- مقدمه
بدافزار رجین که بهتازگی ذهن تمامی مسئولین امنیتی در سراسر دنیا را به خود جلب نموده است، دارای پیچیدگیهای خاصی میباشد. به گونهای که به نظر میرسد توسط یک حکومت ایجاده شده و ممکن است برای مدت 8 سال مورد استفاده قرار گرفته باشد. این بدافزار دارای اهداف متنوعی است که به طور خاص میتوان به شرکتهای مخابراتی در کشورهای مختلف از جمله ایران اشاره نمود.
این بدافزار با ماژولهای متفاوت سفارشی سازی شده برای سرقت انواع خاص اطلاعات، غالباً شرکتهای مخابراتی، کسب و کارهای کوچک و افراد شخصی را هدف قرار داده است. سیمانتِک حدود ۱۰۰ نهاد را در ۱۰ کشور کشف کرده است که توسط بدافزار رجین آلوده شدهاند که اغلب آنها در روسیه و عربستان صعودی قرار دارند. اما در مکزیک، ایرلند، هند، افغانستان، ایران، بلژیک، اتریش و پاکستان نیز مواردی از آلودگی به این بدافزار مشاهده شده است.
به گفته یک محقق امنیتی سیمانتِک به نام «لیام اومورچو»، نخستین نسخه Regin بین سالهای ۲۰۰۸ تا ۲۰۱۱ فعال شد. سیمانتِک تحلیل نسخه دیگری از Regin را که توسط یکی از مشتریان برای این شرکت ارسال شده بود حدود یک سال قبل آغاز کرد. اما شواهد و ادله جرمشناسانهای وجود دارد مبنی بر اینکه Regin از سال ۲۰۰۶ فعال بوده است. در حقیقت سیمانتِک نام Regin را برای این بدافزار انتخاب نکرده است. به گفته اومورچو این بدافزار توسط دیگرانی که در زمینه امنیت فعالیت مینمایند و پیش از این در مورد این بدافزار اطلاعاتی داشتهاند، به این نام نامیده شده است.
سیمانتِک حدود ۱۰۰ نهاد را در ۱۰ کشور کشف کرده است که توسط Regin آلوده شدهاند که اغلب آنها در روسیه و عربستان سعودی قرار دارند. اما در مکزیک، ایرلند، هند، افغانستان، ایران، بلژیک، اتریش و پاکستان نیز مواردی از آلودگی به این بدافزار مشاهده شده است.
Regin یک تروجان backdoor است که بسته به هدف، با گستره متنوعی از قابلیتها، سفارشیسازی میشود. به گفته سیمانتِک، تولید این بدافزار ماهها و حتی سالها زمان برده است و نویسندگان آن تمام سعی خود را برای پوشاندن ردپای این بدافزار کردهاند.
همچنین هنوز دقیقاً مشخص نیست که کاربران چگونه توسط Regin آلوده میشوند. به گفته اومورچو، سایمانتک فقط در مورد یک کامپیوتر کشف کرده است که از طریق یاهو مسنجر آلوده شده است. این احتمال وجود دارد که کاربر قربانی یک حمله مهندسی اجتماعی شده و بر روی لینکی که از طریق مسنجر ارسال شده است کلیک کرده باشد. اما احتمال بیشتری وجود دارد که کنترلکنندگان Regin از یک آسیبپذیری در مسنجر آگاه بوده و بدون نیاز به تعامل کاربر، سیستم وی را آلوده کرده باشند.
2 - مراحل و ساختار کلی بدافزار
اگر بخواهیم روند کاری این بدافزار را مرحلهبندی نماییم، میتوان گفت که این بدافزار فعالیتهای خود را در 6 مرحله انجام میدهد. اولین مرحله مربوط به نصب و پیکربندی سرویسهای داخلیست. سایر مراحل مربوط به payload های این بدافزار میباشد.
در مرحله اول نصب برروی درایور که ساده ترین قسمت برای خواندن کدها هست انجام میگیرد.تمامی مراحل بعد با رمزگذاری و روش های غیرمعمول مانند قسمتی از رجیستری یا در فایلهای EA ذخیره میشوند.
بدافزار رجین که بهتازگی ذهن تمامی مسئولین امنیتی در سراسر دنیا را به خود جلب نموده است، دارای پیچیدگیهای خاصی میباشد. به گونهای که به نظر میرسد توسط یک حکومت ایجاده شده و ممکن است برای مدت 8 سال مورد استفاده قرار گرفته باشد. این بدافزار دارای اهداف متنوعی است که به طور خاص میتوان به شرکتهای مخابراتی در کشورهای مختلف از جمله ایران اشاره نمود.
