العودة   منتديات نزف همس > نزف همس العلمية > مـــــــــــاذا بعــد

مـــــــــــاذا بعــد الاختراعات الحديثة والمستقبلية والافكار التى تؤدي الي حياة افضل

 
 
أدوات الموضوع إبحث في الموضوع انواع عرض الموضوع
#1  
قديم 2018-02-22, 7:51 PM
مركز تحميل الصورمركز تحميل الصورمركز تحميل الصور
شمس الاحلام متواجد حالياً
Saudi Arabia     Female
SMS ~ [ + ]


انــت بحيــآتي شــي ثــآني عـن الــغيـر تــقــدر تــقـوول أجــمــل حــدث فــي حــيــآتــي 🎼❤
عسى ربي يخليك لعيوني t
اوسمتي
شعلة المنتدى وسام الذوق الرفيع وسام الملكة 
لوني المفضل Gold
 رقم العضوية : 746
 تاريخ التسجيل : 4 - 2 - 2012
 فترة الأقامة : 2424 يوم
 أخر زيارة : 2018-09-24 (3:39 PM)
 المشاركات : 105,969 [ + ]
 التقييم : 209
 معدل التقييم : شمس الاحلام has a spectacular aura aboutشمس الاحلام has a spectacular aura aboutشمس الاحلام has a spectacular aura about
بيانات اضافيه [ + ]
مزاجي:
همس برمجيات Hancitor الخبيثة تعتمد على السيرفرات المخترقة وحسابات الاحتيال




