‫ kh_jonobi_bijari بلاگ

از‌آنجایی‌که فشار‌های اقتصادی بیرونی به شکل‌گیری نحوه تفکر و تخصیص منابع سازمان‌ها ادامه می‌دهد، امنیت داده همچنان از اولویت بالایی برخوردار است، به‌دلیل وابستگی آن‌ها به داده‌ها برای نوآوری و کاهش هزینه‌ها، بسیاری از کسب‌و‌کار‌ها به‌طور قابل‌توجهی بیش از آنچه تصور می‌کنند ،در معرض خطر حوادث امنیت سایبری قرار دارند.

API ها نیز مورد هدف قرار می‌گیرند زیرا داده‌های قابل دسترسی از طریق آن‌ها می‌توانند برای هکر‌ها سودآور باشد.

چگونه مهاجمان سایبری API ها را هدف قرار می‌دهند

مجرمین سایبری می‌توانند API ها را به روش‌های مختلف مورد هدف قرار دهند، برخی از رایج‌ترین آنها عبارتند از:

•     DDOS:‎حملات DDoS تعداد زیادی اتصال را درخواست می‌کنند تا منابع را تمام کند و به‌طور بالقوه منجر به خرابی شود زیرا حمله هم APIها و هم سیستم‌های پشتیبان را که داده‌ها را به APIها ارائه می‌کنند ،تحت تأثیر قرار می‌دهد.

•    حملات مرد وسط (MITM) :حملات MITM زمانی اتفاق می‌افتد که یک فرد خارجی به‌طور محتاطانه خود را در یک مکالمه بین یک کاربر و یک نقطه پایانی API قرار می‌دهد و در تلاش برای سرقت یا تغییر داده‌های خصوصی، یکی از طرفین را استراق سمع یا جعل هویت می‌کند.

•    مدیریت نادرست نشانه‌ها یا کلید‌های API :رمز‌ها و کلید‌های API اعتبار‌نامه‌های معتبری هستند که به کاربر اجازه دسترسی می‌دهند، در صورت به خطر افتادن، می‌توانند توسط اشخاص غیر‌مجاز برای دسترسی به سیستم‌های خصوصی مورد سوء‌استفاده قرار گیرند.

•    اعتبار‌نامه‌های غیر‌رمز‌گذاری‌شده: نام‌های‌کاربری و گذر‌واژه‌ها اغلب در فایل‌های پیکربندی رمزگذاری نشده کدگذاری می‌شوند که آن‌ها را در برابر سرقت آسیب‌پذیر‌تر می‌کند.

چه‌روش‌های آزمایش‌شده و واقعی برای امنیت بهترAPI وجود دارد؟

با تمرین اصول صحیح، سازمان‌ها می‌توانند از یکپارچه‌سازی API و فناوری‌های مشابه برای ایمن نگه‌داشتن سیستم‌های خود در برابر اشکال مختلف حمله استفاده کنند.

1. فرآیند‌ها و زیرساخت‌های سازمان خود را ارزیابی کنید

با افزایش استفاده از APIها و میکروسرویس‌ها متصل در تنظیمات مختلف داخلی و ابری، یافتن نقاط ضعف احتمالی شما می‌تواند بسیار چالش‌برانگیز باشد،کاربران می بایست برای این مهم موارد زیر را ارزیابی کنند: 

•    API های مواجهه با مشتری: با استفاده از API ها، شرکت‌ها می‌توانند اطلاعات را با مشتریان به اشتراک بگذارند، بدون اینکه مجبور باشند آنها را وارد پایگاه‌داده یا سیستم اصلی خود کنند،آن‌ها می‌توانند دسترسی مشتری را محدود کنند و تنها بخش‌های خاصی از داده‌ها را نشان دهند، استفاده از API برای افشای تنها بخشی از پایگاه‌داده تضمین می‌کند که کاربران نمی‌توانند به کل سیستم دسترسی داشته باشند، اما داده‌های فاش‌شده همچنان باید محافظت شوند.

•    APIهای داخلی: انتخاب و استفاده از خدمات ابری برتر را بدون کمک IT برای هر کارمندی آسان می‌کند،بنابراین تیم‌های فناوری اطلاعات باید اطمینان حاصل کنند که خدمات را از طریق APIها همگام‌سازی می‌کنند تا فقط دسترسی ضروری را ارائه دهند، نه اینکه اجازه دسترسی به انواع خدمات را برای همه در هر بخش بدهند، که این موضوع می‌تواند به سرعت به یک بار اداری سنگین تبدیل شود.