این بدافزار با ماژولهای متفاوت سفارشی سازی شده برای سرقت انواع خاص اطلاعات، غالباً شرکتهای مخابراتی، کسب و کارهای کوچک و افراد شخصی را هدف قرار داده است. سیمانتِک حدود ۱۰۰ نهاد را در ۱۰ کشور کشف کرده است که توسط بدافزار رجین آلوده شدهاند که اغلب آنها در روسیه و عربستان صعودی قرار دارند. اما در مکزیک، ایرلند، هند، افغانستان، ایران، بلژیک، اتریش و پاکستان نیز مواردی از آلودگی به این بدافزار مشاهده شده است.
به گفته یک محقق امنیتی سیمانتِک به نام «لیام اومورچو»، نخستین نسخه Regin بین سالهای ۲۰۰۸ تا ۲۰۱۱ فعال شد. سیمانتِک تحلیل نسخه دیگری از Regin را که توسط یکی از مشتریان برای این شرکت ارسال شده بود حدود یک سال قبل آغاز کرد. اما شواهد و ادله جرمشناسانهای وجود دارد مبنی بر اینکه Regin از سال ۲۰۰۶ فعال بوده است. در حقیقت سیمانتِک نام Regin را برای این بدافزار انتخاب نکرده است. به گفته اومورچو این بدافزار توسط دیگرانی که در زمینه امنیت فعالیت مینمایند و پیش از این در مورد این بدافزار اطلاعاتی داشتهاند، به این نام نامیده شده است.
سیمانتِک حدود ۱۰۰ نهاد را در ۱۰ کشور کشف کرده است که توسط Regin آلوده شدهاند که اغلب آنها در روسیه و عربستان سعودی قرار دارند. اما در مکزیک، ایرلند، هند، افغانستان، ایران، بلژیک، اتریش و پاکستان نیز مواردی از آلودگی به این بدافزار مشاهده شده است.
Regin یک تروجان backdoor است که بسته به هدف، با گستره متنوعی از قابلیتها، سفارشیسازی میشود. به گفته سیمانتِک، تولید این بدافزار ماهها و حتی سالها زمان برده است و نویسندگان آن تمام سعی خود را برای پوشاندن ردپای این بدافزار کردهاند.
همچنین هنوز دقیقاً مشخص نیست که کاربران چگونه توسط Regin آلوده میشوند. به گفته اومورچو، سایمانتک فقط در مورد یک کامپیوتر کشف کرده است که از طریق یاهو مسنجر آلوده شده است. این احتمال وجود دارد که کاربر قربانی یک حمله مهندسی اجتماعی شده و بر روی لینکی که از طریق مسنجر ارسال شده است کلیک کرده باشد. اما احتمال بیشتری وجود دارد که کنترلکنندگان Regin از یک آسیبپذیری در مسنجر آگاه بوده و بدون نیاز به تعامل کاربر، سیستم وی را آلوده کرده باشند.
2 - مراحل و ساختار کلی بدافزار
اگر بخواهیم روند کاری این بدافزار را مرحلهبندی نماییم، میتوان گفت که این بدافزار فعالیتهای خود را در 6 مرحله انجام میدهد. اولین مرحله مربوط به نصب و پیکربندی سرویسهای داخلیست. سایر مراحل مربوط به payload های این بدافزار میباشد.
در مرحله اول نصب برروی درایور که ساده ترین قسمت برای خواندن کدها هست انجام میگیرد.تمامی مراحل بعد با رمزگذاری و روش های غیرمعمول مانند قسمتی از رجیستری یا در فایلهای EA ذخیره میشوند.
- روند اجرایی این بدافزار
مرحله 0 ((dropper
هنوز پاسخ کاملی در ارتباط با چگونگی ورود رجین به تارگت وجود ندارد. ولی احتمالاَ به محض ورود به سیستم اقدام به نصب مرحله اول میکند.
مرحه 1
نقطه شروع حمله این مرحله میباشد. دو نوع فایل در این مرحله مشاهده شده که عبارتند از:
-usbclass.sys (version 1.0)
-adpu160.sys (version 2.0)
احتمال وجود فایل های دیگری که بین 1.0 و 2.0 باشد زیاد است.
این فایل ها همگی در سطح کرنل فعال هستند و مسئول راهاندازی مرحله دوم حمله میباشند. مرحله 1 به راحتی این کار را با خواندن یا نوشتن در یک فایل EA انجام میدهد.اگر وجود نداشت به سراغ رجیستریها رفته و مرحله 2 توسط رجیستریها نصب خواهد شد.
مرحله 2
این مرحله نیز در سطح کرنل آغاز خواهد شد و به راحتی اقدام به نصب و اجرای مرحله 3 میکند. و همانند مرحله اول این کار را در یک فایل EA یا رجیستری انجام میشود
مرحله 2 در محل های زیر یافت میشود:
Registry subkey
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4F20E605-9452-4787-B793-
D0204917CA58}
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\RestoreList\VideoBase (possibly only in version
2.0)
این مرحله همچنین مسئول مخفی کردن بقایای مرحله اول میباشد و به همین دلیل شناسایی آن کار سختی است.
