نحوه حملات در سطح گسترده
با سلام خدمت مهندسین گرامی سوالی دارم مبنی بر این که وقتی حملاتی در سطح جهانی رخ میده مثلا حملاتی که باج افزار ها انجام میدن به چه شکل انجام میشه؟
ایا به یه رنج خاصی از آی پی ها حمله میکنن و به چه شکل از وجود این آی پی ها مطلع میشن؟
آیا حملات اهدافی از پیش تعیین شده دارند؟
ممنونم
5 پاسخ
با سلام خدمت شما دوست عزیز و گرامی
بصورت کلی حملات سایبری به دو شکل تارگت مشخص و از قبل تعریف و تعیین شده و یا بصورت نشر و ارسال عمومی در سطح اینترنت انجام میشه. در مورد باج افزارها که پرسیدین و در سطح وسیع که در حال انجام هست از نوع دوم یعنی نشر و ارسال عمومی در سطح شبکه اینترنت هستش. و هکر (صاحب باج افزار) با این امید دست به BroadCast (نشر عمومی) کردن باج افزار میکنه که اگر حتی درصد کمی از قربانیان وجه مورد نظر رو واریز کنن، صاحب باج افزار درامد خوبی به دست میاره. و اما در مورد اینکه چطوری قربانیان خودشون رو فیلتر میکنن، کاملا بستگی به نوع، کد نویسی و نوع پورت یا حفره نفوذی هست که باج افزار از اوم استفاده میکنه. مثلا باج افزارهایی که از طریق ایمیل آلوده وارد سیستم قربانیان میشن، مشخصا بر روی یک لیست بلند و بالای ایمیل که به نوعی هکر این لیست را بدست اورده (که البته به دست اوردن لیست ایمیل ها و ... کار زیاد سختی نیست) ارسال میشن. و یا اگر نوع ورود این باج افزار ها از طریق پورت Well Known مثل پورت RDP یا همون 3389 هست باشه، طبیعی هستش که میشه این باج افزار را روی رنج خاصی از آی پی های اینترنتی فیلتر کرد و اون باج افزار به دنبال پورت های باز 3389 در رنج معرفی شده بگرده و خودشو وارد سیستم قربانی کنه.
ممنونم از پاسخ گویی شما
پس رو این حساب هکر میتونه پورت های معروف رو روی رنج آی پی خاصی امتحان کنه درسته؟
سلام
به نظر من بستگی به نوع ویروس یا باج افزار و نحوه انتشار اون داره اگر ویروس یا کرم باشه بخودش میتونه خودش رو انتشار بده و فقط کافیه بتونه یک یا چند دستگاه رو آلوده کنه و این آلودگی بوسیله نقاط ضعف و شبکه موجود انتقال پیدا میکنه و اگر باج افزار باشه باید یک یا چند هدف مشخص داشته باشه.....چون خود به خود منتشر نمیشه و فقط آلودگی ایجاد میکنه
این باج افزار جدیدی که از ریموت دسکتاپ داره استفاده میکنه ارتباطی با شماره پورت نداره .من جاهایی که آلودگی رو دیدم که حتی شماره پورت مورد نظر رو عوض کرده بودن...
باج افزارهای اخیر (تا اونجایی که من چک کردم و درگیرشون بودم تو پروژه هایی که داشتم) از چند پورت استفاده میکردن، یکیش پورت ریموت دسکتاپ بود، یکی پورت SNMP، که با بلاک کردن یا امن سازی این پورت ها روی فایروالی که در Edge شبکه گذاشته بودم مشکل حل شد و تا به امروز دیگه مشکلی نخوردن. این در حالیه که در یکی دیگه از جاهایی که باهاشون در ارتباط هستم، به خاطر عدم وجود فایروال، چندین بار به مشکل خوردن و اطلاعاتشون نابود شده... قطعا ریموت دسکتاپ یکی از پورت های Well Known در شبکه هستش و باقی پورت ها هم میتونن حفره نفوذی برای ورود این باج افزارها باشن.
خواهش میکنم. بله. همینطوره. زمانی که شما یه قطعه کد مخرب مثل باج افزار یا هر چیز دیگه ای می نویسین، راه نفوذ را هم باید بهش معرفی کنین (البته بازهم این مورد بصورت نسبی و بسته به نوع کد نویسی و الگوریتمی داره که برای نوشتن اون قطعه کد استفاده شده) و از طریق همون پورت سیستم قربانی را هدف بگیرین.
بسیاری از حمله ها روی پورت 80 که مربوط به مرورگرهای اینترنتی و مشاهده صفحات وب هستش اتفاق میافته. بسیاری دیگه روی همون پورت معروف 3389 مربوط به نرم افزار ریموت دسکتاپ اتفاق میافته.
بستن پورت های اضافی و غیر ضروری، استفاده از فایروال خوب و کانفیگ درست و صحیح آن، تغییر شماره پورت های معروف در صورتی که حتما نیاز دارین اون شماره پورت روی بستر اینترنت باز باشه و ... از نکات امنیتی هستش که برای جلوگیری از حمله های سایبری استفاده میشه. و البته بسیار هم موثر هستش.