اگر از در نظر گرفتن نقاط ضعف بالقوه در زیر‌ساخت خود غفلت کنید، در را برای حملات از داخل و خارج سازمان خود باز می‌گذارید.

مهمترین چیز در اینجا ایجاد محموعه‌ای جامع از سیاست‌ها و استاندارد‌ها با همکاری گروه‌های امنیت داخلی و انطباق است، برخی از کسب‌و‌کار‌ها همچنین ممکن است نیاز داشته باشند تعهدات نظارتی GDPR)، CCPA، HIPAA و غیره) را در نظر بگیرند و مطمئن شوند که شیوه‌های امنیتی به‌روز و مطابقت دارند.

2. هنگام ذخیره داده‌ها در ابر، احتیاط کنید

این تصور وجود دارد که تغییر به یک سرویس ابری شما را در برابر حوادث امنیت سایبری آسیب‌پذیر‌تر می‌کند، اما این تصور عمدتا از کنترل کمتر و بینش کمتر نسبت به سیستم ناشی می‌شود، انتقال به فضای‌ابری می‌تواند درجه‌ای از امنیت را ارائه دهد که نمی‌توان در داخل آن را تکرار کرد، زیرا بسیاری از شرکت‌ها فاقد بودجه و سرمایه انسانی لازم برای دستیابی به چنین سطح بالایی از امنیت هستند، با‌این‌حال، با تمرکز بیشتر روی APIها، هنوز هم امکان بهبود امنیت ابر وجود دارد.

3. اطمینان حاصل کنید که کاربران فقط می‌توانند به داده‌های مربوطه دسترسی داشته باشند

دپارتمان‌ها و کاربران سازمان شما به درجات مختلفی از دسترسی به سیستم‌ها و داده‌های آن نیاز دارند، و این دسترسی باید بر اساس عملکرد شغلی و نه در سطح کلی انجام شود، برای مثال، یک توسعه‌دهنده معمولا نیازی به دسترسی کامل به سیستم‌های حسابداری یا منابع انسانی ندارد ،با محدود‌کردن دسترسی، احتمال کمتری وجود دارد که اطلاعات خصوصی به اشتباه فاش شوند،همچنین می‌توانید اعتبار‌نامه‌های خاصی را تنظیم کنید تا به کاربر اجازه دسترسی موقت به سرویسی بدهید که معمولا از آن استفاده نمی‌کند.

4. نیاز به احراز هویت چند عاملی

اعتبار ورود شامل نام‌کاربری و رمز‌عبور دیگر برای تضمین امنیت کافی نیست،استفاده از استاندار‌هایی مانند احراز‌هویت دو‌مرحله‌ای 2FAیا احراز‌هویت ایمن با OAuth ضروری است، برای دستیابی به این هدف، مطمئن شوید که شبکه شما می‌تواند کاربران را با استفاده از OAuth 2.0 با نقاط پایانی به عنوان ارائه‌دهندگان هویت احراز‌هویت کند.

5. کلید‌های گواهی را در یک فروشگاه کلید نگهداری کنید

هنگام نصب نرم‌افزار، مطمئن شوید که از یک فروشگاه قابل اعتماد استفاده می‌کنید که دارای گواهی‌های لازم برای ارتباطات ایمن HTTPS است، به‌عنوان مثال، اگر می‌خواهید ارتباط امن بین یک کلاینت محلی و یک سرور پراکسی را فعال کنید، ممکن است مجبور شوید گواهی جدیدی را در فروشگاه کلید جاوا خود اضافه کنید.

فقط API ها نیستند که خطرات بالقوه ای برای امنیت ایجاد می‌کنند، هر چیزی که دارای «سطح» روبه‌روی بیرونی باشد، می‌تواند به هدف یک مجرمین‌سایبری تبدیل شود، به‌همین‌دلیل، اولویت‌دادن به امنیت و اتخاذ یک ذهنیت «اعتماد صفر» برای داشتن بیشترین شانس برای محافظت از داده‌های خود و جلوگیری از یک حمله سایبری گران‌قیمت بسیار مهم است.
 

منبع

helpnetsecurity

یک گروه هک APT که با نام‌های «نفس اژدها»، «سگ چشم طلایی» یا «APT-Q-27» شناخته می‌شود، روند جدیدی را در استفاده از چندین تغییر پیچیده از تکنیک کلاسیک بارگذاری جانبی DLL برای فرار از شناسایی نشان می‌دهد.