مرحله 3
مرحله 3 نیز در سطح کرنل انجام میشود و از نوع DLL است که همانند مراحل قبل به روش های معمول ذخیره سازی نمیگردد و در یک فایل EA یا بلاک رجیستری ذخیره میگردد
این مرحله در محلهای زیر یافت میشود:
Extended attribute
%Windir%\system32
%Windir%\system32\drivers
Registry subkey
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4F20E605-9452-4787-B793-D0204917CA5A}
برای مرحله 3 چند وظیفه مشخص شده که احتمال بروز خطا در این نظریه وجود دارد که عبارتند از:
ارکستراسیون، یعنی تجزیه اطلاعات اضافی که درمرحله 3 و بالاتر قابل شناسایی هستند.
فشرده سازی و بلعکس
رمزگشایی و رمز گذاری
بازیابی حجم مورد نیاز برای بارگذاری اجزای مرحله 4
در کل مرحله 3 یک فایل دی ال ال هست که حاوی صدها نوع تابع برای کارهای مختلف میباشد.این مرحله بر خلاف مراحل قبل که تنها وظیفه ذخیره سازی را برای مرحله بعد را داشتند زمینه را برای اجرای مراحل بعد آماده میکند.جدول زیر نمونه ای از این توابع را نشان میدهد
Functionality
Major
Core
0001h
Compression, decompression
000Dh
Encryption, decryption
000Fh
EVFS handling
003Dh
Container management
0007h
Log management
000Bh
Loader
0033h
مرحله 4:
فایل های مرحله 4 که توسط مرحله 3 بارگذاری شده شامل ماژول های پیلود چند هستهای میباشد و در دو محل EVFS با عنوان فایل های زیر ذخیره میشوند:
• %System%\config\SystemAudit.Evt
• %System%\config\SecurityAudit.Evt
معمولا ویروس رجین در پاکسازی مراحل 4 و 5 از کامپیوتر قربانی با شکست مواجه میشود.
مرحله 5
شامل پیلودهای اصلی رجین است. پِیلودها با توجه به قربانی متفاوت خواهند بود به عنوان مثال:
شنود ترافیک شبکه
بازیابی اطلاعات از طریق کانالهای مختلف ارتباطی مثل پروتکلهای TCP، UDP، ICMP
بازیابی و جمعآوری اطلاعات کامپیوتر
سرقت پسوردها و کلمات حساس
جمعآوری اطلاعات مربوط به پروسهها و حافظه در حال اجرا
قابلیت بازیابی اطلاعاتی که از سیستم پاک شدهاند.
کنترل و مشاهده کلیکهای mouse، عکسبرداری از صفحه در حال نمایش در سیستم کاربر و غیره.
4 - تحلیل بدافزار(مرحله اول)
طراحی رجین نیز هم چون بدافزارهای پیچیدهی قبلی، از جمله flame و stuxnet، ماژولار و چند سطحی است. طراحی ماژولار به طراحان این بدافزارها اجازه میدهد تا به راحتی بتوانند بنا به هدف و قربانی خود حملههای خاص را صورت داده و اطلاعاتی خاص را جمع آوری و سرقت کنند.
این بدافزار در چند مرحله به اجرا در میآید که هر مرحله به نوعی پنهان شده و رمزنگاری شده است. روش غیرمتداولی که در روال اجرایی این بدافزار دیده میشود آغاز اجرای آن در سطح کرنل است.
تحلیل ارایه شده در ادامهی مطلب مربوط به ماژولهای مرحلهی یک اجرای بدافزار است. به طور کلی باید گفت روال اجرایی کلیهی فایلهای دیده شدهی مربوط به این مرحله به صورت کاربردی یکسان بوده و همگی آنها از روالی مشخص و همانند برخوردارند.
مرحله 0 ((dropper
هنوز پاسخ کاملی در ارتباط با چگونگی ورود رجین به تارگت وجود ندارد. ولی احتمالاَ به محض ورود به سیستم اقدام به نصب مرحله اول میکند.
مرحه 1
نقطه شروع حمله این مرحله میباشد. دو نوع فایل در این مرحله مشاهده شده که عبارتند از:
-usbclass.sys (version 1.0)
-adpu160.sys (version 2.0)
احتمال وجود فایل های دیگری که بین 1.0 و 2.0 باشد زیاد است.
این فایل ها همگی در سطح کرنل فعال هستند و مسئول راهاندازی مرحله دوم حمله میباشند. مرحله 1 به راحتی این کار را با خواندن یا نوشتن در یک فایل EA انجام میدهد.اگر وجود نداشت به سراغ رجیستریها رفته و مرحله 2 توسط رجیستریها نصب خواهد شد.
مرحله 2
این مرحله نیز در سطح کرنل آغاز خواهد شد و به راحتی اقدام به نصب و اجرای مرحله 3 میکند. و همانند مرحله اول این کار را در یک فایل EA یا رجیستری انجام میشود
مرحله 2 در محل های زیر یافت میشود:
Registry subkey
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4F20E605-9452-4787-B793-
D0204917CA58}
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\RestoreList\VideoBase (possibly only in version
2.0)
این مرحله همچنین مسئول مخفی کردن بقایای مرحله اول میباشد و به همین دلیل شناسایی آن کار سختی است.