برمجيات Hancitor الخبيثة تعتمد على السيرفرات المخترقة وحسابات الاحتيال

كشفت الوحدة 42 للأبحاث واستقصاء التهديدات التابعة لشركة بالو ألتو نتوركس عن مراقبة ومتابعة رسائل "Spam" التي تعمل على إرسال برمجية Hancitor الخبيثة على مدار العامين الماضيين. وتنتشر برمجية Hancitor الخبيثة التي تعرف أيضاً باسم Chanitor أو Tordal، عبر تطبيقات مايكروسوفت أوفيس حيث تنتشر على شكل حملات رسائل سبام خبيثة. وقد صممت برمجية Hancitor الخبيثة بهدف إصابة جهاز المستخدم العامل بنظام التشغيل مايكروسوفت ويندوز ببرمجيات خبيثة إضافية، حيث تكون النتيجة النهائية عبارة عن فيروسات حصان طروادة تستهدف البيانات البنكية. ولكن تأثير برمجية Hancitor كان محدوداً بشكل نسبي، فعلى التهيئة القياسية لمضيف نظام التشغيل ويندوز 10، يمكن اكتشاف البرمجية الخبيثة بسهولة من قبل أدارة مكافحة الفيروسات المدمجة الخاصة بنظام التشغيل ويندوز. وعلاوة عن ذلك، تستطيع الكثير من فلاتر السبام اكتشاف هذه الرسائل البريدية قبل وصولها إلى الشخص المستهدف.
ولكن كيف تعمل البرمجية الخبيثة بشكل فعال؟ يمكن أن تكون الضحية المستهدفة المثالية شخص ما يستخدم نسخة قديمة من نظام التشغيل ويندوز، مثل ويندوز 7 ومع وجود برنامج في حالة عدم التشغيل لمكافحة الفيروسات. مثل هؤلاء الضحايا لا يعيرون اهتماماً للتهديديات التي يواجهونها ويمكن أن يضغطوا على أية روابط أو مرفقات تصلهم. وعلى ما يبدو وأن هذه الفئة الديموغرافية المستهدفة تحظى بأهمية كافية لدى المجرمين الذين يقفون وراء برمجية Hancitor الخبيثة وتدفعهم لمواصلة ارسال هذه الرسائل البريدية بشكل منتظم.
وعلى الرغم من نشر الباحثين للعديد من التقارير حول حملات السبام التي تتضمن برمجية Hancitor الخبيثة، إلا أن تركيزهم الأبرز كان على البرمجية الخبيثة ذاتها وإمكانياتها. ولكن، كيف يمكن لهذا النوع من الهجمات تحقيق الربح المادي على الرغم من استهدافها لقاعدة محدودة من الضحايا؟ تم نشر القليل من الأبحاث حول كيفية استخدام هذه الحملة لحسابات الاحتيال والبنى التحتية المخترقة للأعمال التجارية الشرعية. ويعتبر فهم قواعد اللعبة المتبعة من قبل هؤلاء المجرمين يعتبر أمراً في غاية الأهمية لفهم سبب استمرارهم في العمل.
وقال براد دنكن، الخبير الأمني لشركة بالو ألتو نتوركس: "لا زلنا نلاحظ ونشهد مئات الأمثلة شهرياً على برمجية Hancitor الخبيثة التي يم إرسالها لمجموعة متنوعة من المتلقين. وتظهر الصورة المبينة أدناه بيانات تم استخلاصها من منصة (أوتوفوكس) لاستقصاء بيانات التهديدات التابعة لنا، والتي توفر رؤية عالية جداً حول مدى تكرار ملاحظنا واكتشافنا برمجية Hancitor خلال العام 2017".
وفقاً لبيانات منصة أوتوفوكس لاستقصاء التهديدات التابعة لنا، يمكن الاستنتاج بأن المجرمين الذين يقفون خلف هذه الحملة يتبعون أسلوب أسبوع العمل المؤلفة من خمسة أيام، بداية من الاثنين لغاية الجمعة. إن الارتفاع في نشاط الرسائل الإلكترونية غالباً ما يحدث في منتصف الأسبوع، الأمر الذي يعكس النمط العام للإنتاجية المتبع من قبل معظم الأشخاص الذين يتبعون الجدول الزمني ذاته.
تاريخ الحملة
خلال السنوات الماضية، تم إيصال برمجية Hancitor الخبيثة كمرفقات ضمن رسائل البريد الإلكتروني خلال حملات رسائل السبام الخبيثة. وتقوم ملفات مايكروسوفت ورد في هذه الحملة الخبيثة بتحميل غيرها من البرمجيات الخبيثة الأخرى مثل Pony، وVawtrak، وDELoader .
حملة الاستهداف ببرمجية Hancitor
نجح المجرمون في الماضي بإصابة الضحايا باستخدام مرفقات البريد الإلكتروني، إلا أن أدوات الفلترة الخاصة بخدمة البريد الإلكتروني فقد تطورت كثيراً في السنوات الأخيرة. معظم الحلول الأمنية الحالية على مستوى الشركات تتضمن تركيز كبير على مرفقات البريد الإلكتروني، وبإمكانها الكشف بسهولة عن المستندات الخبيثة، بحيث تؤثر بشكل كبير على مستوى نجاح الحملات الخبيثة.
وللالتفاف بشكل أكبر من عمليات الكشف، قام المجرمون منذ نهاية العام 2016 بإضافة خطة إضافية ضمن عملية الاستهداف. فعوضاً عن استخدام مرفقات البريد الإلكتروني، تم إضافة رابط ضمن هذه الرسائل يشير على سيرفرات توزيع تستضيف الملفات الملحقة ببرمجية Hancitor الخبيثة. ويوضح الشكل رقم 3 أساليب الحملة الحالية المستخدمة لإيصال برمجية Hancitor الخبيثة. وتواصل هذه الحملة استخدام سيرفرات التوزيع ما يشير إلى نجاح هذه التقنية في تحقيق أهدافها.
وكما هو موضع في الشكل رقم 3، فإن المستندات الخبيثة التي تتضمن برمجية Hancitor الخبيثة يتم استضافتها على سيرفرات إنترنت مخترقة تقع في مناطق متفرقة حول العالم، أو عبر حسابات احتيالية لدى عدد من مزوي خدمات الاستضافة. وبعد تحديد سيرفرات التوزيع للبدء بحملة رسائل سبام خبيثة محددة، يستخدم مصدرو هذه التهديدات مواقع استضافة شبكات البوت نت لإرسال الرسائل الخبيثة التي تحتوي على روابط تحتوي على مستندات ورود تتضمن برمجية Hancitor الخبيثة. وتستخدم حملة السبام الخبيثة هذه نماذج مختلفة لانتحال هوية شركات وأعمال تجارية مشروعة. وعادة ما يتم تمويه هذه الرسائل على شكل فواتير، أو رسائل فاكس إلكترونية على سبيل المثال لا الحصر. وفي حال قيام الضحية بالنقر على الرابط المرفق، يتم إرسال نسخة من برمجية Hancitor إلى جهاز كمبيوتر الضحية. الشكل رقم 4 يظهر مثال على رسالة سبام خبيثة مع رابط مرفق لتحميل برمجية Hancitor في شهر فبراير من العام 2017. هذا المثال على وجه الخصوص، كان عبارة عن إشعار شحن مزيف من أمازون. ومن الواضح أنه لم يتم إرساله من قبل موقع أمازون الحقيقي حيث إن المهاجم يستخدم موضوع شحن أمازون كخدعة منطقية.
الرابط ضمن هذه الرسائل الإلكترونية يتضمن بشكل تقليدي عنوان البريد الإلكتروني الخاص بالضحية كجزء من الرابط الإلكتروني، ويتم أحياناً التمويه باستخدام تقنية التشفير base64 أو غيرها من تقنيات التشفير. وعادة ما تكون هذه محاولة من مرسل برمجية Hancitor الخبيثة لتتبع الضحية الذي قام بتحميل نموذج Hancitor بنجاح. ونذكر أدناه مثالين على ذلك شهدناهما خلال العام الماضي:
عند التحقيق في أسماء المواقع الإلكترونية الخاصة بسيرفرات التوزيع، اكتشفنا دليل مفتوح يستضيف ملفين نصيين هما: visitor.txt، و block.txt (الشكل رقم 6). ويبدو أن الملف visitor.txt يعمل على مراقبة كافة عمليات تحميل ملفات وورد النصية المتضمنة لبرمجية Hancitor الخبيثة المستضافة على ذلك السيرفر. ويعمل ملف block.txt على متابعة عناوين الـ IP التي يجب أن تكون محجوبة. الكثير من عناوين الـ IP ضمن ملف block.txt يعود لسيرفرات أمازون AWS. ونشكل بأن هذه القائمة قد استخدمت لحجب عمليات التحليل على الأنظمة المؤتمتة التي يديرها الباحثون والشركات المزودة للحلول الأمنية، من خلال عدم توفير المحتوى لعناوين الـ IP التي تشتهر بتحليلها للبرمجيات الخبيثة.
منذ بداية شهر أكتوبر 2017، كانت سيرفرات التوزيع هذه عبارة عن سيرفرات أعدت عبر حسابات خبيثة لدى الشركات المزودة لخدمات الاستضافة. وخلال الفترة من سبتمبر حتي نوفمبر 2017، هناك روابط إلكترونية من حملة الاستهداف ببرمجية Hancitor الخبيثة لجأت أحياناً إلى أسماء المواقع هذه دون استخدام أي نص إضافي في عنوان الـ URL.