این تغییرات حمله با یک بردار اولیه شروع می‌شود که از یک برنامه کاربردی تمیز استفاده می‌کند، اغلب تلگرام، که یک بار مرحله دوم را بارگذاری می‌کند، گاهی اوقات نیز پاک، که به نوبه خود، بارگزاری DLL بد‌افزار مخرب را بارگذاری می‌کند.

جذابیت قربانیان، برنامه‌های تروجانی تلگرام، LetsVPN یا WhatsApp برای اندروید، iOS یا ویندوز است که ظاهرا برای مردم چین بومی‌سازی شده‌اند، اعتقاد بر این است که برنامه‌های تروجانی‌شده با استفاده از BlackSEO یا malvertizing تبلیغ می‌شوند.

به گفته  تحلیلگران Sophos  که حملات اخیر این بازیگر تهدید را دنبال کردند، دامنه هدف‌قرار‌دادن این کمپین بر روی کاربران چینی زبان ویندوز در چین، ژاپن، تایوان، سنگاپور، هنگ کنگ و فیلیپین متمرکز شده است.

نمودار حمله عمومی (Sophos)

بار‌گذاری جانبی DLL دوگانه

بارگذاری جانبی DLL تکنیکی است که از سال 2010 توسط مهاجمان مورد سوء‌استفاده قرار می‌گیرد و از روش ناامن ویندوز برای بارگیری فایل‌های DLL (کتابخانه پیوند پویا) مورد نیاز یک برنامه استفاده می‌کند.

مهاجم یک DLL مخرب با همان نام DLL قانونی و مورد نیاز را در دایرکتوری برنامه قرار می‌دهد، هنگامی که کاربر فایل اجرایی را راه‌اندازی می‌کند، ویندوز DLL مخرب محلی را بر DLL موجود در پوشه‌های سیستم اولویت می‌دهد.

DLL مهاجم حاوی کد‌های مخربی است که در این مرحله بارگیری می‌شود و با سوء‌استفاده از برنامه قابل اعتماد و امضا‌شده‌ای که در حال بارگیری آن است، به مهاجم امتیازات یا دستورات اجرای بر روی هاست را می‌دهد.

در این کمپین، قربانیان نصب‌کننده برنامه‌های ذکر‌شده را اجرا می‌کنند که اجزایی را روی سیستم رها می‌کند و یک میانبر دسکتاپ و یک ورودی راه‌اندازی سیستم ایجاد می‌کند.

اگر قربانی بجای راه‌اندازی برنامه‌کاربردی، میانبر دسکتاپ تازه ایجاد‌شده را که اولین قدم مورد انتظار است ،راه‌اندازی کند، دستور زیر بر روی سیستم اجرا می‌شود.

فرمان اجرا‌شده در سیستم نقض‌شده  (Sophos)

این فرمان یک نسخه تغییر‌نام‌یافته از 'regsvr32.exe' (‪'appR.exe'‬) را برای اجرای یک نسخه تغییر‌نام‌یافته از 'scrobj.dll' (‪'appR.dll'‬) اجرا می‌کند و یک فایل DAT (‪'appR.dat'‬) را به عنوان ارائه می‌کند، ورودی به آن DAT حاوی کد جاوا اسکریپت برای اجرا توسط کتابخانه موتور اجرای اسکریپت ('appR.dll') است.

کد جاوا اسکریپت رابط کاربری برنامه تلگرام را در پیش‌زمینه راه‌اندازی می‌کند و در‌عین‌حال اجزای مختلف جانبی بارگذاری را در پس‌زمینه نصب می‌کند.

در مرحله بعد، نصب‌کننده یک برنامه مرحله دوم را با استفاده از یک وابستگی تمیز ('libexpat.dll') بارگیری می‌کند تا یک برنامه تمیز دوم را به عنوان مرحله حمله میانی بارگیری کند.

در یکی از انواع حمله، برنامه تمیز "XLGame.exe" به "Application.exe" تغییر نام داده است، و لودر مرحله دوم نیز یک فایل اجرایی تمیز است که توسط Beijing Baidu Netcom Science and Technology Co., Ltd. امضا شده است.