مرحله 3
مرحله 3 نیز در سطح کرنل انجام میشود و از نوع DLL است که همانند مراحل قبل به روش های معمول ذخیره سازی نمیگردد و در یک فایل EA یا بلاک رجیستری ذخیره میگردد
این مرحله در محلهای زیر یافت میشود:
Extended attribute
%Windir%\system32
%Windir%\system32\drivers
Registry subkey
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4F20E605-9452-4787-B793-D0204917CA5A}
برای مرحله 3 چند وظیفه مشخص شده که احتمال بروز خطا در این نظریه وجود دارد که عبارتند از:
ارکستراسیون، یعنی تجزیه اطلاعات اضافی که درمرحله 3 و بالاتر قابل شناسایی هستند.
فشرده سازی و بلعکس
رمزگشایی و رمز گذاری
بازیابی حجم مورد نیاز برای بارگذاری اجزای مرحله 4
در کل مرحله 3 یک فایل دی ال ال هست که حاوی صدها نوع تابع برای کارهای مختلف میباشد.این مرحله بر خلاف مراحل قبل که تنها وظیفه ذخیره سازی را برای مرحله بعد را داشتند زمینه را برای اجرای مراحل بعد آماده میکند.جدول زیر نمونه ای از این توابع را نشان میدهد
Functionality
Major
Core
0001h
Compression, decompression
000Dh
Encryption, decryption
000Fh
EVFS handling
003Dh
Container management
0007h
Log management
000Bh
Loader
0033h
مرحله 4:
فایل های مرحله 4 که توسط مرحله 3 بارگذاری شده شامل ماژول های پیلود چند هستهای میباشد و در دو محل EVFS با عنوان فایل های زیر ذخیره میشوند:
• %System%\config\SystemAudit.Evt
• %System%\config\SecurityAudit.Evt
معمولا ویروس رجین در پاکسازی مراحل 4 و 5 از کامپیوتر قربانی با شکست مواجه میشود.
مرحله 5
شامل پیلودهای اصلی رجین است. پِیلودها با توجه به قربانی متفاوت خواهند بود به عنوان مثال:
شنود ترافیک شبکه
بازیابی اطلاعات از طریق کانالهای مختلف ارتباطی مثل پروتکلهای TCP، UDP، ICMP
بازیابی و جمعآوری اطلاعات کامپیوتر
سرقت پسوردها و کلمات حساس
جمعآوری اطلاعات مربوط به پروسهها و حافظه در حال اجرا
قابلیت بازیابی اطلاعاتی که از سیستم پاک شدهاند.
کنترل و مشاهده کلیکهای mouse، عکسبرداری از صفحه در حال نمایش در سیستم کاربر و غیره.
4 - تحلیل بدافزار(مرحله اول)
طراحی رجین نیز هم چون بدافزارهای پیچیدهی قبلی، از جمله flame و stuxnet، ماژولار و چند سطحی است. طراحی ماژولار به طراحان این بدافزارها اجازه میدهد تا به راحتی بتوانند بنا به هدف و قربانی خود حملههای خاص را صورت داده و اطلاعاتی خاص را جمع آوری و سرقت کنند.
این بدافزار در چند مرحله به اجرا در میآید که هر مرحله به نوعی پنهان شده و رمزنگاری شده است. روش غیرمتداولی که در روال اجرایی این بدافزار دیده میشود آغاز اجرای آن در سطح کرنل است.
تحلیل ارایه شده در ادامهی مطلب مربوط به ماژولهای مرحلهی یک اجرای بدافزار است. به طور کلی باید گفت روال اجرایی کلیهی فایلهای دیده شدهی مربوط به این مرحله به صورت کاربردی یکسان بوده و همگی آنها از روالی مشخص و همانند برخوردارند.
در ابتدا، کار با نشاندن آدرسهایی برای مدیریت استثناها آغاز میشود. برای این کار از فراخوانی _SEH_prolog استفاده شده است. در فاصلههای کوتاه از این فراخوانی با رخدادن یک استثنا آدرسهای مربوطه از درایور فراخوانی شده و به این وسیله به تنهی اصلی برنامه وارد خواهیم شد. در قدم اول بخشی از دیتای درایور که رمزشده است با الگوریتم نشان داده شده در گراف شکل ۱ رمزگشایی میشود.
شکل2: الگوریتم رمزگشایی مربوط به دیتای اولیه
در شکلهای 3 و 4 میتوانید نمونهای از دیتای مورد نظر درایور را قبل و بعد از عملیات رمزگشایی مشاهده کنید.
در شکلهای 3 و 4 میتوانید نمونهای از دیتای مورد نظر درایور را قبل و بعد از عملیات رمزگشایی مشاهده کنید.