وفي الأسابيع الأخيرة، استخدمت روابط من هذه الحملة الخبثة عملية تشفير خاصة لإخفاء عنوان البريد الإلكتروني للمستقبل ضمن عنوان الـ URL.
مواصفات سيرفرات التوزيع
بالنظر إلى كيفية استفادة مستخدمو حملة Hancitor الخبيثة للسيرفرات المصابة، قمنا بالتحقيق في الأعداد والمناطق التي تم إصابة هذه السيرفرات فيها. ويظهر الجدول التالي نظرة شاملة عن البلدان المتضررة، حيث أن سيرفرات التوزيع التي لوحظت على مدار السنة هي سيرفرات تتوزع في أنحاء متفرقة من العالم. وعلى الرغم من أن الولايات المتحدة تمثل أكبر عدد منن سيرفرات التوزيع، إلا أن أغلب السيرفرات في الولايات المتحدة هي من حسابات خبيثة مستضافة لدى شركات مزودة لخدمات الاستضافة. وعلى النقيض، فإن معظم سيرفرات التوزيع في بقية الدول هي من سيرفرات مصابة تابعة لشركات وأعمال مشروعة.
ووفق البيانات الخاصة بشهر يناير حتي سبتمبر 2017، فإن معظم المواقع الإلكترونية المصابة المستخدمة لنشر برمجية Hancitor تقع في المنطقة الآسيوية. وتعود معظم السيرفرات المصابة لشركات وأعمال محلية في كل دولة من هذه الدول. وعلى الرغم من أنه لا توجد منطقة محددة تظهر أكثر عرضة للتهديدات من غيرها، إلا أن المواقع الإلكترونية التي شهدناها حتي الآن خلال العام 2017 تشير إلى شركات ومؤسسات في آسيا، وتحديداً الشركات الصغيرة والمتوسطة التي تشغل خدمات عرضة للتهديدات والمحتمل استغلالها عبر برمجية Hancitor الخبيثة لاستضافة برمجيات خبيثة.

