استفاده از آنتیویروسها یکی از راهکارهایی است که برای افزایش امنیت سایبری به کاربران در هر سطحی توصیه میشود، اما کافی نیست؛ چراکه آنها همیشه هم موفق به شناسایی برخی از حملات نمیشوند.
بدافزار کریپتوماینینگ (Cryptomining)
ابزارهای استخراج ارز از توان محاسباتی درآمدزایی میکنند. بازار ارزهای دیجیتال به سرعت در حال رشد است و واحد پردازش مرکزی (CPU) مورد نیاز برای استخراج ارزهای دیجیتال بسیار پرهزینه است. بنابراین مهاجمان با ساخت یک بدافزار و حملات دیگری تلاش میکنند تا با هدف استخراج رمزارز، منابع محاسباتی قربانیان را بیسروصدا مصادره کنند.
این روش عبارت است از سوءاستفاده از منابع افشا شده خدمات وب آمازون (AWS) یا اطلاعات کاربری حساب AWS بهمنظور سرقت منابع رایانش ابری که اغلب در قالب حملات «رمزارز ربایی» مبتنی بر مرورگر عنوان میشوند. هنگامی که بازدیدکننده در حال مرور یک وبسایت قانونی است از طریق بدافزار کریپتوماینینگ که در کمین وب سایت است و غالبا از طریق سازوکار فیشینگ، CPU رایانه شما را در نقاط پایانی (اندپوینتها) مصرف میکنند.
هر نوع حملات کریپتوماینینگ میتواند اثرات مخربی برای کسبوکار شما به همراه داشته باشد. مهاجمان میتوانند نقاط پایانی و ابرهای آسیبدیده را به ارتشی از زامبیهای خاموش استخراجکننده ارزهای دیجیتال تبدیل کنند، بدون اینکه حتی یک هشدار آنتیویروس نمایان شود.
در نبود ابزارهای پیشرفته تشخیص تهدید که نقاط پایانی و ابرهای عمومی شما را در احاطه داشته باشند، تنها نشانهای که میتواند ربوده شدن منابع محاسباتی شما را آشکار کند یک اپلیکیشن یا عملکرد فوقالعاده شبکه یا استفاده از خدمات گرانقیمت AWS است.
حملات پاورشل معکوس (PowerShell)
حتی در رمانهای جاسوسی نیز همه میدانند که بهترین راه برای شناسایی نشدن این است که وانمود کنید شما هم جزئی از آنها هستید. مهاجمان نیز با پیروی از این رویکرد، به طور فزایندهای از پاورشل و سایر خدمات تحریمشده برای فرار از نرمافزار آنتیویروس سنتی استفاده میکنند. مهاجمان سایبری با دسترسی به اطلاعات کاربری ادمین و اجرای عملکردهایی که ادمین، مجاز به انجام آنهاست میتوانند اتکای خود به بدافزار و کیتهای استثمارگر را کاهش داده و به راحتی از شناسایی فرار کنند و عملیات سرقت اطلاعات را مخفیانهتر انجام دهند.
سرقت اطلاعات پروتکل دسکتاپ از راه دور (RDP)
پروتکل دسکتاپ از راه دور (RDP) شما را قادر میسازد از راه دور به یک سیستم ویندوز متصل شوید، معمولاً قبل از دسترسی به اطلاعات از شما میخواهد رمز عبور کاربر را ارائه دهید. با این حال چنین بهرهبرداریهایی یک راه میانبر دارند و آن هم اجرایtscon.exe (فرایند کلاینت RDP) با نام کاربری SYSTEM است که از شما رمز عبور نمیخواهد و آلارمهای آنتیویروس خاموش نمیشود.
نکته تخصصی: خدمات در دسترس عموم RDP، در نقاط پایانی مانند یک دعوتنامه رایگان برای مهاجمان عمل میکنند، بنابراین مطمئن شوید که خطمشی فایروال درگاه شما این اتصالات را به طور پیشفرض مسدود میکند یا فقط به اتصالات از آدرسهای IP مجاز اجازه ورود میدهد.
تهدیدات پیشرفته مستمر (APTs) یا تهدیدات پیشرفته مستمر روتکیت (APTs)
شامل یکسری مراحل است که هریک از آنها بهراحتی میتوانند از روشهای تشخیص آنتیویروسهای سنتی فرار کنند. تهدیدات ترکیبی اغلب با ارسال یک ایمیل فیشینگ جهت دستیابی به اطلاعات محرمانه کاربر شروع می شوند و سپس بدافزاری مانند روتکیتها که خود را در اعماق سیستم عامل نقطه پایانی جای میدهند، نصب میکنند. زمانی که شما در سطح هسته مرکزی به روت دسترسی پیدا کنید هر شانسی از بین میرود و سیستم به طور کامل در مالکیت شما قرار میگیرد.
باج افزارها
مهاجمان میدانند چگونه دست به نوآوری بزنند. نوآوریهای اخیر باجافزاری شامل ارائه باجافزار بهعنوان یک سرویس و همچنین هدف قرار دادن برنامههای ابری است که به طور گسترده توسط شرکتها مورد استفاده قرار میگیرند. یکی از نمونههایی که بهراحتی از آنتیویروس فرار میکند، باجافزار شرلاکر (ShurL0ckr) است که پلتفرمهای اشتراکگذاری فایل سازمانی مبتنی بر ابر را هدف قرار میدهد. باجافزار بهعنوان سرویس به مهاجمان امکان میدهد تا درصدی از باج را پس از تولید و توزیع پیلود که فایلهای روی دیسک را رمزگذاری میکند به پدیدآورنده آن پرداخت کنند.