شکل 3: دیتای اولیه قبل از رمزگشایی
همانطور که در شکلهای بالا مشخص است، بعد از عملیات رمزگشایی میتوان مسیر رجیستری و فایل مورد نظر بدافزار را به راحتی مشاهده کرد.
در مرحلهی بعد بدافزار اقدام به بازکردن دایرکتوری مورد نظر خود کرده و در صورت موفقیتآمیز بودن این کار اطلاعات مربوط به EA آن را از سیستم درخواست میکند. لیست آدرس دایرکتوریهای دیده شده در نمونههای موجود در انتهای این گزارش آمده است.
لازم به توضیح است که EA: Extended Attributes به نوعی تکنولوژی ارایه شده در فرمت فایلهای NTFS اطلاق میشود که هر فایل/ دایرکتوری را قادر میسازد علاوه بر ذخیره سازی دیتا در بخشهای معمول خود، از این بخش نیز برای ذخیره سازی اطلاعات با فرمت دلخواهش بهره ببرد. با استفاده از این نحوهی ذخیره سازی اطلاعات، رجین توانسته است تا درصد بالایی به پنهان سازی ماژولهای مرحلهی بعدش کمک کند. در شکل ۴ بخش مربوط به این فراخوانی را مشاهده میکنید.
در مرحلهی بعد بدافزار اقدام به بازکردن دایرکتوری مورد نظر خود کرده و در صورت موفقیتآمیز بودن این کار اطلاعات مربوط به EA آن را از سیستم درخواست میکند. لیست آدرس دایرکتوریهای دیده شده در نمونههای موجود در انتهای این گزارش آمده است.
لازم به توضیح است که EA: Extended Attributes به نوعی تکنولوژی ارایه شده در فرمت فایلهای NTFS اطلاق میشود که هر فایل/ دایرکتوری را قادر میسازد علاوه بر ذخیره سازی دیتا در بخشهای معمول خود، از این بخش نیز برای ذخیره سازی اطلاعات با فرمت دلخواهش بهره ببرد. با استفاده از این نحوهی ذخیره سازی اطلاعات، رجین توانسته است تا درصد بالایی به پنهان سازی ماژولهای مرحلهی بعدش کمک کند. در شکل ۴ بخش مربوط به این فراخوانی را مشاهده میکنید.
ا امنی SCADA فقط در مورد استاکسنت نیست.
به گفته Kyle Wilhoit محقق ترند ماکرو، آخرین حملات در اسکادا و شبکه های کنترل صنعتی در حال تبدیل شدن به تروجان های بانکی هستند، و این تهدید از اکتبر 2014 در حال افزایش است.
به گفته Kyle Wilhoit محقق ترند ماکرو، آخرین حملات در اسکادا و شبکه های کنترل صنعتی در حال تبدیل شدن به تروجان های بانکی هستند، و این تهدید از اکتبر 2014 در حال افزایش است.
در گفتگو با Dark Reading، Wilhoit افزود به جای حمله هایی به سبک استاکسنت، مهاجمان تروجان های بانکی را به این شبکه به عنوان به روز رسانی نرم افزار اسکادا وارد کرده اند.
به گفته بخش Dark Reading، حمله نرم افزار ، در Simatic WinCC زیمنس،GE Cimplicity و Advantech به شکل درایورهای دستگاه مشاهده شده است.
افزایش تعداد حملات به محیط اسکادا، مدیران امنیتی را ملزم به برقراری امنیت در لبه شبکه نموده است. علاوه بر استاکسنت، تعداد فزاینده ای از اشکالات مشخص شده در نرم افزار اسکادا وجود دارد. به غیر از اشکالات عمومی مانند Heartbleed و Poodle ، سیستم های صنعتی از مشکلات بسیار رایج مانند اشکالات دسترسی از راه دور و رمز عبورهای hard-coded نیز، رنج می برند.
Wilhoit افزود "هدف نهایی این بدافزار احتمالاً جاسوسی صنعتی نبوده، بلکه به دست آوردن مدارک بانکی"است. البته، با فرض اینکه کنترل کننده های صنعتیای وجود دارد که صاحبان آنها به اپراتورها برای ورود به بانک اجازه می دهند.
Wilhoit همچنین بیان کرد که بسیاری از سیستم های کنترل صنعتی از ویندوز به عنوان پلت فرم رابط کاربری استفاده می کنند و کاربران در این محیط ها از آنتی ویروس ها و یا دیگر نرم افزارهای امنیتی استفاده نمی کنند. او اشاره می کند که هر حمله موفق در کنترلرهای صنعتی مبتنی بر ویندوز فاجعه بار خواهد بود حتی اگر مثلا منجر به منفجر شدن کارخانه فولاد نشود. اگر به عنوان مثال، کسی یک حمله مبتنی بر Cryptolocker در برابر سیستم کنترلی گسترش دهد، این امر می تواند پردازش را غیرقابل استفاده کند.
