر زمانی که کاربر Task Manager را راه اندازی می کند.

لطفا توجه داشته باشید که پس از راه اندازی Task Manager، فرآیند wuapp.exe به پایان می رسد.

پس از بستن مدیر وظیفه، بدافزار فرآیند wuapp.exe را بارها و بارها شروع می کند
ماینر آن را به آن تزریق می کند.

مرحله 3. ماینر

ماینر XMRig که در بالا ذکر شد را در نظر بگیرید.

این بدافزار یک نسخه UPX پنهان از ماینر را به notepad، exe، explorer.exe تزریق می‌کند.
svchost.exe یا wuapp.exe بسته به عمق بیت سیستم عامل و مرحله الگوریتم اجرا.

هدر PE در ماینر حذف شده است و در تصویر زیر می بینیم که با UPX ماسک شده است.

پس از ایجاد Dump و بازسازی فایل اجرایی، توانستیم آن را اجرا کنیم:

لازم به ذکر است که دسترسی به سایت هدف XMR ممنوع است که عملاً این ماینر را خنثی می کند.

پیکربندی Miner:

"url": "pool.minexmr.com:5555","user":
"49WvfokdnuK6ojQePe6x2M3UCD59v3BQiBszkuTGE7wmNJuyAvHM9ojedgxMwNx9tZA33P84EeMLte7t6qZhxNHqHyfq9xA","pass":"x"

پوسته مرموز PHP داده ها را به C&C ارسال می کند

در طی این تحقیقات، تیم پزشکی قانونی ما یک فایل XSL را کشف کردند که توجه آنها را به خود جلب کرد. پس از تجزیه و تحلیل عمیق نمونه، یک پوسته PHP جدید کشف شد که دائماً به مرکز کنترل (سرور C&C) متصل می شود.

یک فایل XSL در چندین سرور در محیط مشتری یافت شد که توسط یک فایل اجرایی شناخته شده ویندوز (mscorsv.exe) از پوشه ای در فهرست sysWOW64 راه اندازی شد.

پوشه بدافزار AutoRecover نام داشت و حاوی بود چندین فایل:

• فایل XSL: xml.XSL
• نه فایل DLL

فایل های اجرایی:

• Mscorsv.exe
• Wmiprvse.exe

فایل XSL

فایل‌های XSL، برگه‌های سبکی هستند، مشابه آنچه در CSS استفاده می‌شود، که نحوه نمایش یک سند XML را توضیح می‌دهد.

با استفاده از Notepad، ما تشخیص دادیم که در واقع یک فایل XSL نیست، بلکه کد PHP است که توسط Zend Guard مبهم شده است. این واقعیت کنجکاو نشان داد که اینطور است
بار بدافزار بر اساس الگوریتم اجرای آن.

نه DLL

تجزیه و تحلیل اولیه فایل XSL به این نتیجه رسید که وجود چنین عددی وجود دارد
DLL ها معنای خاصی دارند. پوشه اصلی حاوی یک DLL به نام php.dll و سه کتابخانه دیگر مربوط به SSL و MySQL است. در زیر پوشه ها، کارشناسان چهار کتابخانه PHP و یک کتابخانه Zend Guard پیدا کردند. همه آنها قانونی هستند و از بسته نصب PHP یا به عنوان dll های خارجی به دست می آیند.

در این مرحله فرض بر این بود که بدافزار بر اساس PHP ایجاد شده و توسط Zend Guard مبهم شده است.

فایل های اجرایی

همچنین در این پوشه دو فایل اجرایی وجود داشت: Mscorsv.exe و Wmiprvse.exe.

پس از تجزیه و تحلیل فایل mscorsv.exe، متوجه شدیم که توسط مایکروسافت امضا نشده است، اگرچه پارامتر ProductName آن روی "Microsoft" تنظیم شده بود. چارچوب خالص".
در ابتدا عجیب به نظر می رسید، اما تجزیه و تحلیل Wmiprvse.exe به ما این امکان را داد که وضعیت را بهتر درک کنیم.

فایل Wmiprvse.exe نیز بدون امضا بود، اما حاوی نماد کپی رایت گروه PHP و نماد PHP بود. نگاهی گذرا به خطوط آن دستورات کمک PHP را نشان داد. هنگامی که با سوئیچ -version اجرا شد، مشخص شد که یک فایل اجرایی است که برای اجرای Zend Guard طراحی شده است.

وقتی mscorsv.exe به روشی مشابه راه اندازی شد، همان داده ها روی صفحه نمایش داده می شد. ما داده های باینری این دو فایل را با هم مقایسه کردیم و دیدیم که به جز ابرداده یکسان هستند
حق چاپ و نام شرکت / نام محصول.

بر این اساس، به این نتیجه رسیدیم که فایل XSL حاوی کد PHP است که با استفاده از فایل اجرایی Zend Guard که تحت نام mscorsv.exe پنهان شده است، اجرا می‌شود.