نمودار نوع حمله اول (Sophos)

در یکی دیگر از تغییرات، لودر تمیز مرحله دوم "KingdomTwoCrowns.exe" است که به صورت دیجیتالی امضا نشده است و Sophos نمی‌تواند تشخیص دهد که علاوه‌بر مبهم‌کردن زنجیره اجرا، چه مزیتی را ارائه می‌دهد.

در نسخه سوم حمله، لودر مرحله دوم فایل اجرایی تمیز "d3dim9.exe" است که به صورت دیجیتالی توسط HP Inc امضا شده است.

فایل اجرایی با امضای HP ‪(Sophos)‬

این تکنیک "دو بار جانبی DLL" به فرار، مبهم‌سازی و تداوم دست می‌یابد و تطبیق با الگو‌های حمله خاص و محافظت موثر از شبکه‌های خود را برای مدافعان دشوارتر می‌کند.

محموله نهایی

در تمام تغییرات حمله مشاهده‌شده، DLL بار نهایی از یک فایل txt (‪'templateX.txt'‬) رمز‌گشایی‌ شده و بر روی سیستم اجرا می‌شود.

این payload یک درب‌پشتی است که از چندین دستور مانند راه‌اندازی مجدد سیستم، تغییر کلید رجیستری، واکشی فایل‌ها، سرقت محتوای کلیپ‌بورد، اجرای دستورات در یک پنجره مخفی CMD و غیره پشتیبانی می‌کند.

در‌پشتی همچنین افزونه کروم کیف پول رمز‌نگاری MetaMask را هدف قرار می‌دهد و هدف آن سرقت دارایی‌های دیجیتال از قربانیان است.

به‌طور‌خلاصه، بارگذاری جانبی DLL همچنان یک روش حمله موثر برای هکر‌ها است و مایکروسافت و توسعه‌دهندگان برای بیش از یک دهه نتوانسته‌اند به آن رسیدگی کنند.

در آخرین حمله APT-Q-27، تحلیلگران تغییرات جانبی بارگذاری DLL را مشاهده کردند که ردیابی آن‌ها چالش‌برانگیز است، از‌این‌رو آن‌ها به زنجیره عفونت مخفی‌تری دست می‌یابند.
 

منبع

bleepingcomputer

فیشر‌ها با استفاده از ویژگی Share Video by Email ، سازندگان محتوای YouTube را هدف قرار می‌دهند، که ایمیل فیشینگ را از یک آدرس ایمیل رسمی یوتیوب (no-reply@youtube.com)ارائه می‌دهد.

کلاهبرداری ایمیل فیشینگ یوتیوب چگونه کار می‌کند؟

این ایمیل به اهداف یک خط‌مشی جدید کسب درآمد، قوانین جدید اطلاع می‌دهد و از آنها می‌خواهد یک ویدیو را مشاهده کنند، این ایمیل همچنین حاوی سندی است که در Google Drive میزبانی شده است و به آن اشاره می‌کند و رمز‌عبور برای باز‌کردن آن را ارائه می‌دهد، در نهایت به گیرندگان اطلاع داده می‌شود که مهلت 7 روزه برای پاسخگویی دارند ،در غیر این‌صورت نمی‌توانند به حساب خود دسترسی داشته باشند.

خالق محتوای رسانه‌های اجتماعی، کوین بریز، به یوتیوب در مورد این کلاهبرداری خاص هشدار داده و خاطر‌نشان کرده است که این یک مورد ساده از ایمیل‌های جعلی نیست، بلکه حمله پیچیده‌تری است که در آن کلاهبرداران از سیستم اشتراک‌گذاری پلتفرم سوء‌استفاده می‌کنند.

چگونه ایمن بمانیم؟

یوتیوب در حال بررسی این موضوع است، اما در این بین به کاربران هشدار می‌دهد که مراقب باشند.

مجرمان سایبری اغلب سعی می‌کنند حس فوریت را در قربانیان خود ایجاد کنند تا آنان به صورت آنی و بدون فکر‌کردن عمل کنند و از این طریق در دام مجرمان گرفتار شوند.

کاربران باید به این نکته توجه نمایند که سایت یوتیوب هرگز اعتبار ورود آنها را از طریق ایمیل درخواست نمی‌کند و افراد همیشه می‌بایست مراقب پاسخ‌دادن به ایمیل‌های ناخواسته  باشند، حتی اگر به نظر برسد که این ایمیل‌ها از ایمیل رسمی یک شرکت می‌آیند.

