حملات ransomware

چرا به AMP در ESA نیاز دارید ؟

از آنجا که ۹۵% از آسیب ها با یک کمپین مخرب ایمیل آغاز می شود، برای سازمانها از همیشه مهم تر است که مطمئن باشند راه حلهایی که برای تامین امنیت ایمیل دارند به درستی از داده ها، دارایی ها و کاربرانشان محافظت نماید.
بیاید با یک مثال شروع کنیم: بخش منابع انسانی در شرکت Acme، ایمیلی از یک کارمند بالقوه دریافت کرد که شامل رزومه ای در پیوست بود. منابع انسانی به طور معمول پیوست ایمیل را باز کرد. پیوست شامل یک فایل اجرایی بود که بدافزار را در پس زمینه بارگیری می کرد. بدافزار شروع به جمع آوری اطلاعات کرد: پسوردها، اعتبارات و مجوزهای دسترسی شرکت مورد سوء استفاده قرار گرفت و به شکلی ناخواسته به هکرها توانایی سرقت اطلاعات حساس شرکت و مشتریان داده شد. اینگونه سناریوها هر روز اتفاق می افتد بنابراین چگونه باید تشخیص داد که کدام پیوست ها واقعی بوده و کدامیک شامل بدافزار هستند؟ چکار می کنید اگر یک ایمیل مخرب از دیوار دفاعی شما عبور کند؟
اما چگونه Cisco AMP برای ایمیل به تیم منابع انسانی در Acme کمک می کند؟ Cisco Email Security چندین لایه امنیتی برای مسدود کردن تهدیدات مبتنی بر ایمیل ارائه می نماید. این نوع حفاظت شامل مسدود کردن ایمیل ها از فرستندگان نامعتبر، موتورهای ضد اسپم، اسکن ضد ویروس، AMP و غیره است. تمامی چیزهایی توسط آنتی اسپم گرفتار نشده باشند، از طریق چندین موتور آنتی ویروس که در مقابل تهدیدات شناخته شده و در حال ظهور محافظت می کنند، پردازش می شوند. برای تهدیدات پیشرفته تر، Cisco Advanced Malware Protection تجزیه و تحلیل های اضافی خودکار را با استفاده از Cisco threat intelligence انجام می دهند.
ممکن است از خودتان بپرسید وقتی راه حل توسط اسکن موتورهای آنتی ویروس تامین کنندگان امنیتی مختلف فراهم آمده است، چرا برای AMP در ایمیل سرمایه گذاری کنیم؟ جواب این سوال ساده است: اکثر ابزارهای AV ، شناسایی مبتنی بر امضا را اجرا می نمایند که به این معنی است که اگر تکه ای از بدافزار به طور خاص برای حمله به سازمان شما ساخته شده باشد و به طور مداوم توسط تامین کننده AV شناخته نشود، به راحتی می تواند توسط bad actors عبور نماید. درحالیکه موتورهای AV همچنین زیرمجموعه ای از تهدیدات شناخته شده را دریافت می کنند، ما در مقابل حملات پیچیده تر و هدفمندتر نیازمند تامین امنیت و حفاظت هستیم. AMP برای ایمیل یک لایه اضافی از دفاعی ارزشمند را توسط ترکیب تشخیص Point-in-time با تجزیه و تحلیل مداوم، اضافه می کند. یک مثال از بهبود کارایی پس از فعال سازی عملکرد AMP در EAS توسط بخش فناوری اطلاعات سیسکو مشاهده شده است که میزان دریافت بدافزار را ۵۰% بهبود داده است. این امر به دلیل این واقعیت است که حدود ۳۱% از حملات بروز کرده، تهدیدات zero-day بودند که توسط AMP مسدود شدند. AMP برای ESA تنها مسدودکردن و تشخیص اولیه را بهبود نمی دهد. AMP به وسیله ردیابی پیوسته تغییرات بر روی فایلهایی که از گیت وی ایمیل شما عبور می کنند، ESA شما را به سطح بعدی می برد. اگر رفتار مشکوکی مشاهده گردد، AMP هشداری ارسال می نماید که به شما اجازه بررسی و کنترل کردن بدافزار ها را می دهد.

