شماره شانزدهم خبرنامه دیدهبان
۲۸ آبان ۱۴۰۳ - ۱۳:۳۹
سیسکو به کاربران هشدار داد:
شرکت سیسکو موفق به شناسایی بدافزاری شده که کامپیوتر را در صورت ردگیری شدن در بررسیهای امنیتی از کار خواهد انداخت.
به گزارش پایگاه اطلاع رسانی پایداری ملی، سیسکو سیستمز بدافزاری به نام رامبرتیک را شناسایی کرد که قادر است هر متن سادهای را که وارد پنجره مرورگر شود رهگیری و از طریق هرزنامهها و پیامهای فیشینگ منتشر کند.
رامبرتیک بررسیهای خود را بلافاصله پس از نصب و اجرا بر روی کامپیوترهای تحت ویندوز آغاز میکند تا دریابد که آیا ردیابی شده است یا خیر. این رفتار برای بعضی از انواع بدافزارها رفتاری غیرمعمول به حساب نمیآید اما به گفته کارشناسان امنیتی رامبرتیک، از این نظر منحصربهفرد است که فعالانه در تلاش است تا در صورت ردیابیشدن ویژگیهایش در طول تحلیل بدافزاری، کامپیوتر را نابود کند.
این بدافزار پیش از این نیز مورد استفاده قرار گرفته بود و نمونههای معروف استفاده از آن علیه اهدافی در کره شمالی در سال ۲۰۱۳ و سونی پیکچرز در سال ۲۰۱۴ بوده است.
آخرین بررسی که رامبرتیک انجام میدهد خطرناکترین بررسیهاست. این بدافزار در آخرین بررسی خود به رایانش ترکیبی ۳۲ بیتی از منبعی روی حافظه اقدام میکند و درصورتی که آن منبع یا زمان همگردانی دچار تغییر شود رامبرتیک شروع به نابودسازی خود میکند.
این بدافزار ابتدا امبیآر را هدف میگیرد که اولین بخش از هارددرایو است و کامپیوتر قبل از بارگذاری سیستمعامل به آن رجوع میکند. اگر رامبرتیک به امبیآر دسترسی نیابد تمام فایلهای موجود در پوشه خانگی کاربر را با کدگذاری آن بهوسیله کد اتفاقی آرسی۴ (RC۴) از بین میبرد. بهمحض اینکه امبیآر یا پوشه خانگی کدگذاری شد، کامپیوتر ریاستارت شده و وارد چرخهای بیانتها میشود که آن را از ریبوت کردن بازمیدارد. روی صفحه نمایش نیز این پیغام دیده میشود: «Carbon crack attempt, failed»
وقتی این بدافزار برای نخستینبار بر روی کامپیوتری نصب میشود، خود را از درون بستهبندیاش بیرون میکشد. حدود ۹۷ درصد از محتوای فایلهای بیرونآمده از بسته برای این طراحی شدهاند که ظاهر آن را به نرمافزارهای قانونی شبیه کنند. این محتویات مرکب از ۷۵ تصویر و ۸۰۰۰ کارکرد جعلیاند که در واقع هرگز مورداستفاده هم قرار نمیگیرند.
بنابر اعلام سیسکو، این بسته طوری طراحی شده که با بررسی تکتک کارکردها، تحلیلگران را شکست بدهد.
نرمافزار مذکور از ورود به مرحله سندباکس میگریزد یا کد را در هنگام بررسی ایزوله میکند. بعضی بدافزارها سعی میکنند تا زمانی که در سندباکس قرار دارند منتظر بمانند تا زمان آن بگذرد و بتوانند فعال شوند؛ اما رامبرتیک بیدار باقی میماند و هر بایت از داده را ۹۶۰ میلیون بار روی حافظه مینویسد که این کار تحلیل را برای ابزار ردگیری اپلیکیشن پیچیده میسازد.
طبق گزارش سیسکو، اگر ابزار تحلیل سعی کند هر ۹۶۰ میلیون مورد مذکور را بررسی کند، تعداد بررسیها به بیش از ۱۰۰ گیگابایت خواهد رسید.
مهمترین راهکار نهادینه سازی الزامات و ضوابط پدافند غیرعامل در دستگاههای اجرایی را چه می دانید؟!
شماره پانزدهم خبرنامه دیدهبان
۲۷ آبان ۱۴۰۳ - ۱۳:۵۶
شماره چهاردهم خبرنامه دیدهبان
۱۹ آبان ۱۴۰۳ - ۱۱:۳۳
شماره سیزدهم خبرنامه دیدهبان
۱۵ آبان ۱۴۰۳ - ۱۳:۲۰
شماره دوازدهم خبرنامه دیدهبان
۲۰ شهريور ۱۴۰۳ - ۲۲:۴۹
شماره یازدهم خبرنامه دیدهبان
۱۷ مرداد ۱۴۰۳ - ۱۲:۲۳
شماره دهم خبرنامه دیدهبان
۰۱ مرداد ۱۴۰۳ - ۱۳:۵۶
شماره نهم خبرنامه دیده بان
۱۸ تير ۱۴۰۳ - ۱۸:۳۱
شماره هشتم خبرنامه دیده بان
۲۶ خرداد ۱۴۰۳ - ۱۳:۵۷
شماره هفتم خبرنامه دیده بان
۱۳ خرداد ۱۴۰۳ - ۱۰:۱۳
شماره ششم خبرنامه دیدهبان
۳۱ ارديبهشت ۱۴۰۳ - ۱۶:۰۶
شماره پنجم خبرنامه دیدهبان
۲۳ ارديبهشت ۱۴۰۳ - ۱۲:۳۷
شماره چهارم خبرنامه دیدهبان
۱۲ ارديبهشت ۱۴۰۳ - ۲۲:۳۳
شماره سوم خبرنامه دیده بان
۰۶ ارديبهشت ۱۴۰۳ - ۱۲:۰۵
شماره دوم خبرنامه دیده بان
۰۱ ارديبهشت ۱۴۰۳ - ۲۳:۳۵
شماره اول خبرنامه دیده بان
۲۱ فروردين ۱۴۰۳ - ۲۳:۴۲