واعتباراً من شهر ديسمبر 2017، تم توزيع مستندات ورد تتضمن برمجية Hancitor الخبيثة بشكل شائع عبر حسابات مزورة لدى عدد من شركات الاستضافة. ومع ذلك، وخلال مرحلة نشاط ما بعد الإصابة، تقوم برمجية Hancitor بتحميل برمجيات خبيثة إضافية انطلاقاً من سيرفرات توزيع إضافية. سيرفرات التوزيع مرحلة ما بعد الإصابة هي مواقع إلكترونية شرعية تم الاستحواذ عليها خلال هذه الحملة، وأن هذه المميزة لحركة البيانات المصابة ببرمجية Hancitor بقيت متسقة منذ بداية مراقبتنا هذه البرمجية الخبيثة.
وبعيداً عن سيرفرات الشبكة وغيرها من الخدمات ذات الصلة، فإن أغلب المواقع الإلكترونية المصابة كانت تدير خدمة PureFTPd أو خدمة ProFTPd. ويرجح هذا الأمر إلى أن المجرمون الذين يقفون وراء حملة برمجية Hancitor الخبيثة كانوا يستهدفوا سيرفرات تدير نسخ FTP للتطبيقات التي تكون عادة عرضة للهجمات. ومع ذلك، ودون وجود أي بيانات إضافية، لا يمكننا توفير أية معلومات قطعية في هذا الصدد.
التطورات الأخيرة
لا تزال حملة spam التي تتضمن برمجية Nancitor الخبيثة تشهد حالة من التطور. وكان براد دنكان الباحث لدى الوحدة 42 قد ناقش مؤخراً بروز موجة السبام الخاصة ببرمجية Hancitor الخبيثة 16 أكتوبر 2017، حيث استخدمت ملفات ورد من سيرفرات توزيع لأسلوب الهجوم المعروف اختصاراً بـ DDE. وفي هذه الحالة، كانت برمجية Hancitor منفصلة تماماً من مستند وورد النصي، وتم تحمليها كثنائية خبيثة منفصلة. وهذا ما أضاف سيرفر توزيع جديد في سلسلة حالات الإصابة الأخرى.
وانتشر أسلوب الهجوم DDE للاعبين آخرين يعملون بأسلوب التوزيع الاشمل للبرمجيات الخبيثة عبر رسائل البريد الإلكتروني، إلا أنه وبحلول شهر نوفمبر 2017، تابعت برمجية Hancitor استخدام الماكرو ضمن ملفات وورد النصية.





 توقيع : شمس الاحلام



هل تسمع صوت بحة الحنين إليك ..

وهل تسمع أنين الفقد الذي أصبح يعلو منذ رحيلك
ماعدت أرى في أرجائي سوى صورة لك تحمل بين
أكفِها ذكرى لقلبك الطيب
ولازال ينسكِب في ثغر مسامعِيّ .. صوتك كـ هطول ماطر
ها أنا ذا أقف على نافذة الإنتظار لأرى شعاع عودتك
فـ كن بخيرt..
وسلاماً عليكَ في الغدو و العشيّ


رد مع اقتباس
 

مواقع النشر (المفضلة)


الذين يشاهدون محتوى الموضوع الآن : 1 ( الأعضاء 0 والزوار 1)
 
أدوات الموضوع إبحث في الموضوع
إبحث في الموضوع:

البحث المتقدم
انواع عرض الموضوع

تعليمات المشاركة
لا تستطيع إضافة مواضيع جديدة
لا تستطيع الرد على المواضيع
لا تستطيع إرفاق ملفات
لا تستطيع تعديل مشاركاتك

BB code is متاحة
كود [IMG] متاحة
كود HTML معطلة

الانتقال السريع


الساعة الآن 3:39 PM.


Powered by vBulletin Version 3.8.8
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd
ذبحني الشوق Pain Thread Img by Pain