تجزیه فایل XSL

با استفاده از جستجوی اینترنتی، متخصصان به سرعت ابزار رفع ابهام زدایی Zend Guard را به دست آوردند و ظاهر اصلی فایل xml.XSL را بازیابی کردند:

معلوم شد که این بدافزار خود یک پوسته PHP است که دائماً به مرکز کنترل (سرور C&C) متصل است.

دستورات و خروجی هایی که ارسال و دریافت می کند رمزگذاری شده اند. از آنجایی که ما کد منبع را داشتیم، هم کلید رمزگذاری و هم دستورات را داشتیم.

این بدافزار دارای عملکرد داخلی زیر است:

• Eval - معمولاً برای تغییر متغیرهای موجود در کد استفاده می شود
• ضبط فایل محلی
• امکان کار با پایگاه داده
• امکان کار با PSEXEC
• اعدام پنهان
• فرآیندها و خدمات نقشه برداری

متغیر زیر نشان می دهد که این بدافزار چندین نسخه دارد.

هنگام جمع آوری نمونه ها، نسخه های زیر کشف شد:

• 0.5f
• 0.4p
• 0.4o

تنها عملکرد اطمینان از حضور مداوم بدافزار در سیستم این است که هنگام اجرا، سرویسی ایجاد می کند که خودش و نام آن را اجرا می کند.
از نسخه ای به نسخه دیگر تغییر می کند.

کارشناسان سعی کردند نمونه های مشابهی را در اینترنت پیدا کنند و بدافزار را کشف کردند
که به نظر آنها نسخه قبلی نمونه موجود بود. محتویات پوشه مشابه بود، اما فایل XSL متفاوت بود و شماره نسخه متفاوتی داشت.

بدافزار Parle-Vu؟

این بدافزار ممکن است در فرانسه یا کشور فرانسوی زبان دیگری ایجاد شده باشد: فایل SFX نظراتی به زبان فرانسوی داشت که نشان می‌دهد نویسنده از نسخه فرانسوی WinRAR برای ایجاد آن استفاده کرده است.

علاوه بر این، برخی از متغیرها و توابع موجود در کد به زبان فرانسوی نیز نامگذاری شدند.

نظارت بر اجرا و انتظار برای دستورات جدید

کارشناسان کد بدافزار را اصلاح کردند و با خیال راحت کدی را که قبلاً اصلاح شده بود راه اندازی کردند
نسخه برای جمع آوری اطلاعات در مورد دستوراتی که دریافت کرده است.

در پایان اولین جلسه ارتباطی، کارشناسان مشاهده کردند که بدافزار دستوری را دریافت کرد که با استفاده از Base64 به عنوان آرگومان کلید راه اندازی EVAL64 کدگذاری شده بود.
این دستور رمزگشایی و اجرا می شود. چندین متغیر داخلی (اندازه های بافر خواندن و نوشتن) را تغییر می دهد، پس از آن بدافزار وارد چرخه کاری در انتظار دستورات می شود.

در حال حاضر هیچ دستور جدیدی دریافت نشده است.

پوسته تعاملی PHP و cryptominer: آیا آنها به هم مرتبط هستند؟

متخصصان Varonis مطمئن نیستند که آیا نورمن با پوسته PHP مرتبط است یا خیر، زیرا استدلال های قوی هم برای و هم علیه این فرض وجود دارد:

چرا ممکن است با هم مرتبط باشند؟

• هیچ یک از نمونه‌های نرم‌افزار رمزنگاری مخرب توانایی انتشار مستقل به سیستم‌های دیگر را نداشتند، اگرچه در دستگاه‌های مختلف در بخش‌های مختلف شبکه یافت شدند. این امکان وجود دارد که مهاجم هر گره را به طور جداگانه آلوده کرده باشد (شاید با استفاده از همان بردار حمله مانند زمانی که بیمار صفر را آلوده می کند)، اگرچه استفاده از پوسته PHP برای پخش در سراسر شبکه ای که هدف حمله بود مؤثرتر خواهد بود.
• کمپین های خودکار هدفمند در مقیاس بزرگ که علیه یک سازمان خاص انجام می شود، اغلب مصنوعات فنی یا آثار قابل تشخیصی از تهدیدات امنیت سایبری را پشت سر می گذارند. در این مورد چیزی از این دست یافت نشد.
• هم نورمن و هم پوسته PHP از سرویس DuckDNS استفاده می کردند.

چرا ممکن است با هم مرتبط نباشند؟

• هیچ شباهت فنی بین انواع بدافزار رمزنگاری و پوسته PHP وجود ندارد. cryptominer مخرب در C++ ایجاد شده است و پوسته در PHP است. همچنین هیچ شباهتی در ساختار کد وجود ندارد و توابع شبکه به صورت متفاوتی پیاده سازی می شوند.
• هیچ ارتباط مستقیمی بین انواع بدافزار و پوسته PHP برای تبادل داده وجود ندارد.
• آن‌ها نظرات، فایل‌ها، ابرداده‌ها یا اثر انگشت دیجیتالی برنامه‌نویس را به اشتراک نمی‌گذارند.

