1. إستبعاد الملاحظة

خبر مركز الأمن الإلكتروني يعلن رصد هجوم متقدّم يستهدف السعودية

الموضوع في 'منتدى أخبار الأمن والحماية' بواسطة أبوعبدالعزيز00, بتاريخ ‏نوفمبر 20, 2017.

حالة الموضوع:
مغلق
  1. أبوعبدالعزيز00

    أبوعبدالعزيز00 معرّب برامـــــــج

    إنضم إلينا في:
    ‏ابريل 9, 2008
    المشاركات:
    215
    الإعجابات :
    508
    نقاط الجائزة:
    380
    الجنس:
    ذكر
    الإقامة:
    السعودية
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10


    يستخدم برمجية التحكم والتي تقوم بالتواصل مع الخادم ثم السيطرة
    -------------------------------------------------------------------------

    نبذة
    كشف المركز عن تهديد إلكتروني متقدم (APT) يستهدف المملكة العربية السعودية. حيث لوحظ أن الأنشطة الضارة تستخدم برنامج تحكم "PowerShell" من خلال برتوكول (HTTP) للتواصل مع خادم التحكم و السيطرة (C2)، حيث يقوم المهاجمين بسرقة البيانات بتلك الطريقة او ارسال أوامر لجهاز الضحية.
    وقد لوحظت الطرق التالية في مرحلة الارسال والثبيت:

    • حقن مستندات Microsoft Office
    كانت معظم العينات التي تمت ملاحظتها ملفات Microsoft Office و التي تحتوي على ماكرو أو رابط تم إرساله من خلال الرسائل التصيدية. بالإضافة إلى ذلك، يتم ضغط المستندات الخبيثة في بعض الأحيان في ملف RAR المحمي بكلمة مرور لتجنب آليات حماية البريد. يتم تضمين كلمة المرور عادة في البريد الإلكتروني.

    • الوصول إلى المواقع خبيثة
    تم زرع بعض البرامج الخبيثة باستخدام تقنية (watering-hole) أو تقنيات مماثلة مثل cross-site) (scripting. وقد لوحظ الإختراق من خلال موقع ضار على شبكة الانترنت حيث يتم إعادة توجيه المستخدم إلى موقع ويب اخر ويطلب تحميل الملف الخبيث. حيث ان هذا الملف يصيب الجهاز عن طريق البرامج VBS and PowerShell scripts.

    طرق الإكتشاف
    يوصي مركز الأمن الإلكتروني بإتباع الطرق التالية للكشف عن التحركات المشبوهة داخل الشبكة والتي قد يكون لها صلة بالهجوم
    1. مراجعه السجلات للبرامج التالية Proxy, SIEM and Firewall والبحث عن أي اتصال بمعرفات تنتهي ب
    *.php?c=(Base64 data)
    *.aspx?c=(Base64 data)
    2. إتصال عبر بروتوكول الـ HTTP إلى عناوين معرفات صحيحة تكون بدون أسماء نطاقات
    3. عدد كبير من الاتصال عبر تروتوكول HTTP إلى معرف أو إسم نطاق وحيد.
    4. أي إتصال عبر بروتوكول HTTP إلى المعرفات التالية 148.251.204.131 & 144.76.109.88
    5. البحث في بوابة البريد الإلكتروني لرسائل إلكترونية مرفق بها ملف محمي بكلمة مرور أو مرفق Office بداخله وحدات الماكرو التي تم حظرها أو تنبيهها.
    6. زيادة استخدام "PowerShell" على نقاط الأجهزه والخوادم

    توصيات
    • تحديث PowerShell للنسخة الخامسة وحذف النسخة القدية
    • تمكين تسجيل الوحدة النمطية، تسجيل البرنامج النصي وكتاب تسجيل الدخول في PowerShell الإصدار 5
    • التأكد من تطبيق القائمة البيضاء في الجهة، وهذا أيضاً يحتاج إلى تنفيذها على PowerShell. والتاكد من السماح فقط للبرامج التي تحتاج لها الجهة.
    • منع تشغيل الملفات القابلة للتنفيذ والنصوص البرمجية من المجلدات التي يتم التحكم فيها بواسطة المستخدم، مثل C:\Users\<Username والمجلدات المؤقتة، مثل C:Windows\Temp
    • استخدام (Email Filtering) لمسح ومنع أي بريد إلكتروني بداخله مستند ماكرو وغيرها من الملفات الخبيثة مثل Windows Host Scripting and HTA files
    • تنفيذ حل مراقبة سلامة الملفات (FIM) على www root في جميع تطبيقات الإنترنت، مثل تطبيقات الويب والبريد الإلكتروني و VPN portals. ومن المهم التنبيه عن أي تعديل غير مصرح به داخل تلك الخوادم، حيث قد يشير ذلك إلى نجاح الهجوم.

    المصدر موقع الامن الالكتروني
     
    التميمي14, Fadi344, wikihow و 1 شخص آخر معجبون بهذا.
  2. ABU_Somaia

    ABU_Somaia كبير المراقبين ومسئول فريق الدعم لبرامج الحماية طـــاقم الإدارة فريق الدعم لقسم الحماية نجم الشهر نجم المنتدى فريق الدعم لتطبيقات الجوالات

    إنضم إلينا في:
    ‏ابريل 15, 2015
    المشاركات:
    8,326
    الإعجابات :
    14,127
    نقاط الجائزة:
    3,070
    الجنس:
    ذكر
    الإقامة:
    مصر
    برامج الحماية:
    ESET
    نظام التشغيل:
    Windows8.1
    بارك الله فيك

    :rose:
     
  3. SASA G

    SASA G زيزوومي VIP

    إنضم إلينا في:
    ‏ديسمبر 27, 2008
    المشاركات:
    5,659
    الإعجابات :
    3,809
    نقاط الجائزة:
    1,350
    الجنس:
    ذكر
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
    لك كل الشكر والتقدير أخي أبو عبد العزيز
     
حالة الموضوع:
مغلق

مشاركة هذه الصفحة

جاري تحميل الصفحة...