طراحی سیستم های HMI بسیار آسیب پذیر است، در نتیجه از کار انداختن آنها چندان پیچیده نیست. سرقت اطلاعات مالی امکان پذیر بوده، اما در نظر بگیرید اگر سیستم HMI سهوا از سرویس خارج شود چه خواهد شد؟
منبع خبر
https://www.theregister.co.uk/2015/01/13/attackers_planting_banking_trojans_in_industrial_systems/
به گفته Kyle Wilhoit محقق ترند ماکرو، آخرین حملات در اسکادا و شبکه های کنترل صنعتی در حال تبدیل شدن به تروجان های بانکی هستند، و این تهدید از اکتبر 2014 در حال افزایش است.
به گفته Kyle Wilhoit محقق ترند ماکرو، آخرین حملات در اسکادا و شبکه های کنترل صنعتی در حال تبدیل شدن به تروجان های بانکی هستند، و این تهدید از اکتبر 2014 در حال افزایش است.
در گفتگو با Dark Reading، Wilhoit افزود به جای حمله هایی به سبک استاکسنت، مهاجمان تروجان های بانکی را به این شبکه به عنوان به روز رسانی نرم افزار اسکادا وارد کرده اند.
به گفته بخش Dark Reading، حمله نرم افزار ، در Simatic WinCC زیمنس،GE Cimplicity و Advantech به شکل درایورهای دستگاه مشاهده شده است.
افزایش تعداد حملات به محیط اسکادا، مدیران امنیتی را ملزم به برقراری امنیت در لبه شبکه نموده است. علاوه بر استاکسنت، تعداد فزاینده ای از اشکالات مشخص شده در نرم افزار اسکادا وجود دارد. به غیر از اشکالات عمومی مانند Heartbleed و Poodle ، سیستم های صنعتی از مشکلات بسیار رایج مانند اشکالات دسترسی از راه دور و رمز عبورهای hard-coded نیز، رنج می برند.
Wilhoit افزود "هدف نهایی این بدافزار احتمالاً جاسوسی صنعتی نبوده، بلکه به دست آوردن مدارک بانکی"است. البته، با فرض اینکه کنترل کننده های صنعتیای وجود دارد که صاحبان آنها به اپراتورها برای ورود به بانک اجازه می دهند.
Wilhoit همچنین بیان کرد که بسیاری از سیستم های کنترل صنعتی از ویندوز به عنوان پلت فرم رابط کاربری استفاده می کنند و کاربران در این محیط ها از آنتی ویروس ها و یا دیگر نرم افزارهای امنیتی استفاده نمی کنند. او اشاره می کند که هر حمله موفق در کنترلرهای صنعتی مبتنی بر ویندوز فاجعه بار خواهد بود حتی اگر مثلا منجر به منفجر شدن کارخانه فولاد نشود. اگر به عنوان مثال، کسی یک حمله مبتنی بر Cryptolocker در برابر سیستم کنترلی گسترش دهد، این امر می تواند پردازش را غیرقابل استفاده کند.
طراحی سیستم های HMI بسیار آسیب پذیر است، در نتیجه از کار انداختن آنها چندان پیچیده نیست. سرقت اطلاعات مالی امکان پذیر بوده، اما در نظر بگیرید اگر سیستم HMI سهوا از سرویس خارج شود چه خواهد شد؟
منبع خبر
https://www.theregister.co.uk/2015/01/13/attackers_planting_banking_trojans_in_industrial_systems/
www.theregister.co.uk
Attackers planting banking Trojans in industrial systems
SCADA insecurity not just about Stuxnet
شرکت Akamai درمورد شیوع سه نوع حمله جدید هشدار داد. این شرکت با سه نوع حمله reflection DDoS در ماه های اخیر خیلی مواجه شده است:
1. NetBIOS name server reflection
2. RPC portmap reflection
3. Sentinel reflection
شرکت Akamai یکی از بزرگترین ارایه دهنده خدمات پردازش توزیع شده است و در حال حاضر بین 15 تا 30 درصد کل ترافیک وب رو سرویس دهی می کند.
در یک حملهDDoS reflection ، کهDrDoS هم نامیده می شود، سه بخش اصلی مشارکت دارند: مهاجم(attacker)، هدف(attacker’s target) و سرور قربانی(victim servers) که به عنوان همدست مهاجم عمل می کند. مهاجم یک query ساده به یک سرویس روی میزبان قربانی ارسال می کند. سپس query را جعل(spoof) نموده به نحوی که سرور قربانی، تصور می کند از سوی هدف این query ارسال شده است. پس از آن سرور قربانی در پاسخ به آدرس جعلی، ترافیک شبکه ناخواسته ای را برای هدف ارسال می کند و هدف حمله را با DDoS مواجه می کند.
با توجه به مشاوره های تهدید Akamai در تکنیک های جدید، مهاجمان حملات DrDoS را زمانی استفاده می کنند که پاسخ قربانی بسیار بزرگتر از queryمهاجم باشد که این شرایط باعث تقویت قابلیت های مهاجم می شود. مهاجم صدها یا هزارانquery را با نرخ بالا به لیست بزرگی از قربانیان توسط ابزار حمله خودکار ارسال می کند و در نتیجه باعث بروز ترافیک ناخواسته عظیمی می شود و در نهایت هدف با قطع خدمات (denial of service) مواجه می گردد.
شرکت Akamai با 4 حمله NetBIOS names server reflection در بازه زمانی ماههای March تا July سال 2015مواجه شده است که بزرگترین آنها 15.7Gbps ترافیک را ایجاد کرده است.
1. NetBIOS name server reflection
2. RPC portmap reflection
3. Sentinel reflection
شرکت Akamai یکی از بزرگترین ارایه دهنده خدمات پردازش توزیع شده است و در حال حاضر بین 15 تا 30 درصد کل ترافیک وب رو سرویس دهی می کند.
در یک حملهDDoS reflection ، کهDrDoS هم نامیده می شود، سه بخش اصلی مشارکت دارند: مهاجم(attacker)، هدف(attacker’s target) و سرور قربانی(victim servers) که به عنوان همدست مهاجم عمل می کند. مهاجم یک query ساده به یک سرویس روی میزبان قربانی ارسال می کند. سپس query را جعل(spoof) نموده به نحوی که سرور قربانی، تصور می کند از سوی هدف این query ارسال شده است. پس از آن سرور قربانی در پاسخ به آدرس جعلی، ترافیک شبکه ناخواسته ای را برای هدف ارسال می کند و هدف حمله را با DDoS مواجه می کند.
با توجه به مشاوره های تهدید Akamai در تکنیک های جدید، مهاجمان حملات DrDoS را زمانی استفاده می کنند که پاسخ قربانی بسیار بزرگتر از queryمهاجم باشد که این شرایط باعث تقویت قابلیت های مهاجم می شود. مهاجم صدها یا هزارانquery را با نرخ بالا به لیست بزرگی از قربانیان توسط ابزار حمله خودکار ارسال می کند و در نتیجه باعث بروز ترافیک ناخواسته عظیمی می شود و در نهایت هدف با قطع خدمات (denial of service) مواجه می گردد.
شرکت Akamai با 4 حمله NetBIOS names server reflection در بازه زمانی ماههای March تا July سال 2015مواجه شده است که بزرگترین آنها 15.7Gbps ترافیک را ایجاد کرده است.
نمونه ای از مهندسی اجتماعی :
تاکنون با پست هایی با مضامین شارژ رایگان به وفور در شبکه های اجتماعی مواجه شده اید. پست هایی مانند:
« من هم باورم نمی شد. این یک شارژ رایگان واقعی هست. کافیه عدد 176523 را به 202438 پیامک کنید و ده هزار تومان شارژ رایگان بگیرید. این پیامک رایگان هست حتی با سیمکارت بدون اعتبار هم می تونید ارسال کنید. زودتر به همه خبر بدید فقط تا امشب فرصت دارید و ...»
و پست های زیاد دیگر با همین مضامین. اما سوال این هست این پیام ها چه کاربردهایی دارند؟ اگر دروغ هست چرا ارسال می شوند؟ برای دریافت جواب با ما باشید.
و اما پاسخ سوالات و شفاف سازی این گونه پیام ها:
شماره پیامک هایی با پیش شماره های 20 در حقیق یک سری سرویس های ارزش افزوده هستند که مخابرات به شرکت های تبلیغاتی واگذار می کنند. این شماره ها در ازای ارسال پیامک های اطلاع رسانی در حوزه های مختلف به کاربران عضو شده، بابت هر پیامک هزینه ای را از اعتبار مشتریان کم می کنند. این مبلغ چیزی بین 50 تا 1500 تومان بابت هر پیامک می باشد.
اما نکته ای که مهم است اینست که برای اینکه اپراتورها بتوانند این هزینه را از اعتبار مشتری سر و به حساب دارنده سرویس واریز کنند، مشتری ابتدا باید عضو آن سیستم شود. مثلا با ارسال یک عدد به آن شماره که قبلا مدیر آن شماره آنرا به مخابرات اعلام نموده است. توجه داشته باشید که ارسال پیامک عضویت رایگان می باشد(حداقل در نود درصد موارد برای اینکه اطمینان مشتری را جلب کنند).
درحقیقت کاربر با ارسال عدد مذکور این اجازه را به اپراتور خود می دهد که در صورت دریافت پیامکی از آن شماره، مبلغی را از اعتبار مشتری کس و به حساب دارنده سرویس فوق واریز کند.
طبق قانون اگر شماره های مذکور بخواهند به صورت پیامکی تبلیغ کنند باید هزینه هر پیامک را در زیر پیام درج کنند. شاید این مورد را بارها در پیامک های تبلیغاتی دیده اید مثلا(دریافت فال روز. عدد 1 را برای عضویت ارسال کنید. هزینه هر پیام 50 تومان).