سه توصیه برای محافظت در برابر پوسته های از راه دور

بدافزاری که برای کار کردن به دستورات مرکز کنترل (سرورهای C&C) نیاز دارد، مانند ویروس‌های معمولی نیست. اقدامات او چندان قابل پیش بینی نیست و بیشتر شبیه به اقدامات یک هکر یا پنتستر است که بدون ابزار یا اسکریپت خودکار انجام می شود. بنابراین، شناسایی این حملات بدون امضای بدافزار چالش برانگیزتر از اسکن آنتی ویروس معمولی است.

در زیر سه توصیه برای محافظت از شرکت ها در برابر پوسته های راه دور آورده شده است:

1. تمام نرم افزارها را به روز نگه دارید
   مهاجمان اغلب از آسیب‌پذیری‌ها در نرم‌افزار و سیستم‌عامل‌ها برای گسترش در شبکه سازمان و جستجوی داده‌های مورد علاقه استفاده می‌کنند تا
   سرقت. وصله به موقع خطر چنین تهدیدهایی را به میزان قابل توجهی کاهش می دهد.
2. نظارت بر رویدادهای دسترسی غیرعادی به داده ها
   به احتمال زیاد، مهاجمان تلاش خواهند کرد تا داده های محرمانه سازمان را فراتر از محیط اطراف ببرند. نظارت بر رویدادهای دسترسی غیرعادی به این داده ها اجازه می دهد
   شناسایی کاربران آسیب‌دیده و کل مجموعه پوشه‌ها و فایل‌هایی که واقعاً می‌توانند به دست مهاجمان بیفتند، و نه اینکه فقط همه داده‌های در دسترس این کاربران را به‌عنوان چنین در نظر بگیرند.
3. نظارت بر ترافیک شبکه
   استفاده از فایروال و/یا سرور پراکسی می تواند اتصالات مخرب به مراکز کنترل بدافزار (سرورهای C&C) را شناسایی و مسدود کند، از اجرای دستورات توسط مهاجمان جلوگیری کرده و کار را دشوارتر می کند.
   داده های محیطی

نگران موضوع استخراج خاکستری هستید؟ شش توصیه برای محافظت:

1. تمام سیستم عامل ها را به روز نگه دارید
   مدیریت پچ برای جلوگیری از سوء استفاده از منابع و آلودگی بدافزار بسیار مهم است.
2. ترافیک شبکه و پروکسی های وب را کنترل کنید
   این کار را برای شناسایی برخی حملات انجام دهید و برای جلوگیری از برخی از آنها می توانید ترافیک را بر اساس اطلاعات دامنه های مخرب مسدود کنید یا کانال های انتقال داده های غیر ضروری را محدود کنید.
3. از راه حل های آنتی ویروس و سیستم های امنیتی نقطه پایانی استفاده و نگهداری کنید (اما به هیچ وجه خود را به استفاده از این لایه محافظ محدود نکنید).
   محصولات Endpoint می توانند رمزنگارهای شناخته شده را شناسایی کرده و از عفونت ها قبل از اینکه به عملکرد سیستم و مصرف انرژی آسیب وارد کنند، جلوگیری کنند. لطفاً توجه داشته باشید که اصلاحات جدید یا روش‌های جدید جلوگیری از شناسایی ممکن است باعث شود امنیت نقطه پایانی نتواند نسخه‌های جدید همان بدافزار را شناسایی کند.
4. نظارت بر فعالیت CPU کامپیوتر
   به طور معمول، ماینرهای کریپتو از پردازنده مرکزی کامپیوتر برای استخراج استفاده می کنند. تجزیه و تحلیل هر پیامی در مورد کاهش عملکرد ضروری است ("کامپیوتر من شروع به کند شدن کرده است.").
5. نظارت بر DNS برای استفاده غیرمعمول از سرویس‌های DNS پویا (مانند DuckDNS)

   اگرچه DuckDNS و سایر سرویس‌های Dynamic DNS ذاتاً برای سیستم مضر نیستند، استفاده از DuckDNS توسط بدافزارها تشخیص میزبان‌های آلوده را برای تیم‌های تحقیقاتی ما آسان‌تر کرد.

6. یک طرح واکنش به حادثه ایجاد کنید
   اطمینان حاصل کنید که رویه‌های لازم را برای چنین حوادثی برای شناسایی خودکار، مهار و کاهش خطر استخراج کریپتو خاکستری در نظر گرفته‌اید.

توجه به مشتریان Varonis.
Varonis DataAlert شامل مدل‌های تهدیدی است که امکان شناسایی بدافزار رمزنگاری را فراهم می‌کند. مشتریان همچنین می‌توانند قوانین سفارشی را برای شناسایی نرم‌افزار بر اساس دامنه‌هایی که کاندید لیست سیاه هستند ایجاد کنند. برای اطمینان از اینکه آخرین نسخه DatAlert را اجرا می کنید و از مدل های تهدید درست استفاده می کنید، با نماینده فروش یا پشتیبانی Varonis تماس بگیرید.

منبع: www.habr.com