- خانه
- محصولات و خدمات
- امنیت نقاط پایانیامنیت نقاط پایانی پیشرفتهامنیت دادهامنیت زیر ساخت شبکهمدیریت فناوری اطلاعاتحفاظت الکترونیکامنیت نقاط پایانی
امنیت نقاط پایانی (Endpoint Protection Platform)
(آنتی ویروس سازمانی پادویش بیس) Padvish Base
(آنتی ویروس سازمانی پادویش کورپوریت) Padvish Corporate
Kaspersky Small Office Security
Kaspersky Endpoint Security Select
Kaspersky Endpoint Security Advanced
Kaspersky Total Security for Business
Kaspersky Endpoint Security Cloud
Kaspersky Endpoint Security Cloud Plus
Kaspersky Hybrid Cloud Security
(ضد باجگیر سازمانی پادویش) Padvish Anticrypto
Kaspersky Security for Storage
امنیت نقاط پایانی پیشرفتهمرکز کشف و پاسخ نقاط پایانی (Endpoint Detection & Response)مرکز کشف و پاسخ مدیریت شده (Managed Detection & Response)مرکز کشف و پاسخ پیشرفته (eXtended Detection & Response)امنیت دادهامنیت زیر ساخت شبکهفایروال و مدیریت یکپارچه تهدیدات (Firewall & UTM)
APK GATE Unified Threat Management
مدیریت وقایع و امنیت اطلاعات (SIEM)
مدیریت فناوری اطلاعات(Asset Management) مدیریت داراییها
(مدیریت داراییهای پادویش) Padvish AM
(Support Management) مدیریت پشتیبانی
jsjحفاظت الکترونیک
- دانلود
- مقالات
- دعوت به همکاری
- درباره ما
- تماس با ما
- فروش آنلاین
- سفارش آنتی ویروس سازمانی
بستن
بدافزار Qbot نوع جدید چگونه وارد ویندوز میشود؟
فهرست مطالب
بدافزار Qbot چیست؟ آپدیت جدید آن چه هدفی را دنبال می کند؟
بدافزار QBot که با نام Qakbot نیز شناخته میشود، از جمله بدافزارهای ویندوزی است که در ابتدا به عنوان یک تروجان برای سرقت اطلاعات حساب های بانکی توسعه داده شده بود؛ بعدها قابلیت آلوده کردن سیستم به بدافزارهای دیگر نیز به آن اضافه شد. این بدافزار در پس زمینه ویندوز اجرا میشود و با سرقت اطلاعات ایمیل و آلوده کردن سیستم به بدافزارهای بیشتر، بستر لازم برای انجام حملات بیشتر، سرقت اطلاعات و حملات باج گیرها را فراهم میکند.
حملات جدید فیشینگ از آسیب پذیری روز صفر ویندوز استفاده میکنند تا بدافزار Qbot بدون نمایش هشدارهای امنیتی روی سیستم قربانی نصب گردد. این نوع حمله با ارسال لینکهای ناشناس به ایمیل کاربران آغاز میشود و با کلیک روی لینک دانلود، فایلهای حاوی کدهای مخرب را بر روی سیستم قربانی بارگذاری میکند. بهرهبرداری از این آسیبپذیری به سادگی ایجاد یک آرشیو فشرده حاوی یک فایل فقط خواندنی است. البته با ارائه بروزرسانی های امنیتی ماه نوامبر، آسیب پذیری مذکور برطرف گردیده است.
بررسی آسیب پذیری
هنگامی که فایل هایی از منابع ناشناخته روی سیستم دانلود میشود، سیستم عامل ویندوز خصوصیت جدیدی به آن دسته از فایل ها اضافه میکند که به آن Mark of the Web و یا به اختصار MoTW گفته میشود. این خصوصیت، اطلاعاتی را در رابطه با فایل که شامل سطح امنیت منبع فایل، ارجاع دهنده و آدرسی که فایل از آن دانلود شده است، در خود نگه میدارد. هنگامی که کاربر قصد باز کردن چنین فایلی را دارد، ویندوز با نمایش پیغام امنیتی، هشدارهای لازم را در خصوص فایلهایی با خصوصیت MoTW به کاربر میدهد.
این فایلهای با پسوند جاوا اسکریپت، مشابه فایل هایی که در وبسایت ها استفاده میشود نیستند؛ چراکه توسط Windows Script Host اجرا میشوند. محققان بعد از تحقیقات فراوان در زمینه آنالیز آسیب پذیری شرکت ANALYGENCE، دریافتند که مجرمان سایبری از آسیب پذیری جدید در ویندوز سوء استفاده کرده و از نمایش هشدارهای امنیتی در خصوص MoTW جلوگیری میکنند.
