طرح برسام
طرح برسام
خواندن ۳ دقیقه·۱ سال پیش

آنتی‌ویروس‌ها گاهی موفق به شناسایی این حملات نمی‌شوند

استفاده از آنتی‌ویروس‌ها یکی از راهکارهایی است که برای افزایش امنیت سایبری به کاربران در هر سطحی توصیه می‌شود، اما کافی نیست؛ چراکه آنها همیشه هم موفق به شناسایی برخی از حملات نمی‌شوند.


بدافزار کریپتوماینینگ (Cryptomining)

ابزارهای استخراج ارز از توان محاسباتی درآمدزایی می‌کنند. بازار ارزهای دیجیتال به سرعت در حال رشد است و واحد پردازش مرکزی (CPU) مورد نیاز برای استخراج ارزهای دیجیتال بسیار پرهزینه است. بنابراین مهاجمان با ساخت یک بدافزار و حملات دیگری تلاش می‌کنند تا با هدف استخراج رمزارز، منابع محاسباتی قربانیان را بی‌سروصدا مصادره کنند.

این روش‌ عبارت ‌است از سوء‌استفاده از منابع افشا شده خدمات وب آمازون (AWS) یا اطلاعات کاربری حساب AWS به‌منظور سرقت منابع رایانش ابری که اغلب در قالب حملات «رمزارز ربایی» مبتنی بر مرورگر عنوان می‌شوند. هنگامی که بازدیدکننده در حال مرور یک وب‌سایت قانونی است از طریق بدافزار کریپتوماینینگ که در کمین وب سایت است و غالبا از طریق سازوکار فیشینگ، CPU رایانه شما را در نقاط پایانی (اندپوینت‌ها) مصرف می‌کنند.

هر نوع حملات کریپتوماینینگ می‌تواند اثرات مخربی برای کسب‌وکار شما به همراه داشته باشد. مهاجمان می‌توانند نقاط پایانی و ابرهای آسیب‌دیده را به ارتشی از زامبی‌های خاموش استخراج‌کننده ارزهای دیجیتال تبدیل کنند، بدون اینکه حتی یک هشدار آنتی‌ویروس نمایان شود.

در نبود ابزارهای پیشرفته تشخیص تهدید که نقاط پایانی و ابرهای عمومی شما را در احاطه داشته باشند، تنها نشانه‌ای که می‌تواند ربوده شدن منابع محاسباتی شما را آشکار کند یک اپلیکیشن یا عملکرد فوق‌العاده شبکه یا استفاده از خدمات گران‌قیمت AWS است.


حملات پاورشل معکوس  (PowerShell)

حتی در رمان‌های جاسوسی نیز همه می‌دانند که بهترین راه برای شناسایی نشدن این است که وانمود کنید شما هم جزئی از آنها هستید. مهاجمان نیز با پیروی از این رویکرد، به طور فزاینده‌ای از پاورشل و سایر خدمات تحریم‌شده برای فرار از نرم‌افزار آنتی‌ویروس سنتی استفاده می‌کنند. مهاجمان سایبری با دسترسی به اطلاعات کاربری ادمین و اجرای عملکردهایی که ادمین، مجاز به انجام آنهاست می‌توانند اتکای خود به بدافزار و کیت‌های استثمارگر را کاهش داده و به راحتی از شناسایی فرار کنند و عملیات سرقت اطلاعات را مخفیانه‌تر انجام دهند.


سرقت اطلاعات پروتکل دسکتاپ از راه دور (RDP)

پروتکل دسکتاپ از راه دور (RDP) شما را قادر می‌سازد از راه دور به یک سیستم ویندوز متصل شوید، معمولاً قبل از دسترسی به اطلاعات از شما می‌خواهد رمز عبور کاربر را ارائه دهید. با این حال چنین بهره‌برداری‌هایی یک راه میان‌بر دارند و آن هم اجرایtscon.exe  (فرایند کلاینت RDP) با نام کاربری SYSTEM است که از شما رمز عبور نمی‌خواهد و آلارم‌های آنتی‌ویروس خاموش نمی‌شود.

نکته تخصصی: خدمات در دسترس عموم RDP، در نقاط پایانی مانند یک دعوت‌نامه رایگان برای مهاجمان عمل می‌کنند، بنابراین مطمئن شوید که خط‌مشی فایروال درگاه شما این اتصالات را به طور پیش‌فرض مسدود می‌کند یا فقط به اتصالات از آدرس‌های IP مجاز اجازه ورود می‌دهد.


تهدیدات پیشرفته مستمر (APTs) یا  تهدیدات پیشرفته مستمر روت‌کیت (APTs)

شامل یک‌سری مراحل است که هریک از آنها به‌راحتی می‌توانند از روش‌های تشخیص آنتی‌ویروس‌های سنتی فرار کنند. تهدیدات ترکیبی اغلب با ارسال یک ایمیل فیشینگ جهت دستیابی به اطلاعات محرمانه کاربر شروع می شوند و سپس بدافزاری مانند روت‌کیت‌ها که خود را در اعماق سیستم عامل نقطه پایانی جای می‌دهند، نصب می‌کنند. زمانی که شما در سطح هسته مرکزی به روت دسترسی پیدا کنید هر شانسی از بین می‌رود و سیستم  به طور کامل در مالکیت شما قرار می‌گیرد.


باج افزارها

مهاجمان می‌دانند چگونه دست به نوآوری بزنند. نوآوری‌های اخیر باج‌افزاری شامل ارائه باج‌افزار به‌عنوان یک سرویس و همچنین هدف قرار دادن برنامه‌های ابری است که به طور گسترده توسط شرکت‌ها مورد استفاده قرار می‌گیرند. یکی از نمونه‌هایی که به‌راحتی از آنتی‌ویروس فرار می‌کند، باج‌افزار شرلاکر (ShurL0ckr) است که پلتفرم‌های اشتراک‌گذاری فایل سازمانی مبتنی بر ابر را هدف قرار می‌دهد. باج‌افزار به‌عنوان سرویس به مهاجمان امکان می‌دهد تا درصدی از باج را پس از تولید و توزیع پی‌لود که فایل‌های روی دیسک را رمزگذاری می‌کند به پدیدآورنده آن پرداخت کنند.

ارزهای دیجیتالرمز عبورآنتی‌ویروس‌آموزشآگاهی‌رسانی امنیتی
شاید از این پست‌ها خوشتان بیاید