ولی چون شبکه های اجتماعی از این قانون مستثی هستند برای گول زدن مردم به عضویت در سیستم از ترفندهای مختلف استفاده می شود و چه ترفندی گول زننده تر از پیام شارژ رایگان.
به نکات زیر توجه کنید:
1- هیچ اپراتوری در ایران شارژ رایگان نمیدهد.
2- اپراتورها برای هر نوع عملیاتی از کد های USSD استفاده می کنند مانند *141*1#
3- کدهای هر اپراتور مختص آن هست برای مثال شماره 700 در ایرانسل روی همراه اول کار نمی کند.
4- اپراتورها تبلیغات خود را از طریق پیامک اعلام می کنند نه شبکه های اجتماعی
دوستان عزیز
لطفا گول دزدان و شیادان این چنینی را نخورید و کسانی را که در گروه ها و شبکه های اجتماعی نسبت به ارسال این پیام ها اقدام می کنند بازخواست و راهنمایی کنید.
توجه داشته باشید کسب درآمد حلال به هر طریقی خوب است ولی دزدی و شیادی و سوء استفاده از اعتماد مردم در تمام دنیا عملی زشت و قبیح و غیر اخلاقی است.
تاکنون با پست هایی با مضامین شارژ رایگان به وفور در شبکه های اجتماعی مواجه شده اید. پست هایی مانند:
« من هم باورم نمی شد. این یک شارژ رایگان واقعی هست. کافیه عدد 176523 را به 202438 پیامک کنید و ده هزار تومان شارژ رایگان بگیرید. این پیامک رایگان هست حتی با سیمکارت بدون اعتبار هم می تونید ارسال کنید. زودتر به همه خبر بدید فقط تا امشب فرصت دارید و ...»
و پست های زیاد دیگر با همین مضامین. اما سوال این هست این پیام ها چه کاربردهایی دارند؟ اگر دروغ هست چرا ارسال می شوند؟ برای دریافت جواب با ما باشید.
و اما پاسخ سوالات و شفاف سازی این گونه پیام ها:
شماره پیامک هایی با پیش شماره های 20 در حقیق یک سری سرویس های ارزش افزوده هستند که مخابرات به شرکت های تبلیغاتی واگذار می کنند. این شماره ها در ازای ارسال پیامک های اطلاع رسانی در حوزه های مختلف به کاربران عضو شده، بابت هر پیامک هزینه ای را از اعتبار مشتریان کم می کنند. این مبلغ چیزی بین 50 تا 1500 تومان بابت هر پیامک می باشد.
اما نکته ای که مهم است اینست که برای اینکه اپراتورها بتوانند این هزینه را از اعتبار مشتری سر و به حساب دارنده سرویس واریز کنند، مشتری ابتدا باید عضو آن سیستم شود. مثلا با ارسال یک عدد به آن شماره که قبلا مدیر آن شماره آنرا به مخابرات اعلام نموده است. توجه داشته باشید که ارسال پیامک عضویت رایگان می باشد(حداقل در نود درصد موارد برای اینکه اطمینان مشتری را جلب کنند).
درحقیقت کاربر با ارسال عدد مذکور این اجازه را به اپراتور خود می دهد که در صورت دریافت پیامکی از آن شماره، مبلغی را از اعتبار مشتری کس و به حساب دارنده سرویس فوق واریز کند.
طبق قانون اگر شماره های مذکور بخواهند به صورت پیامکی تبلیغ کنند باید هزینه هر پیامک را در زیر پیام درج کنند. شاید این مورد را بارها در پیامک های تبلیغاتی دیده اید مثلا(دریافت فال روز. عدد 1 را برای عضویت ارسال کنید. هزینه هر پیام 50 تومان).
ولی چون شبکه های اجتماعی از این قانون مستثی هستند برای گول زدن مردم به عضویت در سیستم از ترفندهای مختلف استفاده می شود و چه ترفندی گول زننده تر از پیام شارژ رایگان.
به نکات زیر توجه کنید:
1- هیچ اپراتوری در ایران شارژ رایگان نمیدهد.
2- اپراتورها برای هر نوع عملیاتی از کد های USSD استفاده می کنند مانند *141*1#
3- کدهای هر اپراتور مختص آن هست برای مثال شماره 700 در ایرانسل روی همراه اول کار نمی کند.
4- اپراتورها تبلیغات خود را از طریق پیامک اعلام می کنند نه شبکه های اجتماعی
دوستان عزیز
لطفا گول دزدان و شیادان این چنینی را نخورید و کسانی را که در گروه ها و شبکه های اجتماعی نسبت به ارسال این پیام ها اقدام می کنند بازخواست و راهنمایی کنید.
توجه داشته باشید کسب درآمد حلال به هر طریقی خوب است ولی دزدی و شیادی و سوء استفاده از اعتماد مردم در تمام دنیا عملی زشت و قبیح و غیر اخلاقی است.