در رابطه با بدافزاری که شرکت های مخابراتی خاورمیانه را هدف قرار می دهد
به گزارش یاری کالا، Back Door یا در پشتی، از طریق های مختلف به هکرها امکان می دهد که به سیستم کاربران نفوذ کنند؛ در همین رابطه مرکز ماهر اخیرا اعلام نموده است سرویس دهندگان ارتباطات تلفنی در منطقه خاورمیانه هدف یک مجموعه حمله جدید به نام ShroudedSnooper هستند که از یک در پشتی پنهان به نام HTTPSnoop استفاده می نماید.
به گزارش یاری کالا به نقل از ایسنا، Back Door یا در پشتی یک نوع نرم افزار مخرب یا یک ضعف امنیتی است که دسترسی هکرها را به سیستم کاربران میسر می کند. در این روش هکرها با دور زدن مکانیزم های امنیتی به صورت غیر مجاز به سیستم کاربران دسترسی پیدا می کنند به نحوی که کاربران حتی متوجه نفوذ هکرها نمی شوند چون که آنها در پس زمینه سیستم کاربران فعالیت می نمایند و شناسایی آنها برای کاربران عادی کار سختی است.
درحقیقت Back Door یا درپشتی، از طریق های مختلف به هکرها این امکان را می دهد که به سیستم کاربران نفوذ کنند و اطلاعات آنها را دستکاری کنند. معمولا هکرها برای کنترل سیستم کاربران از بدافزارها استفاده می کنند؛ آنها از راه دور می توانند اطلاعات شخصی کاربران را به سرقت ببرند یا دستکاری کنند؛ در همین رابطه اخیرا مرکز مدیریت امداد و هماهنگی عملیات رخدادهای کامپیوتری (ماهر) از یک بدافزار در پشتی جدید که شرکتهای مخابراتی خاورمیانه را هدف قرار می دهد اطلاع داده است.
درباره جزئیات این بدافزار میتوان گفت سرویس دهندگان ارتباطات تلفنی در منطقه خاورمیانه هدف یک مجموعه حمله جدید به نام ShroudedSnooper هستند که از یک در پشتی پنهان به نام HTTPSnoop استفاده می نماید. Cisco Talos در یک گزارش اعلام نموده است HTTPSnoop یک بک دور ساده ولی موثر است که از روشهای فنی نوآورانه برای تعامل با درایورها و دستگاههای هسته است که از HTTP استفاده می نماید تا درخواست های ورودی برای URLهای خاص HTTP(S) را گوش کند و محتوای مرتبط را در دستگاه آلوده اجرا نماید.
بخشی از ابزارکار تهاجمی این گروه هم با نام PipeSnoop نامگذاری شده است که می تواند شل کد خودساخته ای از راه یک لوله نام گذاری شده دریافت کرده و آنرا در دستگاه آلوده اجرا نماید. ShroudedSnooper از سرورهای قابل دسترسی اینترنتی استفاده می نماید و HTTPSnoop را برای به دست آوردن دسترسی اولیه به محیط های هدف مستقر می کند.
هر دو نوع ابزار مخرب بعنوان اجزایی از برنامه Cortex XDR شبکه های Palo Alto Networks (CyveraConsole.exe) جلوه می کنند تا از تشخیص متخصصان امنیتی فرار کنند. گفته شده تا کنون سه نسخه مختلف از HTTPSnoop شناسایی شده است. این در پشتی از API های ویندوز سطح پایینی برای گوش دادن به درخواست های ورودی با الگوهای URL تعریف شده استفاده می نماید. این الگوها سپس برای استخراج شل کد جهت اجرا در میزبان استفاده می شوند.
این URLهای HTTP به شبیه سازی URLهای در ارتباط با خدمات تبادل اطلاعات وب مایکروسافت، OfficeTrack و خدمات تخصیص در رابطه با یک شرکت ارتباطات شبیه سازی شده اند تا درخواست های مخرب به نظر درخواست های بی خطری بیایند. تحقیقات می گویند URL های HTTP مورد استفاده توسط HTTPSnoop به همراه اتصال به وب سرور معمولی ویندوز نشان داده است که احتمالا برای کار روی سرورهای اینترنتی و وب و همینطور سرورهای خدمات تبادل اطلاعات (EWS) طراحی شده است اما PipeSnoop با عنایت به نامش احتمالا برای عمل در داخل یک شرکت مورد تخریب استفاده می شود و به نظر می آید برای دستگاههای مخرب با اولویت ها یا ارزش های بالاتر طراحی شده باشد.
PipeSnoop نمی تواند بعنوان یک ابزار مخرب مستقل کار کند و به یک جزء کمکی نیاز دارد که بعنوان یک سرور عمل کرده و شل کد را از راه روش های دیگر دریافت کند و از راه لوله نام گذاری شده آنرا به درب پشتی منتقل کند. حمله به بخش مخابرات، بخصوص در منطقه خاورمیانه، در سالهای اخیر به یک الگو تبدیل گشته است.
در ژانویه ۲۰۲۱، ClearSky یک سری حملاتی را کشف کرد که توسط Lebanese Cedar اجرا شده بود و به اپراتورهای مخابراتی در ایالات متحده، انگلستان و منطقه خاورمیانه هدف می گرفت.
تحقیق گران Talos می گویند سازمان های مخابراتی دید کاملی از ترافیک اینترنتی را دارند، هم در قسمت خدمات خرده فروشی و هم در قسمت های در رابطه با شرکت ها. علاوه بر این، بیشتر زیرساخت های مخابراتی از شبکه های مهمی تشکیل شده اند که برای برقراری اتصالات داخلی و خارجی اساسی هستند و بنابراین ارزش بسیاری برای گروههای حمایتی دولتی دارند.
راه های مقابله با درپشتی چیست؟
کارشناسان در این حوزه سفارش می کنند کاربران حتما نرم افزارهای آنتی ویروس و ضد بدافزار را روی سیستم خود نصب داشته باشید. آنتی ویروس مناسب برای امنیت دستگاه خیلی مهم و ضروریست ولی کافی نیست و در کنار آن یک Anti Malware امن را هم برای شناسایی اپلیکیشن های مخرب روی سیستم تان نصب کنید.
همچنین کاربران از نرم افزارهای متن باز یا Open Source که معمولا مجانی هم هستند استفاده کنند، چون که کد این برنامه ها در دسترس عموم هست و عده ای متخصص آنها را بررسی می کنند که آیا Back Door یا درپشتی یا کد مرجع آنها وجود دارد یا خیر؛ پس Back Door یا درپشتی به سراغ اپلیکیشن هایی می رود که خیلی راحتر و مناسب تر برای هک هستند.
این مطلب را می پسندید؟
(0)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب