هشدارهای افتایی
اخیرا فعالیت یک گروه هکری که آن را "Outlaw"نامیده‌اند، کشف شده است (ترجمه کلمه رومانیایی "haiduc"، ابزاری که این گروه عمدتا از آن استفاده می‌کند).
فعالیت این گروه شامل استفاده از یک بات IRC ساخته شده با کمک Perl Shellbot است که با استفاده از آسیب‌پذیری "تزریق دستور " در دستگاه‌های استفاده کننده از اینترنت اشیا (IoT) و سرورهای لینوکس، بات مورد نظر خود را توزیع می‌کند. تحقیقات نشان می‌دهد که این تهدید می‌تواند روی محیط‌های مبتنی بر ویندوز و حتی دستگاه‌های اندروید نیز تاثیرگذار باشد.
در فعالیت های اخیر این گروه، سرور FTP  یک موسسه هنری  و همچنین یک سایت دولتی خارجی با استفاده از یک آسیب‌پذیری در سرور پست الکترونیکی Dovecot مورد هدف قرار گرفته‌اند. سپس با استفاده از این دو سرور مجزا و اتصال آن‌ها به یک خوشه با دسترسی بالا، قابلیت میزبانی از IRC Bouncer را فراهم کرده و از آن برای کنترل و اجرای دستورات در بات‌نت خود استفاده می‌کردند.
بات‌نت با نوعی Shellbot که با اسکریپتی با زبان Perl نوشته شده است ساخته شده است. کد این اسکریپت در GitHub نیز موجود است. این بات‌نت قبلا توسط اکسپلویت Shellshock توزیع شده بود، از این رو به آن نام "Shellbot" داده شده است. در این عملیات، مهاجمان عمدتا آن را از طریق میزبان‌هایی که قبلا تحت حملات جستجو فراگیر یا Brute-force قرار داشتند، توزیع می‌کنند.

پیشگیری از خطرات امنیتی فعالیت‌های بات‌های مخرب
گروه Outlaw از یک ربات IRC استفاده می‌کند که به تنهایی تهدیدی جدی نیست. کد استفاده شده در این بات به صورت آنلاین موجود است و امکان ساخت چنین باتی (با ابزاری کاملا مخفی) را فراهم کرده و آن را بدون شناسایی شدن توسط سامانه‌های رایج امنیتی شبکه اجرا می‌کند. علاوه بر این، در این عملیات خاص، باید توجه داشت که مهاجمان، شرکت‌های بزرگ را  هدف قرار داد‌ه‌اند. در حالی که حملات گسترده‌ای از این گروه هکر مشاهده نشده است، باید اقدامات امنیتی لازم برای حفاظت از سیستم‌ها اتخاذ شود. این اقدامات شامل موارد زیر می‌شود:
•    راه‌اندازی فرایند مناسب برای ورود به سیستم SSH : دسترسی ورود به سیستم SSH نباید در شبکه‌های عمومی باز باشد، مگر این که برای زیرساخت سازمان ضروری باشد. بسیاری از دستگاه‌ها، بدون ضرورت، به طور پیش فرض سرویس SSH را با تنظیمات پیش فرض اجرا می‌کنند. این موضوع در مورد دستگاه‌های زیرساخت شبکه مانند سوئیچ‌ها و فایروال‌ها نیز صادق است.
•    نظارت بر دستورات استفاده شده در CLI در سیستم‌های سازمان.
•    نظارت بر ترافیک غیر DNS ورودی و خروجی از پورت 53.
•    بررسی حساب‌های کاربری 
•    محدود کردن استفاده از FTP تا حد امکان: این سرویس گذرواژه‌ها را به صورت متن واضح انتقال می دهد و معمولا برای بارگذاری فایل‌های مخرب در سیستم‌های محلی استفاده می‌شود. هر گونه فایل جدید ایجاد شده باید مشکوک در نظر گرفته شود مگر اینکه در یک پوشه هدف در سیستم در جای خود قرار گرفته باشد.
•    بازنگری در مورد استفاده از سرور پست الکترونیکی Dovecot، به این دلیل که دارای آسیب‌پذیری سرریز بافر است. وصله‌های مربوط به این سرویس باید اعمال شود و یا فایل های غیر معمول آن را مورد نظارت مستمر قرار داد.
•    نمایش اطلاعات تماس در وب سایت خود برای گزارش هرگونه سوء استفاده احتمالی و یا تهدیدات امنیتی.
کاربران همچنین می‌توانند روش‌های امنیتی را اتخاذ کنند که از فعالیت‌های بات‌های مخرب از طریق ترکیبی از چند نسل از تکنیک‌های دفاعی در برابر تهدیدات جلوگیری کنند.
منبع:
 

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.