بدافزار چندمرحلهای و پیشرفته Chaplin توسط یک فایل پاورشل تحت عنوان Mapping.ps۱ فراخوانی میشود.
۰
منبع : مرکز مدیریت راهبردی افتا
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، با توجه به اینکه شواهدی از فعالیت بدافزار Chaplin در زیرساختهای فناوری اطلاعات حوزه صنعت کشور رصد شده است در این مطلب تشریح دقیقتر از عملکرد آن بههمراه فایلها و اسکریپتهای مخرب بیان میشود.
بدافزار Chaplin توسط یک فایل پاورشل تحت عنوان Mapping.ps۱ فراخوانی میشود. این فایل پاورشل به صورت چندمرحلهای طراحی شده و اهم اقدامات مخرب این فایل عبارت است از:
• گزینش سیستم هدف
• ایجاد مسیر هدف
• انتقال فایلهای مورد نیاز به مسیر هدف
• غیرفشردهسازی فایلهای موردنیاز
• ایجاد، اجرا و سپس حذف سرویس
• حذف لاگ فعالیتها
نکته حایز اهمیت در Mapping.ps۱ آن است که این فایل، اطلاعات احراز هویت برای اجرای مراحل فوق را در سطح ممتاز داراست. پس از اینکه Chaplin واسطهای شبکه را غیرفعال میکند، فایل Screen.exe کلیدهای رجیستری LSA را حذف کرده و از این طریق، درصدد ایجاد اختلال در فرایند احراز هویت کاربران و ایجاد مشکل در فرایند Boot سیستم برمیآید.
۱) بروزرسانی آنتیویروس و پویش شبکه
۲) محدودسازی مجوزهای اجرای کدهای پاورشل
۳) استفاده از دیوارههای آتش با قواعد سختگیرانه
۴) تنظیم رمزهای عبور براساس استانداردهای امنیتی
۵) جمعآوری و پایش لاگهای سیستمی و رویدادهای امنیتی
۶) معرفی و شناساندن شاخص فایلهای اجرایی و سرویسهای مخرب (IoC)
کد مطلب : 19180
https://aftana.ir/vdciuzaz.t1a3v2bcct.htmlaftana.ir/vdciuzaz.t1a3v2bcct.html
آخرین عناوین
پربيننده ترين
۱
۲
۳
۴
۵