همچنین مهم است که قبل از کلیک بر روی پیوند‌های ایمیل، URL را مجددا بررسی کنید تا مطمئن شوید که درست است و دارای نام HTTPS برای امنیت بیشتر است.

در نهایت، فعال‌کردن احراز هویت دو‌مرحله‌ای (2FA)می‌تواند یک لایه حفاظتی اضافی برای کمک به محافظت از حساب‌ها در برابر دسترسی غیر‌مجاز ایجاد کند.

بریز پیشنهاد کرد که یوتیوب ویژگی اشتراک ویدیو از طریق ایمیل را به طور کامل حذف کند،وی در این خصوص توصیه کرده است: من شک دارم که این ویژگی دیگر زیاد استفاده شود،زیرا نکات منفی بیشتری برای حفظ آن وجود دارد تا نکات مثبت .
 

منبع

helpnetsecurity

رئیس پلیس فتا استان خراسان جنوبی از کشف پرونده‌ای که فردی به بهانه فروش تلفن همراه از طریق یک سایت از افراد کلاهبرداری می‌کرد،خبر داد.

پایگاه اطلاع‌رسانی پلیس فتا: سرهنگ الوانی رئیس پلیس فتا استان خراسان جنوبی در تشریح این خبر گفت: فردی به پلیس فتا مراجعه و با ارائه شکوائیه اعلام داشت چند ماه قبل از طریق فضای مجازی اقدام به خرید گوشی تلفن همراه نموده و مبلغ 390میلیون ریال را نیز به حساب فرد فروشنده واریز نمودم ،ولی تاکنون فروشنده گوشی را برای من ارسال ننموده است و علی‌رغم پیگیری‌های متعدد ،وی از بازگرداندن پول نیز خودداری می‌نماید ،لذا من از این موضوع شاکی بوده و خواهان رسیدگی می‌باشم. 

این مقام سایبری افزود:به‌منظور رسیدگی به شکایت این شهروند بزه‌دیده و احقاق‌حق وی، بلافاصله کارشناسان پلیس فتا رسیدگی به این موضوع را در دستور کار خود قرار‌داده و پرونده اولیه در این خصوص تشکیل گردید.

این مقام انتظامی ادامه داد:در بررسی‌های اولیه توسط کارکنان پلیس فتا مشخص گردید ،فرد بزه‌دیده در فضای‌مجازی به دنبال خرید تلفن همراه بوده است، که تبلیغیات فریبنده یک سایت فروش تلفن همراه با قیمت مناسب توجه وی را به خود جلب نموده است و در ادامه شاکی بدون بررسی هویت گردانندگان سایت مذکور مبلغی را جهت خرید تلفن همراه به حساب فرد کلاهبردار واریز می نماید.

سرهنگ الوانی گفت : با اقدامات تخصصی و فنی انجام شده توسط کارشناسان پلیس فتا و استخراج مستندات و ادله دیجیتال لازم ، فرد کلاهبردار که در خارج از استان سکونت داشت ،شناسایی گردید .

وی افزود:در ادامه با پیگیری مستمرکارشناس پرونده، وجه پرداختی از طرف شاکی توسط متهم به صورت کامل به حساب وی برگشت داده شد و پرونده برای سیر مراحل قضایی به دادسرا ارسال گردید.

سرهنگ الوانی خاطر‌نشان کرد : کاربران فضای مجازی به‌هیچ‌عنوان فریب تبلیغات اغوا‌کننده و دروغین مجرمین سایبری از قبیل فروش کالا با قیمت‌بسیار پایین و یا تخفیف ویژه را نخورند و خریدهای اینترنتی خودشان را حتماً از سایت های اینترنتی دارای نماد اعتماد الکترونیک انجام داده و به‌هیچ‌وجه قبل از دریافت کالا به حساب افراد ناشناس بیعانه وازیز ننمایند.

رئیس پلیس فتا استان خراسان جنوبی خاطر نشان کرد : سایت پلیس فتا به آدرس الکترونیکی www.cyberpolice.ir آماده دریافت گزارش‌های مردمی بوده و کاربران گرامی می‌توانند آخرین اخبار ،حوادث و رویداد‌های سایبری را از این سایت دریافت نمایندو همچنین شماره تماس 096380 مربوط به مرکز فوریت‌های سایبری پلیس فتا به صورت شبانه‌روزی آماده پاسخگویی به سوالات شهروندان در سراسر کشور می‌باشد.