چرا به AMP در ESA نیاز دارید ؟

 

چگونه AMP برای ایمیل اینکار را انجام می دهد؟

         Global threat intelligence از :Cisco Talos امنیت با تقویت قدرت دفاعی با استفاده ازbest global threat intelligence آغاز می شود بنابراین شما می توانید هنگامی که بدافزارها به عنوان تهدیدات جدید بروز می کند، آنها را مسدود نمایید. تیم محققان تهدید سیسکو، به طور مداوم اطلاعات تهدید را به خدمات AMP انتقال می دهد.
         :File Reputation Lookup ESA هش SHA256 را از پیوست ها و پرس جوهای سرویس های file reputation محاسبه می نماید. سرویس با یک verdict، clean، malicious یا ناشناخته جواب می دهد. براساس حکم یک اقدام می تواند نتیجتا انجام شود که ارسال، مسدود کردن یا قرنطینه کردن یک پیام باشد. برای فایل های اجرایی، ESA از تکنولوژی مبتنی بر یادگیری ماشین استفاده می کند که تهدیدهای ناشناخته را با استفاده از عملیات اکتشافی برای جمع آوری صفات شناسایی می کند و یک اثر انگشت Spero ایجاد می نماید که برای تعین احتمال اینکه یک فایل بدافزار است، به سرویس ارسال می شود.
         File Analysis: برای فایلهای با حکم ناشتاخته یا آنهایی که اصلا دیده نشده اند، ESA با ارسال یک پیوست به Threat Grid، یک لایه اضافی بررسی را اجرا می کند که راه حل پیشرفته sandboxing سیسکو است. هنگامی که تجزیه و تحلیل ها اجرا می شود، پیام معمولا قرنطینه می شود و به کاربر نهایی تحویل داده نمی شود. Threat Grid تجزیه و تحلیل پویا و ایستا را به صورت اتوماتیک اجر می کند. همچنین شاخص رفتار قابل خواندن انسان برای هر فایل پذیرفته شده را همانند یک نمره تهدید، تولید می نماید. قبل از اینکه یک فایل ناشناخته پذیرفته شود، موتور پیش طبقه بندی برای انتخاب فایل های با محتوای مشکوک (ماکروهای جاسازی شده، EXE، فلش و ..)، آن را اسکن می نماید و به این ترتیب نیاز به قرنطیه ایمیل های حاوی فایل های بی خطر را کاهش می دهد. 
         File Analysis Quarantine: یک قابلیت متمایز AMP در ESA در مقایسه با با سایر ادغامهای AMP، توانایی نگه داشتن یک پیام درحالی است که پیوست ها توسط Threat Grid تجزیه و تحلیل می شوند و هنوز اطمینان حاصل نشده که آنها مخرب هستند. میانگین زمان تجزیه و تحلیل ۷ تا ۱۵ دقیقه است و براساس نتایج بررسی ESA می تواند یک پیام را به گیرنده ارسال کند، یک پیام بدون پیوست مخرب منتشر کند و یا پیام را به طور کامل حذف کند.
         Mailbox Auto Remediation: اگر اولین باری که یک پیام از دروازه عبور می کند به عنوان بدافزار شناسایی نشود، اما بعدها به عنوان یک بدافزار شناخته شود، یک رویداد گذشته نگر ایجاد می شود. مایکروسافت آفیس ۳۶۵ به ESA اجازه می دهد که به پیام ها با پیوست مخرب در صندوق ورودی دسترسی پیدا کرده و انها را قرنطینه نماید.
هنوز هم از خودتان سوال می کنید که آیا واقعا ارزشمند است که برای AMP در ESA سرمایه گذاری نمایید؟ نتیجه آزمایش اخیر را مدنظر قرار دهید : در دو هفته ارزیابی AMP در یک سازمان با ۲۵۰۰ کاربر ایمیل، حدود ۱۹۵۰۰۰ فایل از تجزیه و تحلیل ایمیل استخراج شد. خارج از آن ۱۲۰۰ مورد توسط AMP محکوم شدند بدان معنی که برای موتورهای AV که در ESA اجرا می شدند، این فایل ها شناخته شده نبودند. Cisco AMP اولین قدم مهم برای ایمیل است که کمک می کند از سازمان خود در برابرattack vector محافظت نمایید.

منبع: https://blogs.cisco.com

 

0دیدگاه

حملات ransomware چیست؟

Ransomware یک زیرمجموعه از نرم افزارهای مخرب است که در آن معمولا به وسیله رمزگذاری، داده ها بر روی کامپیوتر قربانی قفل می شوند و قبل از رمزگشایی و بازگشت دسترسی به قربانی، از او درخواست پرداخت وجه می شود. انگیزه حملات ransomware تقریبا همیشه پولی است و برخلاف انواع دیگر حملات سایبری، معمولا قربانی مطلع می شود که یک سوء استفاده رخ داده و دستورالعملهایی برای نحوه بازیابی از حمله وجود دارد. پرداخت اغلب از طریق یک ارز مجازی مانند بیت کوین درخواست می شود بنابراین هویت مجرم سایبری شناسایی نمی شود.
بدافزار Ransomeware می تواند از طریق پیوست های مخرب ایمیل، نرم افزارهای آلوده، دستگاه های ذخیره سازی خارجی آلوده و وب سایت های خطرناک، منتشر شود. تعداد روزافزون حملات از پروتکل ریموت دسکتاپ و سایر رویکردهایی که به هیچ تعاملی از کاربر متکی نیستند، استفاده می کنند.
در یک نوع از حمله ransomware تحت عنوان lockscreen، ممکن است نرم افزار مخرب اطلاعات ورود قربانی به دستگاه رایانه را تغییر دهد. در یک حمله سرقت اطلاعات، ممکن است نرم افزار مخرب فایل های موجود در دستگاه آلوده و همچنین سایر دستگاه های متصل در شبکه را رمزگذاری نماید.
درحالیکه موارد اولیه از این حملات گاهی صرفا موجب قفل شدن مرورگر وب یا دستکتاپ ویندوز میشد—که معمولا به سادگی توسط مهندسی معکوس قابل بازگشایی مجدد بود – هکرها از زمان ایجاد ورژن های جدید ransomware که از رمزگذاری قوی با کلید عمومی استفاده می کند، دسترسی کاربران به فایل های روی سیستم را غیرممکن می سازند.
Ransomwareهای معروف: CryptoLocker و WannaCry
شاید اولین مثال از یک حمله وسیع منتشر شده، که از رمزگذاری کلید عمومی استفاده کرد، Cryptolocker باشد؛ یک اسب تروجان که از سپتامبر ۲۰۱۳ تا ماه می سال بعد در اینترنت فعال بود. بدافزار مبتنی بر درخواست وجه بود در هر دو نوع بیت کوین یا یک کوپن پیش پرداخت و کارشناسان به طور کلی معتقد بودند که رمزنگاری RSA استفاده شده زمانی که به درستی اجرا شود، اساسا غیر قابل نفوذ است. به هر حال، در ماه می سال ۲۰۱۴ یک شرکت امنیتی به سرور command-and-control استفاده شده به وسیله حمله دسترسی یافت و کلید های رمزنگاری مورد استفاده در حملات را بازیابی نمود. یک ابزار آنلاین که اجازه بازیابی کلیدی رایگان را برای دفاع موثر در مقابل حمله فراهم می ساخت.
در می سال ۲۰۱۷ یک حمله به نام WannaCry قادر به آلوده نمودن و رمزگذاری بیش از یک چهارم میلیون از سیستم های موجود در سطح جهان بود. بدافزار از رمزنگاری نامتقارن استفاده نمود در نتیجه قربانی نمی توانست به طور منطقی انتظار داشته باشد که بتواند کلید مورد نیاز برای رمزگشایی فایلهای ransom شده را بازیابی نماید.
پرداخت ها از طریق بیت کوین درخواست شده بود در نتیجه گیرنده ی پرداخت ransom نمی توانست شناسایی شود و البته به این معنا نیز است که تراکنش ها قابل مشاهده بود و بنابراین کلیه پرداخت های ransom قابل شمارش بود (هیچ حساب کاربری که بعد از پرداخت رمزگشایی شده باشد وجود ندارد).
تاثیر WannaCry در برخی موارد بیان شده است. برای مثال سرویس بهداشت ملی در U.K. به شدت تحت تاثیر قرار گرفت و مجبور شد در طی حمله خدمات خود را به صورت آفلاین ارائه نماید. گزارش های منتشر شده نشان می دهد که خسارات ایجاد شده در هزاران شرکت آسیب دیده، بیش از یک میلیارد دلار می باشد.
بر طبق گزارش Symantec 2017 Internet Security Threat Report، مقدار ransom demanded از دو سال پیش در ۲۰۱۶ تقریبا سه برابر شده است. به طور کلی دشوار است که بگوییم چقدر از این خواسته ها پاسخ داده شده. در تحقیقی که توسط IBM انجام شد مشخص شد ۷۰% از مدیران ارشد بررسی شده گفته بودند که درخواست ransomware را پرداخت کرده اند اما در تحقیقی که توسط Osterman Research انجام شده، نشان می دهد که تنها ۳% از شرکت های وابسته به ایالات متحده این مبلغ را پرداخت کرده اند ( هر چند این درصد در سایر کشورها به مراتب بالاتر بوده است). در بیشتر موارد به نظر می رسد که پرداخت کار کرده هر چند به هیچ وجه بدون خطر نمی باشد. یک بولتن Kaspersky Security از سال ۲۰۱۶ ادعا کرده است که ۲۰% از شرکت هایی که نسبت به پرداخت تقاضای ransom اقدام کرده اند، قفل فایل های خود را دریافت ننموده اند.
