فورتی نت به تازگی گزارش چشم انداز تهدید خود (Threat Landscape Report) را برای سه ماهه دوم 2019 منتشر کرد. این مجموعه که هر سه ماه یکبار منتشر می شود، اطلاعات مهمی را در مورد روند تهدیدات و رفتارهای مجرمین سایبری ارائه می دهد و به سازمان ها کمک می کند خودشان را از مهاجمینی که دائماً در حال تکامل اند، محافظت کنند و آمادگی لازم را داشته باشند.
شاخص چشم انداز تهدید فورتی نت (که معیاری برای فعالیت تهدید در اینترنت است) به عنوان گواهی بر این چالش، به بالاترین نقطه خود رسید که نسبت به همین موقع در سال قبل نزدیک به 4 درصد بالاتر است.
افزایش تاکتیک های فرار
بسیاری از بدافزار های مدرن از قابلیت هایی برای فرار از آنتی ویروس ها یا ابزارهای تشخیص تهدید دیگر برخوردارند اما مهاجمین سایبری برای جلوگیری از شناخته شدن، از روش های مبهم سازی و ضد آنالیز حرفه ای تری استفاده می کنند.
برای مثال یک کمپین اسپم نشان می دهد که مهاجمین در برابر مدافعین چگونه از این تکنیک ها استفاده می کنند و آن ها را تغییر می دهند. در این کمپین از یک ایمیل فیشینگ به همراه ضمیمه ای استفاده گردید که در آخر مشخص شد یک سند اکسل مجهز به یک ماکروی مخرب است. این ماکروها دارای خصوصیاتی برای غیرفعال سازی ابزارهای امنیتی، اجرای دلخواه دستورات و ایجاد مشکل در حافظه بود و تضمین می کرد که فقط بر روی سیستم های ژاپنی اجرا شود. یکی از خصوصیاتی که به شکل ویژه ای به دنبال آن بودند متغیر xlDate است که ظاهراً مستندسازی نشده است.
مثال دیگر، انواع تروجان های بانکی Dridex است که با هر بار ورود قربانی، نام و هش های فایل ها را تغییر می داد و پیدا کردن بدافزار بر روی سیستم های میزبان آلوده را بسیار سخت می کرد.
استفاده روزافزون از تاکتیک های گسترده تر ضد آنالیز و فرار، نیاز به استحکامات چند لایه و تشخیص تهدید مبتنی بر رفتار را به ما متذکر می شود.
شاخص چشم انداز تهدید
حملات مخفیانه برای طولانی مدت
بدافزار سارق اطلاعات Zegost، اساس کمپین اسپیر فیشینگ بوده و تکنیک های خیره کننده ای را در خود جای داده است. مانند سارقین اطلاعات دیگر، هدف اصلی Zegost جمع آوری اطلاعات در مورد دیوایس قربانی و استخراج آن است. اما Zegost در مقایسه با سارقین اطلاعات دیگر به شکل منحصر به فردی پیکربندی شده تا به صورت مخفیانه به کار خود ادامه دهد. برای مثال Zegost دارای قابلیتی برای پاک کردن لاگ رویداد است. این نوع پاکسازی در بدافزارهای معمولی مشاهده نشده است. یکی از قابلیت های فرار جالب Zegost دستوری است که این سارق اطلاعات را تا پس از 14 فوریه 2019 «در سکون» نگاه می دارد و پس از آن آلودگی خود را آغاز می کند.
عاملین تهدید پشت Zegost برای تضمین برقراری و حفظ اتصال به قربانیان هدف، مجموعه ای از روش های سوء استفاده را به کار می گیرند که باعث می شود نسبت به همتایانش، تهدید بلندمدت تری را به همراه داشته باشد.