برای بهرهبرداری از این آسیبپذیری، فایل های جاوا اسکریپت (یا فایل های دیگر) میتوانند شامل امضاهای دیجیتالی باشند. بدین ترتیب، وقتی که فایل مشکوکی با امضا دیجیتالی ناهنجاری باز میشود، به جای اینکه توسط SmartScreen ویندوز نشانه گذاری گردد و هشدارهای امنیتی لازم را نمایش دهد، بصورت خودکار فایل آلوده را اجرا میکند و بدین ترتیب بدافزار Qbot از طریق اینترنت بر روی سیستم قربانی بارگذاری میشود.
نحوه تکثیر و عملکرد آپدیت جدید بدافزار Qbot
تیم فیشینگ بدافزار QBot فایلهای فشرده ای که با پسورد محافظت میشوند و حاوی فایلهایی با فرمت ISO هستند را در سطح اینترنت توزیع کردهاند، که این فایلها حاوی کدهای مخربی برای نصب بدافزار میباشند. اما چرا فایلهای ISO برای تکثیر بدافزارها استفاده میشوند؟ چون سیستم عامل ویندوز به درستی خصوصیت MoTW فایلهای درون ISO ها را بررسی نمیکند و به فایلهای مخرب اجازه عبور از هشدارهای امنیتی ویندوز را میدهد.
این نوع حمله با دریافت ایمیل حاوی لینک دانلود و پسورد فایل آغاز میشود که با کلیک روی لینک دانلود، فایل فشردهای حاوی فایل ISO بر روی سیستم قربانی بارگذاری میگردد. سیستم عامل ویندوز 10 و نسخههای بعد از آن، قابلیت mount کردن فایلهای ISO به عنوان یک درایو جدید را دارا هستند. محتویات فایل به شرح تصویر زیر میباشد.
فایل جاوا اسکریپت موجود در تصویر، شامل کدهای ویژوال بیسیک میباشد که محتویات فایل data.txt را میخواند. فایل data.txt شامل رشته های متنی vR32 است و اضافه کردن آن به پارامترهای پوسته اجرایی، فایل DLL مخرب را بارگذاری میکند که پس از مدت کوتاهی DLL به درون پردازههای عادی ویندوز (wermgr.exe یا AtBroker.exe) تزریق میشود.
راهکار مقابله با این بد افزار
در گذشته باج گیرهای Egregor ،Prolock ،Black Basta توسط بدافزار Qbot درون شبکههای سازمانی توزیع شده بودند. پیشنهاد ما این است که برای در امان ماندن سیستم از آلوده شدن به بدافزارهایی از این قبیل و جلوگیری از به سرقت رفتن اطلاعات خود، ویندوز سیستم خود را مرتباً به جدیدترین آپدیت های ارائه شده توسط مایکروسافت ارتقاء دهید. شما میتوانید برای کسب اطلاعات بیشتر در خصوص اصلاحیههای امنیتی ماه نوامبر به وبسایت مایکروسافت مراجعه نمایید. البته لازم به ذکر است که شما به عنوان مدیر یک شبکه با نصب آنتی ویروس سازمانی مناسب مانند نسخه Corporate آنتی ویروس پادویش، ضمن اسکن شبکه از لحاظ وجود بدافزار، امکان یافتن سیستمهای آسیب پذیر و نصب وصلههای امنیتی نصب نشده را خواهید داشت.
نکته پایانی
نرمافزارهای رایانهای با توجه به گستردگی و مکانسیمهای پیچیده استفاده شده در پیاده سازی آنها، نیاز به نگهداری و توسعه مستمر دارند؛ آسیب پذیریهای کشف شده باعث توسعه هرچه بهتر و ارتقا سطح امنیت سایبری میگردد. این آسیبپذیری ها گاها بدلیل اشتباهات طراحی و یا خطاهای انسانی به وجود میآیند که با گسترش ویژگیهای کاربردی نرمافزار، ناگذیر هستند.
شرکتهای ارائه دهنده خدمات نرمافزاری ملزم به بررسی آسیب پذیریهای کشف شده و ارائه وصلههای امنیتی برای آنها هستند؛ در این میان گروهی از آسیب پذیریهای روز صفر وجود دارند که شرکت های نرمافزاری از وجود آنها بی اطلاع هستند. لذا این نوع از آسیب پذیری ها نیازمند توجه و بررسی ویژه و مداوم نرم افزارهای مورد استفاده است تا در صورت بروز کوچکترین رخنه امنیتی، رویکردهای مقابلهای مناسبی در برابر آن اتخاذ گردد.