از سال ۲۰۱۵ همچنین mobile ransomware به وجود امد. یک برنامه اندروید مخرب به نام Porn Droid تلفن کاربر را قفل کرده، شماره PIN دسترسی را تغییر داده و ۵۰۰ دلار درخواست می نمود. ransomware اینترنت اشیا خیلی دور نیست. دو محقق Andrew Tierney و Ken Munro، حمله برنامه مخرب و قفل کردن و درخواست بیت کوین یک ransom بر روی یک ترموستات هوشمند در سال ۲۰۱۶ در کنفرانس Def Con را نشان دادند.
Ransomware چگونه کار می کند؟
کیت های Ransomware در deep web به مجرمان اینترنتی اجازه خرید و استفاده از یک ابزار نرم افزاری برای ایجاد ransomware با ویژگی های خاص را می دهند و سپس این بدافزار را برای توزیع خود، تولید کرده و با استفاده از ransoms هزینه را به حساب های بیت کوین خود پرداخت می کنند.
همانند بسیاری در دنیای IT، اکنون برای افرادی که دارای پس زمینه فنی کم یا فاقد هرگونه دانش فنی هستند این امر ممکن است که بتوانند ransomware ارزان قیمت را به عنوان سرویس (RaaS) سفارش دهند و حملات را با تلاش بسیار کم اجرا نمایند. در یک سناریوی RaaS، ارائه دهنده، هزینه های ransom را جمع آوری می کند و قبل از توزیع درآمد به کاربر خدمات، درصد خود را می گیرد.
مهاجمان ممکن است از یکی از چندین رویکرد مختلف برای دریافت پول دیجیتالی از قربانیان خود، استفاده کنند. برای مثال:
– قربانی ممکن است یک پیام پاپ آپ یا متن ایمیل ransom دریافت نماید که هشدار دهد اگر تا تاریخ مشخصی مبلغ درخواست شده پرداخت نشود، کلید خصوصی موردنیاز برای بازکردن قفل دستگاه یا رمزگشایی فایل ها، نابود خواهد شد.
– قربانی ممکن است در ابتدا برای باور کردن اینکه مخاطب یک پرس و جوی رسمی قرار گرفته، فریب بخورد. پس از اینکه قربانی مطلع شد نرم افزار بدون مجوز یا محتوای وب غیرقانونی بر روی کامپیوترش یافت شده، دستورالعملی برای نحوه پرداخت جریمه الکترونیکی دریافت خواهد کرد.
– مهاجم فایل ها را بر روی دستگاه آلوده رمزگذاری می نماید و با فروش محصولی که به قربانی قول می دهد با استفاده از آن می تواند فایلها را باز کند و از حملات مخرب آینده جلوگیری نماید، کسب درآمد می نماید.
– در یک معکوس جالب، اخاذی ممکن است توسط تهدیدی ایجاد شود که به این صورت که داده ها از دسترس خارج شوند نباشد، اما در صورتی که قربانی در موعد مقرر اقدام به پرداخت ننماید، داده ها در یک حالت رمزگذری نشده، در دسترس عموم قرار گیرد.
جلوگیری از Ransomware
به منظور حفاظت در مقابل حملات ransomware و سایر انواع اخاذی های سایبری، کارشناسان از کاربران می خواهند که به طور منظم از فایل های سیستم خود بک آپ تهیه نمایند و نرم افزارها به خصوص نرم افزارهای ضد ویروس را به طور منظم بروزرسانی نمایند. کاربران نهایی می بایست در مورد کلیک بر روی لینک های موجود در ایمیل های ناشناس یا باز کردن پیوست های ایمیل آگاه باشند. قربانیان باید به منظور جلوگیری از پرداخت ransomها هر چه می توانند انجام دهند.
درحالیکه ممکن است توقف حملات ransomware تقریبا غیرممکن باشد، راه هایی برای محافظت از داده های مهم وجود دارد که به سازمانها اطمینان می دهد خسارت وارده توسط این حملات را به حداقل برساند و در سریعترین زمان ممکن بازیابی انجام شود. استراتژی ها عبارتند از: جداسازی سیستم ها و دامنه های احراز هویت شده، بروز نگهداشتن عکس های ذخیره شده در خارج از پایگاه اصلی ذخیره سازی و اجرای محدودیت های سخت برای کسانی که می توانند به داده ها دسترسی داشته باشند و تعیین زمان دسترسی مجاز.
استفاده از آنتی ویروس مناسب نیز می تواند در جلوگیری از اینگونه حملات موثر باشد. برای مثال بیت دیفندر به کاربران دفاع مقابل screen-locking ransomware را ارائه می نماید. همچنین برای کاربران گزینه ای را فراهم می اورد که می توانند فایلهایشان را قفل کنند و به این ترتیب در طول حمله ی ransomware هکرها نمی توانند آنها را رمزگشایی کنند. با فراهم آوردن کیبورد مجازی از سرقت اطلاعات حساس توسط ورود و لاگین به نرم افزارهای مختلف جلوگیری کرده و به این ترتیب بیت دیفندر تمامی جنبه های امنیتی را پوشش می دهد.
منبع : https://searchsecurity.techtarget.com
0دیدگاه

به کانال تلگرام رسیس بپیوندید .رد کردن