باج افزار، گرایش به حملات متمرکزتر را ادامه می دهد
حملات شهرهای مختلف، دولت های محلی و نظام های آموزشی به ما یادآوری می کنند که باج افزار از بین نمی رود، بلکه بسیاری از سازمان های در حال پیشرفت را در معرض تهدیدهای جدی قرار می دهد. حملات باج افزار از حملات در حجم بالا به حملات متمرکزتر به سازمان هایی که توانایی یا انگیزه پرداخت باج را دارند، تغییر کرده اند. در برخی از موارد، مجرمین سایبری قبل از اجرای باج افزار خود بر روی سیستم های منتخب اقدامات شناسایی قابل توجهی انجام داده اند تا فرصت بیشتری را نصیب خود کنند.
برای مثال باج افزار RobbinHood برای حمله به زیرساخت شبکه یک سازمان طراحی شده است و قادر است سرویس های ویندوزی را غیرفعال کند که مانع از رمزنگاری داده می شوند و ارتباط درایوهای اشتراکی را قطع کند.
باج افزار جدیدتری به نام Sodinokibi نیز می تواند به تهدید دیگری برای سازمان ها تبدیل شود. این باج افزار از نظر عملکرد با اغلب ابزارهای باج افزار تفاوت چندانی ندارد. این باج افزار به این دلیل دردسرساز است که حامل حمله آن ، از آسیب پذیر های جدیدتر سوء استفاده می کند تا امکان اجرای کد دلخواه را فراهم نماید و مانند باج افزارهای دیگری که با ایمیل فیشینگ ارسال می شوند به تعامل کاربر نیازی ندارد.
صرف نظر از حامل، باج افزار همچنان سازمان های در حال پیشرفت را در معرض تهدیدی جدی قرار می دهد و اهمیت اولویت بندی پچ کردن و آموزش هوشیاری امنیت اطلاعات را یادآوری می کند. علاوه بر این ، افزایش آسیب پذیری های RDP (پروتکل ریموت دسکتاپ) مانند BlueKeep به ما هشدار می دهند ، سرویس های دسترسی از راه دور می توانند فرصتی برای مجرمین سایبری باشند و برای گسترش باج افزار نیز به عنوان حامل حمله قابل استفاده اند.
فرصت های جدید در سطح حمله دیجیتال
در میان پرینتر خانگی و زیرساخت حیاتی، خطی از سیستم های کنترلی روزافزون برای مصارف خانگی و مصارف تجاری کوچک قرار گرفته است. این سیستم های هوشمند نسبت به همتایان صنعتی خود توجه مهاجمین را کمتر به خود جلب می کنند اما بسته به فعالیت روزافزونی که این دیوایس های کنترل صنعتی مانند کنترل های محیطی، دوربین های امنیتی و سیستم های ایمنی را مورد هدف قرار داده است می توانند تغییر کند. ما دریافته ایم که در یک درصد از سازمان ها امضای مربوط به راه حل های مدیریت ساختمان عامل حمله بوده است. شاید این رقم به ظاهر کم به نظر آید اما از آنچه برای محصولات ICS یا SCADA مشاهده شده بسیار بالاتر است.
گام بعدی چیست؟
هدف گزارش چشم انداز تهدید فورتی نت که هر سه ماه یک بار منتشر می شود این است که ارائه اطلاعات لازم برای ایمن سازی صحیح شبکه ها در مقابل تهدیدات فعلی، آماده سازی برای گرایش های رو به رشد حمله و آمادگی برای دور بعدی حملاتی که منابع دیجیتال را هدف قرار می دهند در اختیار سازمان ها قرار دهد. امیدواریم این گزارش به همراه هوش منابع دیگر، بازخوردهای تهدید از سرویس های هوش تهدید فورتی نت، خلاصه گزارش تهدید هفتگی FortiGuard Labs و منابع هوش دیگر نقش مهمی را در استراتژی های جمع آوری هوش تجاری و جلوگیری از تهدید بازی کنند.
با ترکیب هوش تهدید و برنامه ریزی صحیح و راه حل امنیتی یکپارچه، بهترین استراتژی ممکن برای دفاع در برابر چشم انداز رو به رشد تهدید در اختیار سازمان ها قرار می گیرد.
دفتر تهران
